Rilevazione delle presenze in azienda e GDPR: Il datore di lavoro può adottare sistemi di rilevazione delle presenze basati sull’utilizzo di dati biometrici dei dipendenti?

Di Avv. Giovanni Reho e Dr. Ludovico Amico – I sistemi di rilevazione delle presenze e l’utilizzo dei dati biometrici – All’interno di qualsiasi contesto aziendale, i sistemi di rilevazione delle presenze svolgono una funzione centrale sul piano organizzativo e di gestione delle risorse. Il processo di rilevazione, infatti, assicura la corretta registrazione dell’orario di ingresso e di uscita dei dipendenti e di conseguenza consente al datore di monitorare il rispetto dei turni e delle ore di lavoro, anche ai fini del calcolo della retribuzione delle ore effettivamente lavorate, all’esito di un’analisi compiuta prendendo come riferimento un dato oggettivo e verificabile.

I sistemi di rilevazione delle presenze – dai più tradizionali come i cartellini cartacei a quelli più moderni come i badge magnetici o codici PIN – non sempre sono sufficienti a gestire il rischio concreto di violazioni da parte dei dipendenti dell’azienda. Emblematico è il fenomeno del “buddy punching”, mediante il quale due o più dipendenti d’accordo tra di loro mettono in pratica condotte fraudolente per coprire ritardi o uscite anticipate. Il fenomeno è largamente diffuso specialmente in contesti aziendali più vulnerabili e caratterizzati da sistemi di rilevazione e di sorveglianza limitati.

Per far fronte a tali circostanze, spesso il datore di lavoro si è domandato se sia possibile adottare dei sistemi di verifica fondati sull’analisi dei dati biometrici dei dipendenti. Per dati biometrici si intendono informazioni relative a caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che consentono in modo idoneo e univoco l’identificazione della medesima persona. A titolo esemplificativo, si pensi a sistemi di lettura delle impronte digitali oppure a telecamere in grado di effettuare una scansione del volto o dell’iride del dipendente.

Il quadro normativo vigente e conforme al GDPR: il divieto generale e le sue eccezioni

L’uso dei sistemi biometrici per la rilevazione delle presenze sul luogo di lavoro incontra un divieto generale sancito dall’art. 9 par. 1 del Regolamento UE 2016/679 (GDPR) che regola il trattamento di categorie particolari di dati personali. I dati biometrici, infatti, sono ricompresi in una categoria particolare di dati personali esposta a gravi fattori di rischio e pertanto soggetta a misure di tutela più rigorose in quanto la compromissione di tali dati può causare all’interessato un pregiudizio significativo, talvolta perfino irreparabile. Per tali categorie di dati, infatti, agli Stati membri è concesso di definire ulteriori condizioni, anche maggiormente limitative, con riferimento alle modalità di trattamento.

L’art. 9 cit. al par. 2 prevede limitate ipotesi eccezionali di seguito sinteticamente riassunte, in cui il divieto non trova applicazione ed il trattamento di tali categorie di dati è consentito, seppur in presenza di adeguate misure di garanzia e nel rispetto di specifiche condizioni:

1. a) con il consenso esplicito per una o più finalità specifiche;
2. b) per l’assunzione di obblighi e per l’esercizio di diritti specifici del titolare o dell’interessato in materia di diritto del lavoro e di sicurezza e protezione sociale, nel rispetto di quanto previsto dal diritto dell’UE o degli Stati membri o dal relativo CCNL applicabile;
3. c) per la tutela di un interesse vitale dell’interessato o di un’altra persona, quando l’interessato non è in grado di prestare il consenso;
4. d) se il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con le suddette realtà associative o organismi e che i dati non siano comunicati all’esterno senza il consenso dell’interessato;
5. e) quando i dati sono stati resi manifestamente pubblici dall’interessato;
6. f) per accertare, esercitare o difendere un diritto in sede giudiziaria o nel caso di esercizio di funzioni giurisdizionali da parte delle autorità competenti;
7. g) per motivi di interesse pubblico rilevante, riconosciuti dall’UE o dagli Stati membri, purché il trattamento sia proporzionato rispetto alle finalità perseguite, conforme con il diritto alla protezione dei dati e avvenga in  presenza di misure adeguate e specifiche per la tutela dei diritti fondamentali e degli interessi dell’interessato;
8. h) per il conseguimento di finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali;
9. i) per ragioni di pubblico interesse in materia di sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici nel rispetto di quanto previsto dal diritto dell’Unione o degli Stati membri;
10. j) per motivi di archiviazione di pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89 par. 1 del GDPR

