Rilevazione presenze con impronte digitali: cosa dice il Garante

di Dott.ssa E. Recuperoin Novità dal mondo del lavoroon Pubblicato il

La gestione delle presenze dei dipendenti è una parte fondamentale dell’organizzazione del lavoro in azienda. Negli ultimi anni, molte imprese hanno adottato sistemi di rilevazione basati sull’impronta digitale. Ma questi strumenti, se non correttamente utilizzati, possono violare il Regolamento Generale sulla Protezione dei Dati (GDPR). Vediamo perché. 

Impronte digitali = dati biometrici

Le impronti digitali rientrato tra i dati biometrici, ovvero quei dati che permettono di identificare in modo univoco una persona, come il riconoscimento facciale o la scansione dell’iride. Ai sensi dell’art. 9 del GDPR, sono considerati “dati particolari”, come quelli sanitari, religiosi o etnici. Per questi vige il divieto generale di trattamento, salvo specifiche eccezioni. 

Cosa dice il Garante

Con un provvedimento del 27 marzo 2025, il Garante della Privacy ha detto no all’uso dell’impronta digitale per rilevare le presenze.

Il caso. Una scuola di Tropea aveva adottato un sistema di rilevazione delle presenze del personale ATA con l’utilizzo dell’impronta digitale. Anche se il sistema non conservava le immagini, ma le elaborava per creare modelli matematici associati ai dipendenti, il Garante ha rilevato diverse criticità:

  • il consenso dei lavoratori non era sufficiente per legittimare il trattamento;
  • il trattamento non era necessario né proporzionato, vista la disponibilità di metodi meno invasivi (badge, app, firme);
  • mancava una base giuridica adeguata, come una relata esigenza di sicurezza oppure obblighi normativi. 

La sanzione. La scuola ha ricevuto una sanzione pecuniaria di 4.000€, ridotta per via della collaborazione dimostrata. ‘

Conclusione 

Si può utilizzare l’impronta digitale per le rilevare le presenze, ma solo in casi specifici, quando:

  • è strettamente necessario (per esempio per motivi di sicurezza) e proporzionato;
  • se è stata effettuata una valutazione d’impatto sulla protezione dei dati per analizzare i rischi e adottare le misure di sicurezza necessarie;
  • viene fornita un adeguata informativa ai lavoratori e sicurezza dei dati;
  • se non ci sono alternative meno invasive.

In assenza di questi presupposti, l’utilizzo delle impronte digitali è considerato illecito.