Il no del garante privacy alle impronte digitali per rilevare le presenze

Il Sole 24 Ore 1 Luglio 2025 di Federica Paolucci e Oreste Pollicino

Con il provvedimento 167 del 2025, il Garante per la protezione dei dati personali ha dichiarato illecito il trattamento dei dati biometrici effettuato da un Istituto di istruzione superiore, sanzionando l’ente scolastico con una multa di 4mila euro per violazione di alcune norme chiave del regolamento per la protezione dei dati personali.

Il caso riguarda, difatti, l’utilizzo, da parte dell’Istituto, di un sistema di rilevazione delle presenze basato sulla combinazione di badge e impronta digitale per il personale Ata.

Il sistema era stato introdotto a seguito di episodi di manomissioni e uso improprio dei badge da parte dei lavoratori. L’intento dichiarato della dirigenza scolastica era quello di prevenire condotte elusive, rafforzando i controlli interni. Il personale aveva prestato il consenso scritto al trattamento e, secondo l’Istituto, chi non aveva aderito poteva continuare a utilizzare esclusivamente il badge. Tuttavia, il Garante ha ritenuto che tale trattamento risultasse privo di una base giuridica idonea ed è stato, dunque, dichiarato illecito.

Il nodo principale ha riguardato l’assenza di un’adeguata base giuridica. Il trattamento, difatti, concerne l’uso di dati biometrici, che sono caratteristiche uniche di ogni essere umano, come l’iride, il volto, e appunto l’impronta digitale. Tali dati appartengono alle categorie speciali ex articolo 9, paragrafo 1 del Gdpr, ossia quelle tipologie di dato per cui la norma impone un divieto generale di trattamento, salvo ricorrano specifiche eccezioni indicate al paragrafo 2, tra cui quella prevista alla lettera b), relativa al trattamento necessario per esercitare diritti e obblighi in materia di diritto del lavoro, purché autorizzato dal diritto dell’Unione o degli Stati membri. Nel contesto esaminato, l’Autorità ha rilevato che nessuna norma nazionale vigente consente, né tantomeno impone, l’utilizzo di dati biometrici per la rilevazione delle presenze. Il riferimento all’articolo 2 della legge 56/2019, che prevedeva l’adozione generalizzata di sistemi biometrici e di videosorveglianza nel pubblico impiego, non è più invocabile, poiché tale disposizione è stata abrogata dalla legge di bilancio 2021 (legge n. 178/2020, articolo 1, comma 958). Pertanto, secondo il Garante, il trattamento posto in essere dalla scuola è avvenuto in totale assenza della necessaria previsione legislativa e delle misure di garanzia richieste dall’articolo 2-septies del Codice privacy.

Mancando una base giuridica idonea, un secondo aspetto viene in evidenza, ossia l’inidoneità del consenso a supplire e permettere il trattamento di dati biometrici in ambito lavorativo.

Il Garante ribadisce l’orientamento consolidato secondo cui il consenso del dipendente, anche se formalmente raccolto e accompagnato da modalità alternative, difficilmente può dirsi libero in presenza di un rapporto asimmetrico come quello lavorativo.

Né può ritenersi “necessario” un trattamento così intrusivo quando già esistevano modalità ordinarie di attestazione della presenza.

Il Garante qualifica la condotta dell’Istituto come “grave” in base alle Linee guida Edpb 4/2022 sul calcolo delle sanzioni. Sebbene i dati trattati non contenessero l’immagine dell’impronta, ma solo un template matematico, essi erano comunque sufficienti a identificare univocamente i lavoratori e dunque rientravano pienamente nella definizione di dato biometrico ai sensi dell’articolo 4,

punto 14 del Gdpr.

Il caso in esame si inserisce in una linea ben tracciata dal Garante, che ribadisce l’estrema cautela richiesta nell’adozione di tecnologie biometriche, specie nel settore lavorativo, dove, per l’appunto, il dipendente non può mai dirsi veramente libero di esprimere il proprio consenso. L’automazione del controllo presenze non può giustificare trattamenti sproporzionati, né la delega in bianco a fornitori tecnologici. Anche quando i dipendenti sembrano “chiedere” maggiore controllo, è il titolare del trattamento a dover garantire il rispetto della legalità e dei principi di necessità, proporzionalità e minimizzazione.

La sanzione in commento ha, dunque, il pregio di rammentare i limiti invalicabili tra efficientamento e controllo, specie in un momento storico in cui l’automazione si sta facendo sempre più strada nelle pratiche amministrative quotidiane, rischiando di normalizzare forme di sorveglianza sproporzionate e giuridicamente ingiustificate.