La posizione dell’Autorità Garante per la Protezione dei Dati Personali

Ciò premesso, in linea con il proposito del presente articolo è doveroso esaminare l’orientamento consolidato del Garante per la Protezione dei Dati Personali, ossia l’autorità amministrativa indipendente istituita per assicurare la tutela dei diritti e delle libertà fondamentali e il rispetto della dignità in materia di trattamento dei dati personali.

Il Garante sostiene fermamente che l’impiego generalizzato dei dati biometrici per il perseguimento di finalità connesse alla rilevazione delle presenze sul luogo di lavoro deve essere conforme ai principi di liceità, proporzionalità e minimizzazione dei dati che governano la materia del trattamento dei dati personali e che in ogni caso il titolare del trattamento deve rispettare.

Indipendentemente dalla manifestazione del consenso dell’interessato che deve considerarsi nel caso inefficace, in assenza di una idonea base giuridica, l’adozione dei dati biometrici per la rilevazione delle presenze ed il controllo degli orari di lavoro costituisce una condotta illecita che comporta la conseguente irrogazione nei confronti del datore di sanzioni effettive, proporzionate e dissuasive.

Peraltro, ai sensi dell’art. 5 del GDPR, i dati utilizzati devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”. Così, le ragioni poste alla base dell’implementazione dei sistemi di rilevazione che fanno uso di biometria non sono proporzionate all’interesse del datore di verificare le presenze e il rispetto puntuale dell’orario di lavoro dei dipendenti, dal momento che l’azienda può validamente adottare misure alternative e meno invasive per raggiungere i medesimi scopi.

In passato, con riferimento al trattamento dei dati biometrici sul luogo di lavoro il Garante ha assunto un indirizzo (cfr. provv. n. 1318582 del 26 luglio 2006 ) con cui ha previsto che in contesti del tutto eccezionali un trattamento simile fosse ammissibile in presenza di specifiche esigenze di sicurezza e per garantire la riservatezza di accesso a determinate aree “sensibili” esposte a particolari criticità considerata la natura delle attività ivi svolte, per cui una generica esigenza di sicurezza non può ritenersi sufficiente.

Il provvedimento n. 10138981 del 26 giugno 2025

Da ultimo, con provvedimento n. 10138981 del 26.06.2025, il Garante per la Protezione dei Dati Personali si è pronunciato su un caso relativo ad un istituto scolastico che ha adottato un sistema di rilevazione delle presenze basato sulle impronte digitali dei lavoratori, previo rilascio del consenso dei medesimi. Il trattamento dei relativi dati biometrici, dunque,  era in grado di identificare in modo univoco il personale scolastico con l’obiettivo di rilevarne la presenza in servizio e prevenire episodi di manomissioni, danneggiamenti e atti vandalici.

Il Garante nel suo provvedimento chiarisce che la finalità di rilevazione delle presenze in servizio dei dipendenti è riconducibile all’ambito di applicazione dell’art. 9 par. 2, lett. b) del GDPR sopracitato. Tuttavia, insiste il Garante, << l’impiego di sistemi di rilevazione delle presenze che comportano anche il trattamento di dati biometrici richiede, nel sistema del Regolamento e del Codice, un’espressa previsione normativa e specifiche garanzie per i diritti degli interessati (il trattamento è infatti consentito “nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri […] in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”, art. 9, par. 2, lett. b), del Regolamento e cons. 51-53, e “nel rispetto delle misure di garanzia” individuate dal Garante ai sensi dell’art. 9, par. 4, del Regolamento e dell’art. 2-septies del Codice) >>.

