Il caso ha avuto origine da un reclamo presentato da alcuni dipendenti contro un Istituto di Istruzione Superiore. L’Istituto aveva adottato un sistema di rilevazione delle presenze del personale amministrativo, tecnico e ausiliario (ATA) che richiedeva l’utilizzo delle impronte digitali in abbinamento al badge. L’Istituto aveva giustificato tale implementazione adducendo la necessità di fronteggiare presunti abusi e situazioni di utilizzo scorretto dei badge tradizionali, quali manomissioni e dubbi sulla effettiva presenza in servizio. Nonostante fosse stata offerta la possibilità di utilizzare il solo badge senza associazione dell’impronta, l’Istituto aveva dichiarato che la maggior parte del personale ATA aveva espresso consenso all’integrazione biometrica, ritenendo sufficienti le garanzie fornite dall’azienda fornitrice del sistema e il consenso prestato dai lavoratori, senza aver coinvolto il DPO. Dal punto di vista tecnico, il sistema non conservava l’immagine dell’impronta o dati anagrafici, ma acquisiva le caratteristiche dell’impronta digitale per generare un “modello matematico” (template) irreversibile, associato a un codice identificativo dell’utente, utilizzato per le verifiche.
L’istruttoria del Garante ha tuttavia evidenziato diverse criticità. Il Regolamento (UE) 2016/679 (GDPR) definisce i dati biometrici come “dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca” e li include tra le “categorie particolari” di dati personali, il cui trattamento è, di regola, vietato dall’art. 9, par. 1, del Regolamento. Le eccezioni a tale divieto sono tassative e, in ambito lavorativo, il trattamento di tali dati sarebbe lecito solo se “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro […] nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo […] in presenza di garanzie appropriate”.
Il punto nodale della decisione del Garante risiede nella totale assenza di una base giuridica idonea per il trattamento dei dati biometrici ai fini della rilevazione delle presenze in Italia. Sebbene la finalità di rilevazione delle presenze sia di per sé legittima per il datore di lavoro, l’impiego di sistemi biometrici per tale scopo richiede una specifica previsione normativa, corredata da adeguate garanzie, che attualmente manca nel nostro ordinamento. È stato inoltre rilevato che la Legge n. 56/2019, che aveva previsto l’introduzione generalizzata di sistemi di identificazione biometrica nelle pubbliche amministrazioni, è stata successivamente abrogata dalla Legge di Bilancio 2021 (L. n. 178/2020), e il relativo decreto attuativo non è mai stato adottato. Il Garante aveva peraltro già espresso riserve sulla proporzionalità e invasività di una tale misura generalizzata.
Un aspetto cruciale sottolineato dal provvedimento riguarda il consenso dei dipendenti. Nonostante l’Istituto avesse acquisito il consenso della maggior parte del personale ATA, il Garante ha ribadito che il consenso, di regola, non costituisce un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo. Ciò è dovuto alla strutturale asimmetria tra datore di lavoro e dipendente, che mina la presunzione di libertà del consenso, un principio consolidato a livello europeo.
Per queste ragioni, il Garante ha dichiarato l’illiceità del trattamento dei dati personali biometrici effettuato dall’Istituto, per aver violato gli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento. Nel determinare la sanzione, fissata in 4.000,00 euro, il Garante ha riconosciuto l’alto livello di gravità della violazione, data la natura particolarmente sensibile dei dati biometrici. Tuttavia, sono state considerate circostanze attenuanti, quali la buona cooperazione dell’Istituto con l’Autorità, la tempestiva sospensione dell’utilizzo del sistema biometrico e la cancellazione dei dati raccolti non appena ricevuto il reclamo, l’assenza di precedenti violazioni pertinenti e la natura dell’Istituto come ente scolastico.
