a progressiva diffusione delle tecnologie biometriche – quali sistemi di riconoscimento facciale, lettori di impronte digitali, firma grafometrica e scansione dell’iride – impone oggi una riflessione normativa approfondita e strutturata, indispensabile per consentire alle imprese di operare in modo consapevole all’interno di un contesto regolatorio articolato, dinamico e in costante evoluzione.
Partendo dalla definizione di dato biometrico offerta dall’art. 4, n. 14, del Regolamento (UE) 2016/679 e dal regime di protezione rafforzata previsto dall’art. 9 del medesimo Regolamento, l’articolo esamina i presupposti di liceità del trattamento, le eccezioni al divieto generale, il ruolo del consenso nel contesto lavorativo, i principi di minimizzazione e proporzionalità, gli obblighi di Valutazione d’Impatto sulla Protezione dei Dati (DPIA) e le misure tecnico-organizzative richieste dalla normativa.
L’adozione di tecnologie biometriche nei luoghi di lavoro ha registrato negli ultimi anni una crescita esponenziale, spinta da motivazioni eterogenee: la necessità di contrastare fenomeni di assenteismo, l’esigenza di presidiare l’accesso a locali e sistemi informatici di particolare criticità, la volontà di semplificare e accelerare le procedure di autenticazione. Impronte digitali, riconoscimento facciale, scansione dell’iride, analisi della topografia della mano, firma grafometrica: tutti questi sistemi permettono di identificare con certezza assoluta l’individuo, sfruttando caratteristiche fisiche, fisiologiche o comportamentali uniche e tendenzialmente immutabili nel tempo.
Questa peculiarità (l’unicità e la permanenza del dato biometrico) è al tempo stesso la sua forza applicativa e il suo principale profilo di rischio. A differenza di una password o di un badge, un’impronta digitale o le caratteristiche del volto non possono essere cambiate in caso di violazione: la compromissione di un dato biometrico produce effetti potenzialmente irreversibili sulla sfera identitaria della persona, esponendola a rischi di furto d’identità, profilazione indesiderata e discriminazioni di varia natura.
Indice degli argomenti
Perché il trattamento dei dati biometrici in azienda richiede tutele rafforzate
Il legislatore europeo ha preso atto di questa specificità inserendo i dati biometrici tra le “categorie particolari” di dati personali meritevoli di protezione rafforzata ai sensi dell’art. 9 del GDPR. Il trattamento di tali dati è, in linea di principio, vietato; esso è consentito soltanto al ricorrere di tassative condizioni, la cui sussistenza deve essere dimostrata dal titolare del trattamento con rigorosa documentazione.
Il GDPR, all’art. 4, n. 14, definisce i dati biometrici come “dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.
Una distinzione di fondamentale importanza pratica — spesso trascurata dagli operatori — riguarda la differenza tra la fonte del dato biometrico (il dito, il volto, la mano della persona) e il dato biometrico in senso stretto (il template numerico estratto attraverso il trattamento tecnico). La fotografia di un dipendente, in quanto tale, non è un dato biometrico; lo diventa nel momento in cui un algoritmo di riconoscimento facciale ne estrae le coordinate geometriche e le converte in un vettore numerico confrontabile con altri template. Analogamente, un video di sorveglianza non contiene necessariamente dati biometrici, a meno che non sia abbinato a un sistema di analisi automatizzata delle caratteristiche facciali degli individui ripresi.
Questa distinzione ha rilevanti implicazioni normative: i trattamenti che rimangono a livello di dato grezzo — senza procedere all’estrazione e all’elaborazione finalizzata all’identificazione univoca — non rientrano nella disciplina dell’art. 9 GDPR, ma sono comunque soggetti alle ordinarie regole di trattamento dei dati personali. Il Garante ha confermato questo orientamento in numerosi provvedimenti, precisando che il trattamento di dati biometrici si realizza sia nella fase di registrazione (c.d. enrolment), nella quale vengono acquisite le caratteristiche biometriche dell’interessato e convertite in template, sia nella fase di riconoscimento biometrico, ossia nel confronto quotidiano tra il template acquisito e quello memorizzato (v. Garante, Provvedimento n. 513 del 12 novembre 2014, provvedimenti del 22 febbraio 2024 e 6 giugno 2024).
