Sovranità digitale Cittadinanza digitale Intelligenza Artificiale Sicurezza Informatica Sanità digitale Documenti digitali Industria 5.0/Innovazione in azienda Libri Procurement dell'innovazione Guide alla scelta tech Infrastrutture digitali Fatturazione elettronica Scuola digitale Cultura e società digitali Mercati digitali Startup Sostenibilità e smart city

norme privacy e governance

Biometria in azienda: quando si può usare e quali rischi evitare

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

L’uso della biometria in azienda richiede una valutazione rigorosa di necessità, proporzionalità e base giuridica. Tra GDPR, provvedimenti del Garante e AI Act, le imprese devono distinguere tra verifica e identificazione biometrica, adottando DPIA, privacy by design e governance adeguata

Pubblicato il 15 mag 2026
Mario Cucciarrè

Avvocato, Associate – Rödl & Partner, dipartimento di Data Protection, Cybersecurity e Innovation

biometria in azienda
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

L’adozione di sistemi di verifica e identificazione biometrica (quali il riconoscimento facciale o vocale) è in forte crescita in ambito aziendale, specie per finalità di sicurezza, controllo accessi e monitoraggio delle attività. Tuttavia, tali soluzioni presentano elevati rischi legali e operativi, in quanto implicano il trattamento di dati biometrici, qualificati dal GDPR come categorie particolari di dati e soggetti a un regime rafforzato di tutela.

Riconoscimento facciale con l’IA: discipline Ue e Usa a confronto

Analizziamo, perciò, i più recenti provvedimenti del Garante, che evidenziano un approccio particolarmente rigoroso nell’utilizzo di tali tecnologie. Muovendo da tali evidenze, proviamo individuare i principali errori ricorrenti nelle implementazioni aziendali di sistemi biometrici: sovrastima della necessità della tecnologia, assenza di alternative meno invasive, carenze nella definizione della base giuridica, mancata conduzione della DPIA e insufficiente integrazione dei principi di privacy by design.

L’analisi viene poi estesa al nuovo quadro europeo introdotto dall’AI Act, che impone ulteriori obblighi per i sistemi di identificazione biometrica (distinti dai sistemi di “verifica biometrica”) qualificati come “ad alto rischio” e, in alcuni casi, ne vieta l’utilizzo. Per le imprese, ciò si traduce nella necessità di integrare la compliance privacy con nuovi presidi di governance dell’intelligenza artificiale.

In chiave operativa, il contributo propone un percorso strutturato per le aziende che intendano adottare tali sistemi. L’obiettivo è offrire alle imprese una guida pratica per evitare rischi sanzionatori e reputazionali, garantendo al contempo un utilizzo responsabile e sostenibile delle tecnologie biometriche.

Sistemi di identificazione e verifica biometrica: inquadramento tecnico e giuridico

Negli ultimi anni, le tecnologie biometriche sono entrate stabilmente nei processi organizzativi di imprese e istituzioni. Sistemi di riconoscimento facciale o vocale, soluzioni di autenticazione tramite impronta digitale o analisi di caratteristiche comportamentali vengono sempre più spesso proposti come strumenti in grado di rafforzare la sicurezza, semplificare l’accesso ai servizi, ridurre frodi e abusi e, più in generale, aumentare l’efficienza operativa.

Questa crescente diffusione, tuttavia, si accompagna a un livello di complessità giuridica particolarmente elevato. L’uso della biometria implica infatti il trattamento di dati personali che il GDPR qualifica come dati biometrici, ossia informazioni ottenute attraverso un trattamento tecnico specifico relative alle caratteristiche fisiche, fisiologiche o comportamentali di una persona, capaci di consentirne o confermarne l’identificazione univoca. Proprio per questa loro intrinseca connessione con l’identità dell’individuo, tali dati rientrano nelle categorie particolari di dati personali di cui all’articolo 9 del GDPR e sono assoggettati a un regime di protezione rafforzato.

In questo contesto, un primo elemento di chiarezza – spesso sottovalutato nella prassi applicativa – riguarda la distinzione tra sistemi di “identificazione biometrica” e sistemi di “verifica biometrica”. Si tratta di una distinzione non meramente tecnica, ma destinata a produrre conseguenze rilevanti sul piano regolatorio.

Identificazione biometrica e verifica biometrica

I sistemi di identificazione biometrica operano mediante un confronto “uno-a-molti”, nel quale i dati biometrici di una persona vengono confrontati con un insieme di dati presenti in una banca dati di riferimento al fine di stabilire l’identità del soggetto. È il caso tipico dei sistemi che cercano di rispondere alla domanda “chi è questa persona?”. I sistemi di verifica biometrica, invece, funzionano secondo una logica “uno-a-uno”: l’identità dell’interessato è già nota o dichiarata e il sistema si limita a verificare che la persona sia effettivamente chi afferma di essere, ad esempio per accedere a un servizio o a un’area riservata.

