1. Il caso
Con provvedimento n. 167 del 27 marzo 2025 (doc. web n. 10138981), l’Autorità Garante per la protezione dei dati personali ha irrogato a un Istituto di Istruzione Superiore di Tropea una sanzione di 4.000 euro per l’utilizzo di un sistema di rilevazione presenze basato sulle impronte digitali del personale amministrativo (ATA). La misura, introdotta – su base volontaria – per prevenire manomissioni dei badge e atti vandalici, è stata ritenuta priva di un’adeguata base giuridica e sproporzionata rispetto alle finalità perseguite.
Accesso al testo ufficiale: Provvedimento n. 167/2025 – doc. web n. 10138981
2. Il quadro normativo applicabile
Il GDPR annovera i dati biometrici – quando impiegati per identificare univocamente l’interessato – tra le categorie particolari di dati (art. 9). Il loro trattamento è vietato salvo ricorra una delle condizioni tassative di cui all’art. 9, par. 2. Per i contesti lavorativi la base giuridica tipica è la necessità di adempiere obblighi o esercitare diritti in materia di diritto del lavoro, purché ciò sia «autorizzato dal diritto dell’Unione o degli Stati membri» (art. 9, par. 2, lett. b) GDPR).
Nel sistema italiano interviene l’art. 2-septies del d.lgs. 196/2003, che subordina il trattamento dei dati biometrici al rispetto delle “misure di garanzia” adottate dal Garante.
3. Le ragioni dell’illiceità
Assenza di base legale ad hoc
L’uso di dati biometrici per la rilevazione delle presenze richiede una norma di rango primario che disciplini la misura «con specifiche garanzie per i diritti degli interessati». La mancanza di tale norma rende il trattamento illecito.
Inidoneità del consenso del lavoratore
In ragione dell’asimmetria tipica del rapporto di lavoro, «il consenso non costituisce, di regola, un valido presupposto di liceità» in ambito lavorativo – pubblico o privato.
Principio di proporzionalità
Già nel parere n. 167/2019 il Garante aveva evidenziato l’eccessiva invasività dei sistemi biometrici «sistematici, generalizzati e indifferenziati» nella PA, incompatibili con il corretto bilanciamento tra interesse pubblico e diritti dei lavoratori.
4. La sanzione
Pur qualificando la violazione di gravità medio-alta, l’Autorità ha tenuto conto:
- dell’interruzione spontanea del trattamento prima della decisione;
- della buona cooperazione offerta dall’Istituto;
- dell’assenza di precedenti analoghi.
Il Collegio ha quindi ritenuto congruo un importo di € 4.000,00, giudicandolo «effettivo, proporzionato e dissuasivo» ai sensi dell’art. 83 GDPR.
5. Implicazioni operative per datori di lavoro e PA
- Verifica della base giuridica: ogni trattamento di dati biometrici deve poggiare su un fondamento legislativo specifico o su un contratto collettivo che lo autorizzi espressamente.
- Analisi di necessità/proporzionalità: il titolare deve dimostrare che l’obiettivo (p.es. controllo assenteismo) non può essere perseguito con strumenti meno invasivi.
- Coinvolgimento del DPO: consultare il Responsabile della protezione dei dati fin dalle fasi progettuali e svolgere una DPIA completa.
- Limitazione del consenso: evitare di appoggiarsi al consenso del dipendente salvo casi davvero liberi da vincoli gerarchici o ritorsivi.
- Cancellazione tempestiva: in caso di dismissione del sistema, eliminare in modo irreversibile i template biometrici e documentarne l’avvenuta cancellazione.
Box di approfondimento
Linee guida EDPB 04/2022 sul calcolo delle sanzioni amministrative
Versione definitiva adottata il 24 maggio 2023
- Approccio a cinque fasi: (1) classificazione della violazione; (2) fatturato di riferimento; (3) soglia di base; (4) aggravanti/mitiganti; (5) massimi legali.
- Turnover come criterio cardine: la soglia iniziale si calibra sul fatturato globale dell’impresa, garantendo effettività e dissuasività.
- Valutazione del danno concreto e potenziale: l’impatto sugli interessati aumenta l’importo di base, specie per categorie particolari di dati.
- Peso della cooperazione: la collaborazione con l’autorità di controllo può ridurre sensibilmente la sanzione.
- Recidiva e precedenti: violazioni analoghe pregresse comportano un moltiplicatore aggravante fino al 100 %.
6. Osservazioni conclusive
Il provvedimento conferma che i dati biometrici costituiscono una frontiera particolarmente sensibile della privacy: la loro irrevocabilità impone garanzie elevate e basi normative chiare. In prospettiva strategica:
Due-diligence normativa: prima di adottare tecnologie biometriche, occorre mappare lo scenario normativo e le misure di garanzia applicabili.
Governance del rischio: la trasparenza organizzativa (coinvolgimento DPO, DPIA accurata, informative chiare) è lo strumento più efficace per prevenire contenziosi e sanzioni.
Finché non interverrà una disciplina legislativa organica, l’adozione di sistemi biometrici sul luogo di lavoro rimarrà eccezionale e subordinata a rigorose valutazioni di impatto e proporzionalità.
 il trattamento dei dati biometrici resta illecito){kind=link}