Le principali tipologie di dati biometrici in azienda
In ambito aziendale, le tipologie di dati biometrici più frequentemente trattate sono le seguenti:
Le impronte digitali e i loro limiti di utilizzo
Si tratta della tecnologia biometrica più diffusa, impiegata in particolare nei sistemi di controllo degli accessi e, più raramente, nella rilevazione delle presenze. I sistemi attuali, nella maggior parte dei casi, non conservano l’immagine dell’impronta, ma un modello matematico (template) ottenuto attraverso l’estrazione delle sue caratteristiche distintive.
Sotto il profilo normativo, il Garante per la protezione dei dati personali non qualifica in via generale le impronte digitali come “meno invasive” rispetto ad altri dati biometrici. Al contrario, le considera dati particolarmente sensibili ai sensi dell’art. 9 GDPR, il cui utilizzo è ammesso solo in presenza di specifiche condizioni di liceità, nel rispetto dei principi di necessità, proporzionalità e minimizzazione.
In diversi provvedimenti, l’Autorità ha ritenuto ammissibile l’uso delle impronte digitali esclusivamente per finalità che presentino un elevato livello di rischio (ad esempio accesso a aree critiche o sistemi ad alta sicurezza), escludendone invece l’utilizzo per esigenze ordinarie, come la semplice rilevazione delle presenze, in assenza di una base giuridica adeguata.
Il riconoscimento facciale e le tecnologie più invasive
Tecnologia in rapida diffusione, che utilizza algoritmi di computer vision per confrontare le caratteristiche geometriche del volto acquisite in tempo reale con i template memorizzati nel database. È considerata dal Garante e dalle autorità europee la tecnologia biometrica più invasiva, in ragione della possibilità di essere applicata a distanza e in modo non percepibile dall’interessato, e dei rischi connessi di sorveglianza di massa e discriminazione algoritmica.
- Topografia della mano. Analisi della geometria della mano (dimensioni delle dita, larghezza del palmo, forma delle falangi). Tecnologia consolidata, utilizzata principalmente per il controllo degli accessi fisici.
- Scansione dell’iride e della retina. Sistemi ad altissima accuratezza, utilizzati in contesti che richiedono livelli di sicurezza molto elevati (banche, laboratori ad accesso ristretto, infrastrutture critiche). L’acquisizione richiede la cooperazione attiva dell’interessato e avviene a breve distanza.
- Firma grafometrica. Analisi delle caratteristiche dinamiche della firma autografa (pressione della penna, velocità di esecuzione, accelerazione, inclinazione). Utilizzata per la firma elettronica avanzata di documenti. Il Garante, nel Provvedimento n. 513/2014, ha dettato specifiche regole per questo utilizzo.
- Voce (riconoscimento vocale). Analisi del timbro, della tonalità e dei pattern spettrali della voce, utilizzata per l’autenticazione in sistemi di telefonia o per il controllo degli accessi logici. Pone particolari problemi di sicurezza in ragione della facilità con cui la voce può essere registrata e riprodotta.
Il quadro italiano sul trattamento dei dati biometrici in azienda
Il D.Lgs. 30 giugno 2003, n. 196, nella versione vigente dopo le modifiche introdotte dal D.Lgs. 10 agosto 2018, n. 101, contiene alcune disposizioni di particolare rilevanza per il tema in esame.
