Un’azienda non può utilizzare dati biometrici sul posto di lavoro se non espressamente previsto da una norma specifica (che tuteli i diritti dei lavoratori) e se tale trattamento non risponde a un interesse pubblico.

In tal senso, con provvedimento n. 167/2025, si è espresso il Garante Privacy
che, a seguito di attività istruttoria stimolata da un reclamo di alcuni lavoratori, ha comminato una sanzione pari a 4.000 euro a un istituto scolastico che ha impiegato un sistema di riconoscimento biometrico (rilevamento di impronte digitali) allo scopo di rilevare la presenza del personale.

Il quadro normativo di riferimento

Il Regolamento UE 2016/679 (GDPR) definisce i dati biometrici come “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici” (art. 4, n. 14).

Ove tali dati siano idonei (o tesi) a identificare in modo univoco una persona fisica, questi dovranno essere ricompresi tra le “categorie particolari di dati personali”, disciplinate dall’art. 9 del Regolamento generale sulla protezione dei dati.

Ciò, in ragione della relativa sensibilità del dato derivante dall’immediata relazione con l’individuo e con la sua identità.

Art 9, comma 1, del Gdpr

L’art 9, comma 1, del Gdpr pone un generale divieto di trattamento di dati biometrici, in quanto categoria particolare di dati personali: “è vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.

A questo principio generale si applicano alcune esclusioni al ricorrere di una delle condizioni indicate dal secondo comma del medesimo art. 9 e, in ambito lavorativo, solo quando il trattamento sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”.

Art. 9, comma 4 del GDPR

L’art. 9, comma 4 del GDPR prevede espressamente che “gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute”.

Tale disposizione è stata attuata dal nostro ordinamento nazionale: in merito, l’art. 2-septies, d. lgs n. 196/2003 (Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute), nella sua versione attualmente vigente a seguito delle modifiche intervenute ad opera del d.lgs. n. 101/2018, prevede che “i dati genetici, biometrici e relativi alla salute, possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo articolo ed in conformità alle misure di garanzia disposte dal Garante”.

I principi di protezione dei dati personali

Fermo restando quanto sopra, il datore di lavoro titolare del trattamento è, in ogni caso, tenuto a rispettare i principi di protezione dei dati personali, tra cui in particolare quelli di liceità, correttezza e trasparenza, minimizzazione e protezione dei dati “fin dalla progettazione” e “per impostazione predefinita” (artt. 5 e 25 del GDPR).

Garante Privacy: no alle impronte digitali per attestare la presenza a scuola

L’Autorità Garante ha rilevato che l’istituto scolastico ha utilizzato un sistema di rilevazione delle presenze del personale che richiedeva l’utilizzo delle impronte digitali dei lavoratori “che avessero rilasciato il proprio consenso, con ciò dando luogo ad un trattamento dei relativi dati biometrici inteso ad identificare in modo univoco i singoli dipendenti al fine di rilevarne la presenza in servizio nonché nell’ottica di prevenire “episodi di manomissioni, danneggiamenti e atti vandalici”.

Le informazioni trattate con l’ausilio di questo sistema, a parer del Garante, consentivano la precisa identificazione dei dipendenti. Trattasi dunque di dati personali biometrici ai sensi del GDPR.

Come anticipato poc’anzi, la finalità di rilevazione delle presenze in servizio dei dipendenti, è riconducibile – in teoria – nell’ambito di applicazione dell’articolo 9 par. 2, lett. b) del GDPR poiché implica un trattamento necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro.

Tuttavia, l’impiego i sistemi di rilevazione delle presenze che comportano anche il trattamento di dati biometrici richiede, nel sistema normativo analizzato un’espressa previsione normativa e specifiche garanzie per i diritti degli interessati.

Rilevazione presenze nelle PA e decisioni passate del Garante

Ai fini valutativi della vicenda in questione, l’Autorità Garante ha tenuto in considerazione la normativa recante le disposizioni in materia di “Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo” (l. 19 giugno 2019, n. 56).

L’art. 2 aveva previsto una generalizzata sostituzione dei sistemi di rilevazione automatica delle presenze con sistemi di rilevazione di dati biometrici unitamente all’impiego di sistemi di videosorveglianza prevedendo che, “ai fini della verifica dell’osservanza dell’orario di lavoro”, nel rispetto dell’art. 9 del GDPR e delle misure di garanzia definite dall’Autorità Garante.

Tuttavia, tali disposizioni di legge sono state abrogate dalla Legge di Bilancio 2021.

Il canone di proporzionalità

In ogni caso, nell’esercizio dei propri poteri consultivi sugli atti normativi, già in occasioni non troppo lontane nel tempo e precedenti rispetto all’abrogazione del corpus normativo, l’Autorità aveva evidenziato che non potesse ritenersi conforme al canone di proporzionalità l’utilizzo generalizzato e indifferenziato per tutte le pubbliche amministrazioni di sistemi di rilevazione biometrica delle presenze, “in ragione dei vincoli posti dall’ordinamento europeo sul punto, a motivo dell’invasività di tali forme di verifica e delle implicazioni derivanti dalla particolare natura del dato” (sul punto, si segnala il provv. 19 settembre 2019, n. 167, doc. web n. 9147290).

Invero, l’Autorità Garante ha accertato numerosi casi di illecito del trattamento dei dati biometrici dei dipendenti per la finalità di rilevazione delle presenze posto in essere da soggetti pubblici e privati in violazione.

In tali occasioni, il Garante aveva altresì avuto modo di evidenziare che l’illegittimità del trattamento di tali dati non potesse essere sanata neanche “dal consenso dei dipendenti”.

“Ciò in quanto, alla luce della asimmetria tra le rispettive parti del rapporto di lavoro e la conseguente, eventuale, necessità di accertare, di volta in volta e in concreto, l’effettiva libertà della manifestazione di volontà del dipendente, il consenso non costituisce, di regola, un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo, indipendentemente dalla natura pubblica o privata del datore di lavoro”.

La mancanza di conformità

Pertanto, il trattamento dei dati personali biometrici dei dipendenti, effettuato dall’Istituto al fine di identificarli in modo univoco per rilevarne la presenza in servizio, è stato realizzato in maniera non conforme ai principi di “liceità, correttezza e trasparenza” nonché in assenza di un idoneo presupposto normativo, in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del GDPR.

Oltre a ciò, dal provvedimento in commento, non emerge alcun riferimento ad eventuali procedure di consultazione preventiva (ad opera e su stimolo dell’istituto scolastico) al fine di valutare la portata del sistema di rilevazione delle presenze in relazione al correlato trattamento di dati così come eventuali valutazioni su differenti sistemi ad impatto minore (i.e. meno invasivi ma perseguenti il medesimo scopo), cosa che certamente avrebbe dovuto esser considerata dall’istituto.

L’illiceità del trattamento di dati personali

Alla luce delle valutazioni sopra richiamate, l’Autorità Garante ha rilevato l’illiceità del trattamento di dati personali effettuato dall’Istituto scolastico, per aver effettuato il trattamento in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del GDPR.

Fermo restando ciò, però, dal momento che la condotta accertata come illegittima aveva esaurito i suoi effetti, in quanto l’utilizzo del sistema di rilevazione biometrica delle presenze dei dipendenti era stato sospeso e tutti i dati erano stati cancellati, l’Autorità non ha ritenuto necessaria l’applicazione di ulteriori misure correttive e, anche alla luce della condotta ampiamente collaborativa mostrato dall’istituto scolastico, ha inflitto la sola sanzione pecuniaria nella misura di 4 mila euro, ritenuta effettiva, proporzionata e dissuasiva.