La rilevazione delle presenze tramite dati biometrici: rischi e alternative per le imprese
La rilevazione delle presenze tramite dati biometrici: rischi e alternative per le imprese
Da alleato per l’efficientamento dei processi interni, la tecnologia può trasformarsi in una pericolosa insidia per l’imprenditore. L’impiego incauto di strumenti tecnologici per la rilevazione delle presenze può esporre l’azienda alle sanzioni del Garante per la Protezione dei Dati Personali, che anche di recente ha confermato l’illegittimità del trattamento dei dati biometrici nel contesto lavorativo per finalità amministrative.
I dati biometrici nel GDPR
I dati biometrici, tra cui le impronte digitali, l’iride e il riconoscimento facciale, rappresentano caratteristiche fisiche uniche e immutabili della persona e il Regolamento Generale sulla Protezione dei Dati (GDPR) prevede pertanto per tali dati, definiti particolari, regole e limitazioni particolarmente rigide.
Il trattamento dei dati biometrici è in genere vietato, salve specifiche eccezioni
In relazione al contesto lavorativo, l’articolo 9, paragrafo 2, lettera b) del GDPR dispone che il trattamento dei dati biometrici è consentito solo quando risulta necessario per assolvere obblighi o esercitare diritti specifici in materia di diritto del lavoro nella misura in cui è autorizzato dal diritto dell’Unione Europea, degli Stati membri o da un contratto collettivo nazionale.
Per inciso, il Garante Privacy ha rilevato in più occasioni (da ultimo con il provvedimento n.167 del 2025) che nessuna norma nazionale consente o impone l’utilizzo dei dati biometrici per la rilevazione delle presenze e che il datore di lavoro, titolare del trattamento, può e deve controllare l’osservanza dell’orario di lavoro attraverso strumenti che rispettino il principio di minimizzazione dei dati.
I dati biometrici alla luce dei principi di minimizzazione e proporzionalità
I principi di minimizzazione e proporzionalità rappresentano due pilastri fondamentali della normativa privacy e si traducono nell’obbligo, per il titolare del trattamento, di trattare solo i dati personali che risultano adeguati, pertinenti e limitati rispetto alle finalità per le quali sono raccolti. Nel caso della rilevazione delle presenze, esistono alternative tecnologiche meno invasive rispetto al trattamento delle impronte digitali, come i sistemi che prevedono l’utilizzo di badge o l’inserimento di codici personali, che raggiungono efficacemente lo stesso risultato senza coinvolgere la delicata dimensione corporale del lavoratore.
Il Garante, con i suoi provvedimenti, ha inoltre costantemente ribadito che il datore di lavoro può ricorrere al trattamento dei dati biometrici solo in presenza di finalità eccezionali, individuate ad esempio nell’esigenza di limitare l’accesso al solo personale autorizzato ad aree lavorative nelle quali si svolgono processi produttivi pericolosi o in cui sono svolte attività aventi carattere di segretezza o in cui sono conservati beni di particolare valore. Viceversa, la routine amministrativa della rilevazione presenze, non avendo carattere di eccezionalità, non può derogare al generale divieto di trattamento.
Dati biometrici e consenso, l’inidoneità nei rapporti di lavoro
Ma vi è di più. Con il provvedimento già citato, il Garante ha ribadito che, benché nel caso di specie i lavoratori avessero manifestato al datore di lavoro il proprio consenso al trattamento del dato biometrico, il trattamento effettuato dal titolare era in ogni caso illecito poiché mancava di una base giuridica idonea.
In più occasioni, il Garante ha precisato che, nell’ambito del rapporto di lavoro, il consenso manifestato dai dipendenti non può essere considerato valido a causa dell’asimmetria di potere che caratterizza la relazione tra datore di lavoro e dipendente, la quale incide sull’effettiva libertà del consenso espresso: il lavoratore, trovandosi in una posizione di subordinazione economica e contrattuale, non può esprimere un consenso genuinamente libero riguardo al trattamento dei propri dati biometrici.
Dati biometrici e lavoro, il consolidato orientamento del Garante
La decisione n. 167 del 2025 è solo l’ultima, in ordine di tempo, con cui il Garante ha sanzionato datori di lavoro per l’utilizzo illegittimo dei dati biometrici (nel caso di specie, la sanzione era pari a 4.000,00 euro). La recente giurisprudenza dimostra infatti la severità dell’approccio sanzionatorio nei confronti delle aziende che utilizzano sistemi biometrici in assenza dei presupposti: nel 2024, il Garante ha irrogato la sanzione di 120.000,00 euro per l’utilizzo di un sistema di riconoscimento facciale in un’azienda che impiegava 40 dipendenti (provvedimento del 6 giugno 2024), mentre nel 2023, considerate le minori dimensioni dell’impresa (13 dipendenti), la collaborazione con l’autorità e le caratteristiche tecniche del sistema di rilevazione dei dati biometrici, che consentiva di cancellare i dati raccolti, il Garante ha comminato alla parte datoriale una sanzione di 5.000,00 euro (provvedimento del 14 settembre 2023).
Le alternative conformi: tecnologie rispettose della privacy
Le imprese che intendono modernizzare i propri sistemi di rilevazione presenze o che, in uno slancio di imprudenza, hanno introdotto sistemi di rilevazione presenze tramite dati biometrici, dispongono di numerose alternative tecnologiche conformi alla normativa sulla protezione dei dati. Ad esempio, al netto di potenziali problematiche connesse ai fenomeni di badge sharing o altri comportamenti fraudolenti, i sistemi basati su badge magnetici o su tecnologia RFID offrono lo stesso livello di precisione nella rilevazione degli orari, senza comportare il trattamento di dati biometrici. Anche le soluzioni basate su codici personali o password rappresentano un’alternativa efficace.
La scelta di sistemi conformi alla normativa rappresenta non solo un obbligo legale, ma anche una strategia di risk management in grado di proteggere l’azienda da potenziali contenziosi e sanzioni amministrative: la prudenza e il ricorso a consulenze specializzate rappresentano gli strumenti più efficaci per navigare le complessità della disciplina sulla protezione dei dati, garantendo al contempo l’efficienza operativa e la conformità normativa.
