Dati biometrici utilizzati in ambito lavorativo, il Garante per la protezione dei dati personali ha adottato un nuovo provvedimento per limitarne l’utilizzo.
Questa volta ad essere sanzionato un istituto scolastico calabrese per aver usato un sistema di rilevazione delle presenze del personale ATA basato sulla rilevazione di impronte digitali, senza un’idonea base giuridica nonostante il consenso informato rilasciato dai lavoratori.
L’Istituto scolastico aveva introdotto un sistema di rilevazione della presenza in servizio attraverso l’associazione tra badge e impronta digitale. L’installazione, su richiesta degli stessi lavoratori, si era resa necessaria in risposta alla sospetta manomissione degli ordinari strumenti di rilevazione mediante cartellino presenza.
Con il provvedimento 167/2025, nel rilevare la violazione della normativa privacy italiana ed europea, il Garante ha riscontrato la non conformità del trattamento ai principi di liceità, correttezza e trasparenza, nonché l’ assenza di un idoneo presupposto normativo in violazione degli art. 5, comma 1 , lett. a) ; art. 6 e art. 9 del Reg. UE 2016/679. ( Dati biometrici : il quadro normativo sul trattamento dei dati personali )
Il Regolamento europeo sulla protezione dei dati personali (GDPR) classifica le impronte digitali e altri dati biometrici tra i dati sensibili oggetto di tutele rafforzate. Ai sensi dell’ art. 9 del GDPR, il trattamento di questi dati è vietato, salvo specifiche eccezioni previste da norme specifiche o da contratto collettivo, e solo in presenza di garanzie appropriate per i lavoratori. In ogni caso, il trattamento deve rispondere a un interesse pubblico, come specifiche esigenze di sicurezza non riconducibili a meri motivi organizzativi, e rispettare criteri di necessità e proporzionalità rispetto all’obbiettivo perseguito.
Il Garante ricorda, dunque, che :
1. per via del legame di subordinazione il consenso, anche se informato, non può ritenersi “libero” e non può di per sé giustificare il trattamento ;
2. il trattamento deve essere adeguato, pertinente e limitato a quanto necessario rispetto alle finalità per le quali si avvia il trattamento. Bisogna sempre valutare se esistano metodi meno invasivi per raggiungere lo stesso scopo.
3. prima di avviare il trattamento è necessaria la valutazione di impatto ( DPIA ).
Pu riconoscendo alcune circostanze attenuanti, come l’atteggiamento collaborativo durante l’ istruttoria e l’assenza di precedenti violazioni, il Garante ha inflitto all' istituto scolastico una sanzione da 4.000 euro.
Il provvedimento conferma come la protezione dei dati personali resti un tema cruciale per qualsiasi organizzazione, sia pubblica che privata. La frequenza con cui il Garante si trova ad affrontare casi simili, caratterizzati da una grossolana superficialità sui temi privacy, conferma come la formazione non vada intesa come mero adempimento normativo, bensi come un ‘opportunità per promuovere una cultura aziendale fondata sulla trasparenza e sul rispetto dei diritti individuali.
WST Law & Tax