L’OPINIONE
DI MASSIMO BRAGHIN | 7 LUGLIO 2025
Il Garante per la protezione dei dati personali è intervenuto sanzionando un istituto scolastico per l’uso di un sistema di rilevazione delle presenze fondato su dati biometrici. Il caso richiama l’attenzione sui limiti normativi che regolano l’impiego di tali tecnologie in ambito lavorativo, sottolineando l’insufficienza del consenso del lavoratore in assenza di una specifica base giuridica.
L’impiego dei dati biometrici all’interno delle dinamiche lavorative rappresenta da tempo una questione di confine, sospesa tra esigenze organizzative e tutela dei diritti fondamentali. Il recente intervento del Garante per la protezione dei dati personali, pubblicato nella Newsletter n. 536 del 25 giugno 2025 , ha riacceso il dibattito giuridico e professionale sui limiti normativi che regolano l’adozione legittima delle tecnologie biometriche in ambito lavorativo.
Con Provvedimento 27 marzo 2025 n. 167 , l’Autorità ha sanzionato un Istituto di istruzione superiore, responsabile dell’implementazione di un sistema di rilevazione delle presenze fondato sull’acquisizione delle impronte digitali del personale amministrativo. Sebbene l’utilizzo del sistema fosse volontario e subordinato al consenso dei lavoratori, il trattamento è stato ritenuto illegittimo, in quanto privo di una valida base normativa.
L’Istituto scolastico, nell’intento di monitorare le presenze del personale non docente e al contempo prevenire atti vandalici, aveva introdotto un dispositivo biometrico per il riconoscimento individuale. L’accesso al sistema era riservato esclusivamente a coloro che avevano espresso formale consenso, preferendolo ad altre modalità di attestazione della presenza, quali il badge o la firma manuale.
Tuttavia, a seguito di un reclamo presentato da soggetti interessati, il Garante ha aperto un’istruttoria, concludendosi con l’accertamento della violazione del Regolamento UE 2016/679 e del Codice in materia di protezione dei dati personali (D.Lgs. n. 196/2003). Il trattamento dei dati biometrici, si è osservato, risultava sprovvisto di un’adeguata base giuridica, e non poteva essere giustificato neppure dall’assenso degli interessati.
I dati biometrici, in quanto suscettibili di identificazione in maniera univoca di una persona fisica, rientrano tra le categorie particolari di dati personali. In ragione della loro delicatezza, derivante dalla stretta e stabile relazione con l’individuo e la sua identità, la raccolta e trattamento degli stessi è subordinata a condizioni stringenti, definite dall’articolo 9 del GDPR. In particolare, in ambito lavorativo, è consentito solo quando sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”.
In ogni caso, il datore di lavoro, titolare del trattamento, è tenuto a rispettare i principi di protezione dei dati personali, tra cui in particolare quelli di liceità, correttezza e trasparenza, minimizzazione e protezione dei dati fin dalla progettazione e per impostazione predefinita (artt. 5 e 25 del GDPR).
Il consenso del lavoratore, lungi dall’essere un fondamento valido in tale contesto, non è considerato sufficiente, proprio in ragione del disequilibrio strutturale che caratterizza il rapporto di lavoro subordinato. Il principio di libertà del consenso, cardine del GDPR, risulta pertanto compromesso in situazioni in cui il dipendente può sentirsi indotto ad aderire per timore di ripercussioni o marginalizzazione.
Il Garante aveva già avuto modo di esprimersi in senso restrittivo sul tema, attraverso un suo Parere risalente al 2019, ove veniva sottolineata l’inammissibilità di un impiego sistematico e generalizzato di tecnologie biometriche per la rilevazione delle presenze nella pubblica amministrazione. Anche in quella sede, l’Autorità evidenziava come l’elevato grado di invasività del trattamento e la natura sensibile del dato imponessero un approccio improntato alla massima cautela.
Appare quanto mai essenziale rimarcare la necessità di un approccio equilibrato, sorretto da solide fondamenta giuridiche e da una piena consapevolezza tecnica, nell’adozione di soluzioni innovative all’interno delle strutture organizzative. La gestione del personale, seppur legittimamente orientata all’efficienza e al controllo, deve confrontarsi costantemente con i vincoli imposti dalla normativa sulla protezione dei dati personali, che pone il principio di proporzionalità come criterio imprescindibile.
Il caso in questione rappresenta un monito per tutte le realtà lavorative, sia pubbliche che private: il trattamento dei dati biometrici non può essere adottato per ragioni di mera convenienza gestionale, né affidato a forme di consenso individuale che non reggono al vaglio della normativa europea.
Iniziativa gratuita organizzata con l’approvazione dell’editore riservata agli iscritti alla nostra informativa. E’ severamente proibita la condivisione dell’articolo, della pagina e degli allegati e di qualsiasi contenuto condiviso.