L’art. 2-septies del Codice Privacy disciplina specificamente le “Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute”. Il comma 1 stabilisce che “i dati genetici, biometrici e relativi alla salute possono essere trattati con le modalità di cui all’articolo 9 del Regolamento, nel rispetto delle misure di garanzia disposte dal Garante”. Il successivo comma 2 precisa che tali misure sono adottate con provvedimento del Garante con cadenza almeno biennale e devono tenere conto delle linee guida, delle raccomandazioni e delle prassi in materia, dell’evoluzione scientifica e tecnologica del settore e dell’interesse alla libera circolazione dei dati nell’Unione europea.
Questa disposizione introduce un doppio filtro normativo per il trattamento di dati biometrici: non è sufficiente soddisfare le condizioni dell’art. 9, par. 2, GDPR; occorre altresì rispettare le specifiche misure di garanzia individuate dal Garante. In mancanza di tali misure, che sono ancora in corso di elaborazione, il trattamento è consentito nel rispetto delle linee guida del 2014, adattate alla base giuridica del GDPR, come previsto dall’art. 22, comma 11, del D.lgs. 101/2018.
Il Provvedimento n. 513 del 12 novembre 2014 del Garante (doc. web n. 3556992) costituisce il principale riferimento normativo in materia di trattamento di dati biometrici nel contesto italiano. Il provvedimento è adottato sotto il vigore del previgente Codice Privacy, ma continua a rappresentare un riferimento essenziale in quanto compatibile con le disposizioni del GDPR, secondo quanto previsto dal regime transitorio di cui all’art. 22, comma 11, D.lgs. 101/2018.
Quando il trattamento dei dati biometrici in azienda può essere ammesso
Il Provvedimento individua le seguenti tipologie di trattamento biometrico esonerate dalla verifica preliminare — e quindi considerate in linea di principio lecite a determinate condizioni:
I casi tipici riconosciuti dal Garante
a) Autenticazione informatica. Le caratteristiche biometriche dell’impronta digitale o dell’emissione vocale possono essere utilizzate come credenziali di autenticazione per l’accesso a banche dati e sistemi informatici. Questo trattamento può essere effettuato senza il consenso dell’utente, in quanto si basa sulla necessità del trattamento per adempiere obblighi e diritti in materia di sicurezza informatica.
b) Controllo di accesso fisico ad aree sensibili e utilizzo di macchinari pericolosi. L’impronta digitale o la topografia della mano possono essere utilizzate per limitare l’accesso a locali ritenuti sensibili in cui è necessario assicurare elevati livelli di sicurezza o per consentire l’utilizzo di macchinari pericolosi ai soli soggetti qualificati e addetti.
c) Accesso fisico ad aree a scopi facilitativi. L’impronta digitale e la topografia della mano possono essere utilizzate per consentire, regolare e semplificare l’accesso fisico a servizi o aree (es. biblioteche, aree aeroportuali riservate).
d) Firma grafometrica. L’utilizzo di dati biometrici connessi all’apposizione della firma autografa su dispositivi elettronici (c.d. firma grafometrica) è ammesso nell’ambito della firma elettronica avanzata, nel rispetto delle condizioni previste dal Codice dell’Amministrazione Digitale (D.lgs. n. 82/2005) e delle regole tecniche applicabili. In tali sistemi, i dati biometrici (quali pressione, velocità e ritmo del tratto) vengono trattati con specifiche misure di sicurezza, tra cui la cifratura e il collegamento univoco al documento sottoscritto.
Alla luce del GDPR, l’istituto della verifica preliminare è stato superato, ma il principio sostanziale resta invariato: i trattamenti biometrici che prevedono la creazione di database centralizzati comportano un rischio elevato per i diritti e le libertà degli interessati e richiedono pertanto una valutazione d’impatto (DPIA) ai sensi dell’art. 35 GDPR.
A livello europeo, le linee guida in materia di valutazione d’impatto adottate dal Gruppo di lavoro Articolo 29 individuano il trattamento di dati biometrici come una delle situazioni in cui è sempre necessaria la valutazione d’impatto, in ragione dell’alto rischio per i diritti e le libertà degli interessati. Il Garante italiano ha recepito questa indicazione nell’Elenco delle tipologie di trattamenti soggetti a DPIA, pubblicato con provvedimento dell’11 ottobre 2018, n. 467.