Riscontrato il difetto di idonea base giuridica, il Garante ha ribadito che nel contesto lavorativo il trattamento dei dati biometrici è lecito se trova il proprio fondamento in una disposizione normativa che può essere ritenuta base giuridica idonea anche alla luce dell’ordinamento costituzionale del singolo Stato membro. Tale difetto, peraltro non può essere colmato dal consenso dei dipendenti.

Pertanto, il Garante ha evidenziato che in mancanza di specifiche disposizioni a favore del trattamento dei dati biometrici per le finalità connesse alla rilevazione delle presenze e delle relative garanzie, il trattamento dei dipendenti – nel caso di specie appartenenti al personale A.T.A. – non è conforme al principio di liceità, correttezza e trasparenza ed è posto in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del GDPR.

Rilevata l’illiceità del trattamento, il Garante ha provveduto ad irrogare nei confronti dell’istituto le sanzioni pecuniarie previste ai sensi degli artt. 58, par. 2, lett. i) e 83 del GDPR e ha disposto altresì in ordine all’applicazione della sanzione amministrativa accessoria della pubblicazione dell’ordinanza di ingiunzione.

Considerazioni conclusive

In conclusione, per quanto sopra espresso la normativa vigente in materia di trattamento dei dati personali ed i moderni processi di compliance aziendale non consentono il libero e generalizzato sfruttamento dei dati biometrici dei dipendenti per integrare i sistemi di rilevazione delle presenze sul posto di lavoro. La regola – da applicarsi sia ai contesti pubblici che a quelli privati – è tenuto a conformarsi ai principi strutturali sopracitati, in virtù dei quali al datore non è consentito trattare dati non necessari rispetto alle finalità per cui gli stessi dati vengono raccolti. Il trattamento sistematico dei dati biometrici dei dipendenti costituisce un processo di trattamento certamente eccessivo per condurre un rilevamento delle presenze dei dipendenti sul posto di lavoro. Lo stesso vale anche nel caso in cui le finalità del datore riguardino una generica attività di prevenzione dei reati nei locali aziendali. Dunque, il datore, oltre a dover preferire un trattamento – in quanto sussistente – alternativo, adeguato e sufficiente a garantire il medesimo scopo, è tenuto ad attuare un trattamento lecito e quindi fondato su una valida base giuridica.

Peraltro, ai sensi dell’art. 35 GDPR, il trattamento che presenti un rischio elevato per i diritti e le libertà delle persone fisiche – come nel caso dell’utilizzo della biometria – obbliga il titolare del trattamento ad eseguire preventivamente “una valutazione dell’impatto (DPIA) dei trattamenti previsti sulla protezione dei dati personali” che il datore intenda raccogliere.

Dunque, il datore di lavoro, nella sua qualità di titolare del trattamento, per rispondere alle esigenze connesse con la rilevazione delle presenze dei dipendenti e contrastare fenomeni come il “buddy punching” dovrà ricercare e adottare soluzioni alternative efficaci e conformi al GDPR che assicurino un adeguato livello di protezione dei dati personali dei dipendenti.

Tra le soluzioni alternative che il datore di lavoro potrebbe adottare per contrastare fenomeni come il buddy punching, vi sono sistemi di rilevazione delle presenze basati su procedure di autenticazione a due fattori, badge elettronici nominali associati ad un con codice PIN / QR code dinamici e sempre diversi generati ad intervalli o su richiesta su dispositivi aziendali individuali. Tali strumenti, se ben configurati e regolamentati, garantiscono un adeguato equilibrio tra controllo, efficacia organizzativa e tutela dei dati personali, nel pieno rispetto del GDPR.

Comments

comments