L’utilizzo di sistemi biometrici per la rilevazione delle presenze lavorative, benché apparentemente efficace sul piano organizzativo, pone rilevanti criticità in relazione al rispetto del Regolamento Generale sulla Protezione dei Dati (GDPR), alla normativa lavoristica interna e ai principi di proporzionalità e minimizzazione. Il presente contributo analizza l’evoluzione dell’orientamento del Garante Privacy, con particolare attenzione alla prassi sanzionatoria più recente, e riflette sul ruolo che le parti sociali e la contrattazione collettiva possono assumere per orientare le imprese verso modelli di gestione dei dati pienamente conformi.

Il rischio di una “falsa neutralità” tecnologica. La crescente automazione dei processi aziendali ha reso sempre più frequente il ricorso a strumenti di rilevazione delle presenze basati su tecnologie biometriche, come il riconoscimento facciale o la scansione delle impronte digitali. Tali strumenti, lungi dal rappresentare meri dispositivi “neutrali”, incidono in profondità sulla sfera identitaria del lavoratore, generando tensioni con i principi fondamentali della disciplina giuslavoristica e della normativa in materia di protezione dei dati personali.

I dati biometrici nel GDPR: disciplina e limiti al trattamento. Il Regolamento (UE) 2016/679 qualifica i dati biometrici come dati particolari (art. 9, par. 1), soggetti a un divieto generale di trattamento, salvo le eccezioni previste al paragrafo 2. In ambito lavorativo, la deroga potenzialmente rilevante è quella prevista alla lettera b), secondo cui il trattamento è lecito se necessario per assolvere obblighi o esercitare diritti in materia di diritto del lavoro, nei limiti in cui sia autorizzato dal diritto dell’Unione, nazionale. Nessuna disposizione di rango nazionale autorizza il trattamento dei dati biometrici per scopi di natura meramente amministrativa”.

Il principio di minimizzazione e il test di proporzionalità. Ai sensi dell’art. 5, par. 1, lett. c) GDPR, il titolare del trattamento è tenuto a trattare solo i dati adeguati, pertinenti e limitati rispetto alle finalità perseguite. La giurisprudenza privacy – nazionale ed europea – ha ribadito che tale principio impedisce il ricorso a sistemi biometrici se esistono alternative meno invasive, come badge, codici identificativi, o dispositivi RFID. Il principio di proporzionalità comporta inoltre un bilanciamento ex ante tra: l’interesse del datore al controllo organizzativo e il diritto del lavoratore alla tutela dei propri dati e della propria dignità (artt. 1 e 2 Cost.).

Il consenso nei rapporti di lavoro: invalidità strutturale. Nel contesto lavorativo, il consenso del lavoratore non può costituire base giuridica valida per il trattamento di dati biometrici. Lo ha più volte ribadito il Garante, richiamando il considerando 43 GDPR, che valuta il consenso non libero se prestato in condizioni di asimmetria contrattuale, come quelle che caratterizzano il rapporto di lavoro subordinato. (Garante Privacy, Provv. n. 167/2025🡪 “Il consenso manifestato dai lavoratori non è idoneo a legittimare il trattamento, in ragione della posizione di subordinazione contrattuale”).

La prassi sanzionatoria: dal principio alla deterrenza concreta. Il Garante ha applicato un approccio graduato, ma severo, nel sanzionare i datori di lavoro che hanno impiegato tecnologie biometriche in assenza dei presupposti legittimanti. Alcuni casi emblematici🡪

(Provv. 6 giugno 2024: sanzione di € 120.000 per riconoscimento facciale su 40 dipendenti, con base giuridica assente e finalità sproporzionata. Provv. 14 settembre 2023: sanzione di € 5.000 a piccola impresa (13 dipendenti), per aver utilizzato un sistema biometrico dotato di meccanismo automatico di cancellazione dei dati. Provv. 167/2025: sanzione di € 4.000, nonostante il consenso formale dei lavoratori).

Le eccezioni ammissibili: quando (e solo quando) il trattamento può essere lecito. Il trattamento dei dati biometrici può essere ammesso, previa valutazione d’impatto (DPIA, art. 35 GDPR) e consultazione preventiva con l’Autorità (art. 36), solo se sussistono esigenze eccezionali come: accesso a aree ad alto rischio o riservate (es. laboratori chimici, centri di calcolo strategici); protezione di segreti industriali o beni ad alto valore economico; esigenze di sicurezza pubblica o protezione infrastrutturale.

Soluzioni conformi: l’efficienza non richiede l’invasività. Le imprese possono ricorrere a strumenti alternativi pienamente conformi come: badge magnetici o RFID; codici PIN personali; app mobile con autenticazione non biometrica; sistemi cloud con registrazione dei log di accesso. Questi strumenti rispettano i principi di minimizzazione, proporzionalità e liceità, senza sacrificare le esigenze di controllo aziendale.

Il ruolo delle parti sociali e della contrattazione collettiva. Le rappresentanze sindacali, unitamente ai professionisti esperti in diritto del lavoro, giocano un ruolo cruciale su tre livelli: Negoziale – Promuovere accordi che escludano esplicitamente l’uso di sistemi biometrici per finalità ordinarie e prevedano alternative privacy-compliant. Informativo – Educare i lavoratori sui loro diritti in materia di protezione dei dati e sulle modalità legittime di controllo. **Consultivo – Partecipare attivamente ai processi decisionali aziendali in fase di introduzione o modifica di tecnologie di sorveglianza.

Conclusioni. L’impiego di tecnologie biometriche per il controllo delle presenze, se non correttamente inquadrato, rischia di tradursi in una violazione sistematica dei diritti fondamentali del lavoratore e in responsabilità legali significative per l’impresa.In un contesto normativo in costante evoluzione, la protezione dei dati assume una valenza strutturale nella governance aziendale, tanto quanto la sicurezza sul lavoro o la prevenzione della discriminazione. La sfida, per imprese e rappresentanze sindacali, consiste nell’integrare efficienza e legalità, evitando soluzioni scorciatoie e promuovendo una cultura del lavoro che metta al centro la persona, i suoi diritti e la sua integrità.

Conoscere i propri diritti è importante ma, ancora di più, è esercitarli nel modo corretto. I dirigenti di Azione Sindacale Udine garantiscono ai propri iscritti una tutela gratuita, qualificata e tempi di attesa che non superano, nella peggiore delle ipotesi, le 48 ore. 

• puoi chiamarci: Linea mobile 331-7497940  

o contattarci via e-mail: azionesindacale.fvg@gmail.com