News

Il Garante per la protezione dei dati personali ha sanzionato con 4.000 euro un Istituto scolastico per aver utilizzato illegittimamente un sistema di rilevazione delle presenze basato sul riconoscimento delle impronte digitali del personale amministrativo, tecnico e ausiliario (A.T.A.).

La decisione, contenuta nel provvedimento del 27 marzo 2025, ribadisce un principio fondamentale: l'uso dei dati biometrici sul posto di lavoro è consentito solo se previsto da una norma specifica che tuteli i diritti dei lavoratori e deve rispondere a criteri di necessità e proporzionalità rispetto all'obiettivo perseguito.

L'istituto scolastico aveva implementato un sistema che richiedeva l'utilizzo delle impronte digitali dei dipendenti che avevano rilasciato il proprio consenso, con l'obiettivo di rilevarne la presenza in servizio e prevenire episodi di manomissioni, danneggiamenti e atti vandalici sui tradizionali sistemi di timbratura con badge. Il sistema elaborava le caratteristiche dell'impronta digitale acquisita per creare un modello matematico che, associato al codice identificativo del dipendente, costituiva il termine di raffronto per le successive verifiche.

Nonostante l'istituto avesse garantito ai dipendenti la possibilità di utilizzare alternativamente il sistema tradizionale con badge senza associazione dell'impronta, e nonostante il consenso prestato da 34 delle 36 unità di personale A.T.A., il Garante ha rilevato la violazione della normativa privacy.

Il trattamento è risultato in violazione degli articoli 5, 6 e 9 del Regolamento UE 2016/679 per diverse ragioni fondamentali.

I dati biometrici, definiti come "i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca", sono ricompresi tra le categorie "particolari" di dati personali in ragione della loro delicatezza e della stretta relazione con l'identità dell'individuo.

Il loro trattamento, di regola vietato, è consentito esclusivamente al ricorrere di specifiche condizioni e, in ambito lavorativo, solo quando sia necessario per assolvere obblighi ed esercitare diritti specifici in materia di diritto del lavoro, "nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri" e "in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato".

Il Garante ha chiarito che la mancanza di un'idonea base giuridica per il trattamento dei dati biometrici non può essere colmata neppure dal consenso dei dipendenti.

La ragione di tale principio risiede nell'asimmetria tra le parti del rapporto di lavoro e nella conseguente necessità di accertare l'effettiva libertà della manifestazione di volontà del dipendente. Il consenso non costituisce, di regola, un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo, indipendentemente dalla natura pubblica o privata del datore di lavoro.

Il trattamento di dati biometrici richiede, nel sistema del Regolamento e del Codice Privacy, un'espressa previsione normativa e specifiche garanzie per i diritti degli interessati. La base giuridica del trattamento deve avere caratteristiche specifiche in termini di qualità della fonte, contenuti necessari e misure appropriate per tutelare i diritti e le libertà degli interessati, oltre a rispettare il principio di proporzionalità.

Il Garante ha ricordato che l'articolo 2 della legge 19 giugno 2019, n. 56, che aveva previsto una generalizzata sostituzione dei sistemi di rilevazione automatica delle presenze con sistemi biometrici per le pubbliche amministrazioni, è stato abrogato dalla legge 30 dicembre 2020, n. 178. Già in precedenza, l'Autorità aveva segnalato le criticità di tale norma, evidenziando "l'eccedenza rispetto alle finalità che si intendono perseguire" e l'incompatibilità con il canone di proporzionalità per "l'invasività di tali forme di verifica e delle implicazioni derivanti dalla particolare natura del dato".

Nella quantificazione della sanzione, il Garante ha tenuto conto di diversi elementi previsti dall'articolo 83, paragrafo 2, del Regolamento. Da un lato, ha considerato la particolare natura dei dati biometrici, che sono tutelati in maniera particolarmente stringente, e il fatto che il titolare non aveva consultato il proprio responsabile della protezione dei dati, iniziativa che avrebbe consentito di avvedersi degli specifici rischi per i diritti e le libertà degli interessati.

Dall'altro lato, ha valutato positivamente il fatto che il trattamento riguardava un numero limitato di dipendenti (34 persone) ai quali era comunque riconosciuta la possibilità di registrare la propria presenza attraverso modalità tradizionali, la buona cooperazione offerta dall'istituto durante l'istruttoria e l'assenza di precedenti violazioni pertinenti.

La decisione del Garante ha importanti implicazioni pratiche per tutte le organizzazioni, pubbliche e private, che intendano utilizzare sistemi biometrici per la rilevazione delle presenze. Il provvedimento chiarisce definitivamente che è necessaria una specifica base normativa che autorizzi il trattamento e preveda adeguate garanzie per i diritti degli interessati e che il principio di proporzionalità deve essere rigorosamente rispettato, valutando se le finalità perseguite giustifichino l'invasività del trattamento biometrico.