Questa distinzione, già presente nella giurisprudenza e nei provvedimenti delle Data Protection Authorities, assume oggi un rilievo centrale anche nel nuovo quadro europeo sull’intelligenza artificiale. L’AI Act, infatti, esclude espressamente i sistemi di verifica biometrica dall’ambito dei sistemi di identificazione biometrica remota, riconoscendo che tali soluzioni presentano, in linea generale, un impatto meno invasivo sui diritti fondamentali delle persone (almeno ai fini AI Act).

Dal punto di vista tecnico, è bene ricordare che i sistemi biometrici prevedono normalmente una fase di registrazione iniziale (enrolment), nella quale viene acquisita l’immagine del volto, la voce o un’altra caratteristica biometrica, e una fase successiva di confronto, basata sulla creazione e sull’analisi di modelli biometrici. Come chiarito più volte dal Garante, anche quando le immagini grezze vengono cancellate in tempi rapidi e sono conservati solo i modelli biometrici, il trattamento resta comunque qualificabile come trattamento di dati biometrici se la funzione identificativa o autenticativa permane.

Questo aspetto ha implicazioni dirette sul piano operativo: l’idea che sia sufficiente “alleggerire” il trattamento sotto il profilo tecnico per sottrarlo all’applicazione dell’articolo 9 del GDPR continua a rivelarsi, alla luce della prassi delle autorità, giuridicamente insostenibile.

La classificazione dei sistemi biometrici ai fini dell’AI Act: divieti, alto rischio e ambiti consentiti

Il Regolamento (UE) 2024/1689 (“AI Act”) introduce un approccio strutturato e basato sul rischio che incide in modo significativo anche sull’uso dei sistemi biometrici. In questo contesto, il legislatore europeo individua infatti pratiche di intelligenza artificiale vietate, sistemi qualificati come ad alto rischio e aree nelle quali l’utilizzo è consentito, ma a condizioni ben precise.

Il punto di partenza è rappresentato dall’articolo 5 dell’AI Act, che vieta – come regola generale – l’uso di sistemi di identificazione biometrica remota in tempo reale in spazi accessibili al pubblico per finalità di attività di contrasto. Tale divieto trova la propria giustificazione nell’elevato grado di intrusività di queste tecnologie, nella loro capacità di incidere sulla vita privata di un numero indeterminato di persone e nel rischio di trasformare spazi pubblici in aree di sorveglianza generalizzata.

Il regolamento prevede alcune eccezioni tassative, limitate a situazioni di estrema gravità e subordinate a rigorose garanzie procedurali, quali l’autorizzazione preventiva da parte di un’autorità giudiziaria o amministrativa indipendente e la conduzione di una valutazione di impatto sui diritti fondamentali. È importante sottolineare che questo regime si riferisce specificamente alle attività di law enforcement; tuttavia, anche al di fuori di tali finalità, l’utilizzo di sistemi di identificazione biometrica remota in contesti accessibili al pubblico rimane altamente critico.

Sistemi biometrici ad alto rischio

Al di fuori dell’ipotesi di divieto, i sistemi di identificazione biometrica rientrano tra i sistemi di IA ad alto rischio ai sensi dell’articolo 6 e dell’Allegato III dell’AI Act. La qualificazione come “high-risk” non equivale a un’autorizzazione implicita all’uso del sistema, ma comporta l’applicazione di un insieme articolato di obblighi a carico dei fornitori e dei deployer, che si aggiungono – senza sostituirli – agli obblighi derivanti dal GDPR. Il regolamento chiarisce infatti che la conformità all’AI Act non costituisce, di per sé, una base giuridica per il trattamento dei dati personali.

Di particolare interesse per le imprese private è invece la scelta del legislatore europeo di escludere i sistemi di verifica biometrica uno-a-uno dalla categoria dei sistemi ad alto rischio (cfr. All. III n. 1, lett. a) AI Act). I sistemi utilizzati esclusivamente per confermare l’identità di una persona già identificata, ad esempio per l’accesso a un servizio o a locali aziendali, sono considerati, in linea generale, meno impattanti sui diritti fondamentali e, pertanto, sottratti al regime rafforzato previsto per l’alto rischio.

Questa esclusione non deve però essere sopravvalutata. I sistemi di verifica biometrica restano infatti pienamente soggetti al GDPR e ai principi di liceità, necessità e proporzionalità, nonché – eventualmente – alle norme applicabili in ambito giuslavoristico (cfr. art. 4 St. Lav.).

