Impronte digitali per le presenze dei dipendenti: uso sempre vietato

Il Garante per la protezione dei dati personali  con Provvedimento n.167 del 27 marzo 2025 ha sanzionato un istituto di istruzione superiore per aver introdotto un sistema di rilevazione delle presenze dei dipendenti che prevedeva l’uso delle impronte digitali in abbinamento a un badge.

L’uso di questo sistema, basato sul rilevamento biometrico, era stato adottato per contrastare fenomeni di uso improprio dei badge e per garantire una maggiore affidabilità nella registrazione delle presenze.

Il personale amministrativo, tecnico e ausiliario (ATA) poteva esprimere un consenso volontario all’utilizzo dell’impronta digitale. Secondo quanto riportato nel provvedimento, 34 dipendenti su 36 avevano acconsentito, mentre ai due contrari era stata garantita un’alternativa: l’uso del solo badge. 

In ogni caso, il Garante ha evidenziato che il consenso in ambito lavorativo non può essere considerato una base giuridica valida per il trattamento di dati biometrici, a causa del rapporto di subordinazione tra datore di lavoro e dipendente, che rende difficile dimostrare la reale libertà della scelta.

Violazione della normativa sul trattamento dei dati biometrici

Il trattamento dei dati biometrici, come le impronte digitali, è soggetto a regole molto stringenti previste dal Regolamento (UE) 2016/679 (GDPR) e dal Codice in materia di protezione dei dati personali (d.lgs. n. 196/2003). Tali dati rientrano tra le “categorie particolari” di dati personali, la cui raccolta e utilizzo è generalmente vietata, salvo in presenza di condizioni specifiche.

In particolare, per essere lecito, il trattamento deve fondarsi su una norma di legge o su un contratto collettivo che lo autorizzi espressamente. Inoltre, devono essere previste adeguate misure di garanzia per tutelare i diritti e le libertà degli interessati. In assenza di tali presupposti normativi, come nel caso in esame, il trattamento risulta illecito anche se è effettuato con tecniche che non conservano direttamente l’immagine dell’impronta, ma ne creano un modello matematico (template) non riconducibile a dati fisici immediatamente visibili

Il Garante ha ricordato che una norma del 2019 (art. 2 della legge 19 giugno 2019, n. 56) aveva ipotizzato l’introduzione generalizzata di sistemi biometrici nelle pubbliche amministrazioni, ma le relative disposizioni sono state abrogate dalla Legge di Bilancio 2021. Pertanto, attualmente non esiste alcuna norma che legittimi l’uso di impronte digitali per il controllo delle presenze nel settore pubblico.

Esito del procedimento e sanzione

A seguito dell’istruttoria, il Garante ha concluso che l’istituto scolastico ha violato i principi di “liceità, correttezza e trasparenza” nel trattamento dei dati biometrici, previsti dagli articoli 5, 6 e 9 del GDPR. Anche se l’istituto ha successivamente sospeso l’uso del sistema e cancellato i dati raccolti, la condotta è stata considerata comunque illecita.

Il trattamento ha riguardato solo 34 persone e sono state offerte modalità alternative di registrazione, ma il Garante ha sottolineato la gravità dell’infrazione, data la natura dei dati trattati. La sanzione pecuniaria è stata quindi fissata in 4.000 euro, ritenuti proporzionati ed efficaci come misura dissuasiva. È stata inoltre disposta la pubblicazione del provvedimento sul sito dell’Autorità, data la delicatezza della questione trattata e l’importanza di fornire un indirizzo chiaro in materia di protezione dei dati in ambito lavorativo. Questo caso evidenzia come, anche in presenza di consenso da parte dei lavoratori, l’uso di tecnologie biometriche nei luoghi di lavoro debba essere fondato su basi giuridiche solide e rispettare pienamente la normativa europea e nazionale in materia di protezione dei dati personali.