Il Garante per la protezione dei dati personali, con il provvedimento n. 167 del 27 marzo 2025, è intervenuto sanzionando istituto scolastico, per la somma di 4.000,00 euro, per aver introdotto un sistema per la rilevazione delle presenze sul luogo di lavoro del personale ATA basato sulle impronte digitali.

Detta decisione dell’Autorità, che si inserisce in un solco già tracciato da precedenti pronunce, offre importanti spunti di riflessione sul bilanciamento tra le esigenze di controllo del datore di lavoro e il diritto fondamentale alla privacy dei lavoratori.

Il Caso: badge e impronte digitali per verificare le presenze

La vicenda trae origine dal reclamo di alcuni dipendenti di un Istituto di Istruzione Superiore di Tropea, i quali contestavano la legittimità del sistema di rilevazione delle presenze che abbinava il tradizionale badge all’acquisizione dell’impronta digitale.

L’istituto si era difeso sostenendo che tale sistema era stato introdotto per contrastare episodi di assenteismo e di scorretto utilizzo dei badge, e che la quasi totalità del personale aveva prestato il proprio consenso, con la possibilità per i dissenzienti di continuare ad utilizzare il solo badge.

Il consenso del lavoratore non basta

Il Garante, al termine dell’istruttoria, ha ritenuto illegittimo il trattamento dei dati biometrici dei dipendenti.

Le impronte digitali rientrano infatti tra i dati biometrici i quali sono definiti dal Regolamento Europeo 2016/679 (GDPR) come “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici” (art. 4, punto 14), del GDPR).

L’Autorità ha innanzitutto ribadito che i dati biometrici, in quanto “dati particolari” ai sensi dell’art. 9 del GDPR, laddove intesi a identificare in modo univoco una persona fisica, godono di una tutela rafforzata e il loro trattamento è di norma vietato. Le eccezioni a tale divieto, soprattutto in ambito lavorativo, sono circoscritte e richiedono una base giuridica solida, che non può essere il semplice consenso del lavoratore.

Il Garante ha infatti sottolineato come, nel rapporto di lavoro, il consenso del dipendente non possa considerarsi “liberamente prestato”, a causa della naturale asimmetria di potere tra datore di lavoro e lavoratore. Di conseguenza, il consenso è, di regola, inidoneo a fungere da presupposto di liceità per il trattamento dei dati personali dei dipendenti, a maggior ragione se si tratta di dati così delicati come quelli biometrici.

Inoltre, il Garante ha evidenziato che l’utilizzo di dati biometrici per finalità di controllo delle presenze è sproporzionato rispetto all’obiettivo perseguito. Esistono infatti misure meno invasive per raggiungere lo stesso scopo, come controlli a campione o, semplicemente, una più attenta vigilanza.

La Privacy del lavoratore va rispettata 

La decisione del Garante conferma un orientamento ormai consolidato e di estrema importanza per la tutela dei diritti dei lavoratori nell’era digitale. L’utilizzo di tecnologie biometriche sul luogo di lavoro, se da un lato può apparire come una soluzione efficace per prevenire abusi, dall’altro apre le porte a forme di controllo pervasive e potenzialmente discriminatorie.

Il provvedimento in esame ci ricorda che il rapporto di lavoro, pur essendo basato su un sinallagma contrattuale, non può mai prescindere dal rispetto della dignità e dei diritti fondamentali della persona.

La privacy, in questo contesto, non è un mero orpello, ma un limite invalicabile all’esercizio del potere datoriale.

L’Autorità ha pertanto affermato che: “nel contesto lavorativo il trattamento avente a oggetto dati biometrici può essere lecitamente posto in essere solo ove lo stesso trovi il proprio fondamento in una disposizione normativa che possa essere ritenuta base giuridica del trattamento “idonea” anche alla luce dell’assetto delle fonti dell’“ordinamento costituzionale” dello Stato membro””.

L’insistenza del Garante sulla necessità di una base giuridica normativa (legge o contratto collettivo) per il trattamento dei dati biometrici dei lavoratori è un monito per tutte le scuole, le pubbliche amministrazioni e le aziende.

L’innovazione tecnologica deve essere al servizio dell’uomo, e non viceversa. L’efficienza organizzativa non può essere perseguita a discapito delle libertà individuali.

Per tali ragioni, questo provvedimento ribadisce che, in assenza di specifiche disposizioni che prevedano il trattamento dei dati biometrici per finalità di rilevazione delle presenze e delle relative garanzie, il relativo trattamento non può essere lecitamente effettuato, non sussistendo base giuridica.

In conclusione, il “no” del Garante all’utilizzo delle impronte digitali per la rilevazione delle presenze è un’affermazione di principio di grande valore: il luogo di lavoro non è una “zona franca” in cui i diritti fondamentali possono essere compressi o ignorati. La tutela della persona e dei suoi dati personali, anche nella sua dimensione di lavoratore, rimane il faro che deve orientare ogni scelta, anche quelle dettate dalle più moderne tecnologie.