Il Garante Privacy, con provvedimento n. 167 del 27 marzo 2025, si è nuovamente pronunciato sulla conformità alla normativa privacy del trattamento dei dati biometrici dei lavoratori, come le impronte digitali.
In sintesi, il principio affermato dal Garante è quello per cui l’uso dei dati biometrici sul posto di lavoro è consentito solo se previsto da una norma specifica che tuteli i diritti dei lavoratori, e tale trattamento deve rispondere a un interesse pubblico e rispettare criteri di necessità e proporzionalità rispetto all’obiettivo perseguito.
Trattamento dei dati biometrici dei lavoratori e assenza di una base giuridica
Il trattamento di dati biometrici dei lavoratori, come le impronte digitali, di regola vietato ex art. 9, par. 1, GDPR, è consentito esclusivamente al ricorrere di una delle condizioni indicate nel paragrafo 2 dello stesso articolo e, in ambito lavorativo, solo quando sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b).
Il paragrafo 4 prevede inoltre che il trattamento di dati biometrici, per poter essere lecitamente posto in essere, deve avvenire nel rispetto di “ulteriori condizioni, comprese limitazioni”: a tale disposizione è stata data attuazione con l’art. 2-septies del Codice Privacy, per cui è lecito il trattamento di tali categorie di dati, non solo al ricorrere di una delle condizioni di cui all’art. 9, par. 2, GDPR, ma altresì in conformità alle misure di garanzia disposte dal Garante, in relazione a ciascuna categoria dei dati.
Il datore di lavoro, titolare del trattamento, è, in ogni caso, tenuto a rispettare i principi di protezione dei dati personali, tra cui in particolare quelli di “liceità, correttezza e trasparenza”, “minimizzazione” e protezione dei dati “fin dalla progettazione” e “per impostazione predefinita”.
In riferimento al caso di specie, il Garante privacy ha sanzionato un Istituto di istruzione superiore per aver impiegato un sistema di riconoscimento biometrico che, allo scopo di rilevarne la presenza e di prevenire danneggiamenti e atti vandalici, richiedeva l’uso delle impronte digitali del personale amministrativo: i lavoratori coinvolti erano quelli che avevano rilasciato il proprio consenso e che non intendevano ricorrere a modalità tradizionali di attestazione della propria presenza in servizio.
Il Garante ricorda che nel contesto lavorativo il trattamento di dati biometrici come le impronte digitali può essere lecitamente posto in essere solo ove lo stesso trovi il proprio fondamento in una disposizione normativa, che possa essere ritenuta base giuridica del trattamento “idonea”, anche alla luce dell’assetto delle fonti dell’“ordinamento costituzionale” dello Stato membro: tale disposizione deve avere le caratteristiche richieste dalla disciplina di protezione dei dati e soddisfare specifici requisiti, sia in termini di qualità della fonte, contenuti necessari e misure appropriate e specifiche per tutelare i diritti e le libertà degli interessati, sia in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che si intendono perseguire (art. 6, parr. 2 e 3, lett. b), del Regolamento).
Ciò in quanto, la base giuridica del trattamento, per poter essere considerata una valida condizione di liceità del trattamento, deve perseguire un obiettivo di interesse pubblico ed essere proporzionato all’obiettivo legittimo perseguito.
In proposito, il Garante ricorda che l’art. 2 L. 56/2019 aveva previsto che le PA dovessero sostituire i sistemi di rilevazione automatica delle presenze con sistemi di rilevazione di dati biometrici unitamente all’impiego di sistemi di videosorveglianza ai fini della verifica dell’osservanza dell’orario di lavoro; la norma prevedeva tuttavia che le “modalità attuative” fossero individuate con d.P.C.M., previo parere del Garante Privacy.
Quest’ultimo, tuttavia, aveva segnalato al legislatore nazionale le criticità della norma evidenziando, in particolare, l’eccedenza rispetto alle finalità che si intendevano perseguire, anche sotto il profilo della gradualità delle misure limitative che possono essere adottate nei confronti dei lavoratori; aveva ribadito quindi, anche in relazione allo schema di regolamento di attuazione, peraltro mai adottato, che non può ritenersi in alcun modo conforme al canone di proporzionalità l’ipotizzata introduzione sistematica, generalizzata e indifferenziata per tutte le PA di sistemi di rilevazione biometrica delle presenze, in ragione dei vincoli posti dall’ordinamento europeo sul punto, a motivo dell’invasività di tali forme di verifica e delle implicazioni derivanti dalla particolare natura del dato (v. provv. 167/2019).
Le disposizioni che prevedevano l’introduzione di sistemi di rilevazione biometrica delle presenze, in ambito pubblico, contenute nei commi da 1 a 4 dell’art. 2 della citata legge sono state da ultimo abrogate dalla L. 178/2020 (c.d. Legge di Bilancio 2021, art. 1, comma 958).
Pertanto, in assenza di specifiche disposizioni che prevedano il trattamento dei dati biometrici per finalità di rilevazione delle presenze e delle relative garanzie, il relativo trattamento non può essere lecitamente effettuato, non sussistendo base giuridica.
Sull’inidoneità del consenso dei lavoratori al trattamento delle impronte digitali
Il Garante, in numerosi provvedimenti, aveva già chiarito che il difetto di base giuridica, in merito al trattamento dei dati biometrici, non possa essere colmato neppure dal consenso dei dipendenti.
Infatti, alla luce della asimmetria tra le rispettive parti del rapporto di lavoro e la conseguente, eventuale, necessità di accertare, di volta in volta e in concreto, l’effettiva libertà della manifestazione di volontà del dipendente, il consenso non costituisce, di regola, un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo, indipendentemente dalla natura pubblica o privata del datore di lavoro.
In conclusione, il Garante ha ritenuto che il trattamento dei dati personali biometrici dei dipendenti amministrativi, tecnici e ausiliari, effettuato dall’Istituto al fine di identificarli in modo univoco per rilevarne la presenza in servizio, è stato posto in essere in modo non conforme al principio di “liceità, correttezza e trasparenza”, nonché in assenza di un idoneo presupposto normativo, in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del GDPR.