L’AI Act, in sostanza, non “liberalizza” la biometria, ma contribuisce a tracciare una linea di demarcazione più netta tra soluzioni ad altissimo impatto e strumenti che, se correttamente progettati, possono trovare una collocazione più sostenibile anche in un contesto aziendale (fatte salve le altre normative applicabili).

Lezioni apprese dal provvedimento del Garante e misure operative per le imprese

Il recente provvedimento del Garante per la protezione dei dati personali del 29 gennaio 2026[1] rappresenta un passaggio particolarmente significativo per comprendere come le Autorità interpretino, nella pratica, l’uso di “verifica biometrica”). Il caso riguardava l’impiego di un sistema di riconoscimento facciale da parte di un’università telematica per verificare l’effettiva partecipazione degli studenti alle lezioni online.

Al di là del contesto specifico, il provvedimento assume un valore paradigmatico anche per il settore privato, poiché mette in luce una serie di criticità ricorrenti nell’adozione di soluzioni biometriche. L’Autorità ha contestato, tra l’altro, l’assenza di una base giuridica adeguata, l’inidoneità del consenso prestato dagli interessati, la sproporzione delle modalità di conservazione dei dati e la mancata conduzione di una valutazione di impatto preventiva (DPIA).

Le aziende che valutano l’adozione di sistemi di verifica biometrica devono quindi adottare almeno le seguenti misure:

  • svolgere un’analisi rigorosa di necessità e proporzionalità, dimostrando che la biometria rappresenti l’unico mezzo idoneo o comunque il meno invasivo per raggiungere la finalità perseguita;
  • individuare una corretta base giuridica del trattamento, con la consapevolezza che il consenso, soprattutto in contesti caratterizzati da squilibri di potere (si pensi al caso dei rapporti di lavoro), è spesso una base fragile o inidonea;
  • effettuare una DPIA completa e documentata prima di avviare il trattamento;
  • integrare effettivamente nei processi e nello sviluppo i principi di privacy by design e by default nella progettazione del sistema, limitando i dati trattati e i tempi di conservazione;
  • adempiere sia al GDPR che ai nuovi presidi di governance introdotti dall’AI Act, evitando una gestione frammentata della compliance.

La mancata adozione di un approccio strutturato, come quello rappresentato, espone le imprese a una pluralità di rischi:

o il rischio di sanzioni amministrative rilevanti ai sensi del GDPR, che possono raggiungere fino al 4 % del fatturato mondiale totale annuo;

o l’adozione di misure correttive da parte delle autorità, fino al divieto di utilizzo dei sistemi biometrici;

o un impatto reputazionale significativo, soprattutto nei settori ad alta visibilità o a forte relazione con il pubblico;

o la perdita di ricavi e di competitività;

o la sospensione della continuità operativa e, quindi, delle attività;

o il rischio di licenziamenti;

o la prospettiva di nuovi profili di responsabilità legati all’entrata a pieno regime dell’AI Act (sanzioni fino al 7 % del fatturato mondiale totale annuo) e al rafforzamento dei poteri di vigilanza del Garante e dell’ACN.

Conclusioni

Il provvedimento del Garante del gennaio 2026 conferma che la biometria non è vietata in assoluto, ma richiede un livello di attenzione e di responsabilizzazione particolarmente elevato. La biometria rappresenta dunque per le imprese una tecnologia, tanto ad alto potenziale, quanto ad altissimo rischio regolatorio. Le organizzazioni – con l’aiuto di professionisti esperti – debbono dunque implementare un processo di conformità integrato al combinato disposto di GDPR e AI Act, che impone un cambio di paradigma: dall’adozione opportunistica di soluzioni tecnologiche alla costruzione di progetti di compliance integrata, capaci di coniugare esigenze di sicurezza ed efficienza con la tutela dei diritti fondamentali.

Note

[1] Provvedimento del 29 gennaio 2026 [10221611], Registro dei provvedimenti n. 35 – Garante Privacy

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

C
Mario Cucciarrè
Avvocato, Associate – Rödl & Partner, dipartimento di Data Protection, Cybersecurity e Innovation

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • cybersecurity AI; malware polimorfici

  • approfondimento

    Contrasto ai malware polimorfici nel post-quantistico: crittografia, IA e Zero Trust

    13 Mag 2026

    di Federica Maria Rita Livelli

    Condividi
  • cookie wall giornali garante privacy

  • la guida

    Cookie: cosa sono, come funzionano e come proteggerti

    22 Set 2025

    di Antonino Polimeni

    Condividi
  • mail lavoro metadati Adozione AI 2025 SA8000:2026

  • privacy

    Posta privata sul PC aziendale: la Cassazione ferma i controlli del datore

    27 Mar 2026

    di Valentina Galletta

    Condividi
0
Lascia un commento, la tua opinione conta.x