L’utilizzo delle impronte digitali per controllare le presenze e l’orario di ingresso e uscita del personale viola la loro privacy: lo sostiene il Garante della Privacy che, in un recente provvedimento, ha comminato una multa ad una scuola.
La vicenda evidenzia ancora una volta quanto sia delicato il trattamento dei dati personali sul luogo di lavoro e quanto sia fondamentale che le amministrazioni pubbliche si attengano a criteri rigorosi di legittimità, necessità e proporzionalità.
La tecnologia, anche quando offre soluzioni innovative, deve sempre rispettare i diritti fondamentali delle persone.
Presenze rilevate con impronte digitali: multa del Garante a una scuola
A confermare i limiti stringenti sull’uso dei dati biometrici in ambito lavorativo è stata l’Autorità Garante per la protezione dei dati personali, che ha imposto una sanzione da 4.000 euro a un istituto scolastico superiore di Tropea. Il provvedimento è scaturito da un reclamo presentato contro l’adozione di un sistema di rilevazione presenze basato sulle impronte digitali, utilizzato esclusivamente per il personale amministrativo.
Il caso
Secondo quanto emerso nel corso dell’istruttoria, la scuola aveva introdotto il dispositivo con una doppia finalità: da un lato tenere traccia delle presenze del personale, dall’altro scoraggiare eventuali episodi di danneggiamento agli ambienti scolastici.
Il sistema era stato applicato solo a quei dipendenti che avevano espresso formalmente il proprio consenso, rifiutando le modalità tradizionali di attestazione della presenza, come il registro cartaceo o il badge elettronico.
Il parere dell’Autorità
Ma per il Garante questo approccio non è sufficiente a legittimare l’uso di tecnologie tanto invasive. L’Autorità ha evidenziato che, nel contesto lavorativo, il consenso del dipendente non rappresenta una base giuridica adeguata, in quanto spesso viziato dal rapporto di subordinazione che rende difficile garantire una vera libertà di scelta. Non si tratta quindi solo di una questione di volontarietà, ma di equilibrio tra poteri: il datore di lavoro, pubblico o privato che sia, non può fare affidamento sul consenso come unico presupposto per trattare dati così sensibili.
A rafforzare la posizione dell’Autorità c’è un parere già espresso nel 2019, che escludeva l’ammissibilità di un utilizzo sistematico e indiscriminato di strumenti biometrici per il controllo degli accessi nelle pubbliche amministrazioni.
Secondo il Garante, l’estrema delicatezza dei dati raccolti – legati in modo univoco all’identità fisica di una persona – impone un impiego rigorosamente limitato, giustificato da norme esplicite, vincolato al rispetto del principio di proporzionalità e riservato a specifici casi di interesse pubblico.
I motivi della sanzione
Nel caso dell’istituto di Tropea, però, mancava completamente una cornice normativa chiara che potesse legittimare l’adozione del sistema. Nessuna legge o regolamento prevedeva l’uso di dati biometrici a fini di rilevazione presenze scolastiche. Di conseguenza, l’intero trattamento si è rivelato illecito ai sensi della normativa europea (Regolamento generale sulla protezione dei dati – GDPR) e di quella nazionale.
Pur riconoscendo la disponibilità della scuola a collaborare durante l’indagine e l’assenza di precedenti analoghi, il Garante ha comunque ritenuto necessario applicare una sanzione pecuniaria, sottolineando l’importanza di mantenere alta l’attenzione sull’uso delle tecnologie in contesti delicati come quello scolastico e lavorativo.