L’EDPB ha inoltre adottato le Linee guida 05/2022 sul riconoscimento facciale nel contesto delle autorità garanti, che sottolineano la necessità di interpretare restrittivamente le eccezioni al divieto di trattamento di dati biometrici e ribadiscono che la finalità di rilevazione delle presenze non può di per sé costituire una base giuridica sufficiente per il trattamento biometrico nel contesto lavorativo.
Anche il Garante europeo della protezione dei dati (EDPS) ha espresso posizioni chiare sul tema, considerando non conforme al principio di proporzionalità l’utilizzo dei dati biometrici dei lavoratori per finalità di controllo degli accessi e degli orari, laddove la stessa finalità possa essere perseguita con modalità meno invasive come fogli di presenza o utilizzo di badge.
Perché la rilevazione delle presenze con dati biometrici in azienda è vietata
La questione più dibattuta riguarda l’utilizzo di sistemi biometrici per la rilevazione delle presenze dei dipendenti e la verifica dell’osservanza dell’orario di lavoro. Si tratta, senza dubbio, dell’applicazione biometrica più diffusa nelle aziende italiane, frequentemente adottata come risposta a fenomeni di assenteismo o di timbrature fraudolente.
Il Garante ha chiarito in modo univoco e ripetuto, nei provvedimenti degli ultimi anni, che l’ordinamento vigente non consente il trattamento dei dati biometrici dei dipendenti per finalità di rilevazione della presenza in servizio. Questa posizione si fonda su una serie di ragioni normative convergenti.
In primo luogo, la finalità di rilevazione delle presenze — sebbene in astratto riconducibile all’ambito applicativo dell’art. 9, par. 2, lett. b), GDPR in quanto connessa al diritto del lavoro — richiede che il trattamento biometrico sia autorizzato dal diritto dell’Unione o degli Stati membri. Nell’ordinamento italiano non esiste attualmente una norma di legge che consenta il trattamento di dati biometrici per la rilevazione delle presenze di lavoratori privati, come il Garante ha ribadito con il provvedimento n. 167 del 2025.
In secondo luogo, anche laddove si volesse ragionare in termini di proporzionalità, il trattamento di dati biometrici per la rilevazione delle presenze viola il principio di minimizzazione sancito dall’art. 5, par. 1, lett. c), GDPR. Come affermato dal Garante in tutti i provvedimenti in materia, esistono sistemi alternativi — badge, PIN personali, sistemi di verifica manuale — che consentono di raggiungere la stessa finalità con un impatto significativamente minore sui diritti degli interessati.
In terzo luogo, la giustificazione frequentemente addotta dai datori di lavoro — la necessità di contrastare fenomeni di assenteismo o di timbratura fraudolenta — non costituisce, di per sé, una base giuridica che legittimi il trattamento biometrico. Il fine di prevenire comportamenti scorretti da parte dei dipendenti non è assimilabile a un “obbligo” di diritto del lavoro che renda il trattamento biometrico “necessario” ai sensi dell’art. 9, par. 2, lett. b). Come precisato dal Garante nel provvedimento del 22 febbraio 2024, le preoccupazioni per l’assenteismo possono essere affrontate con strumenti disciplinari e di vigilanza compatibili con la tutela della privacy dei lavoratori.
I casi in cui i dati biometrici in azienda sono consentiti con cautele
Fermi i divieti sopra descritti, esistono alcune ipotesi in cui il trattamento di dati biometrici in ambito aziendale può essere considerato lecito, nel rispetto delle condizioni e delle misure di sicurezza richieste dalla normativa:
Accesso ai sistemi informatici e banche dati
L’utilizzo di dati biometrici come credenziali di autenticazione per l’accesso a sistemi informatici, banche dati o applicazioni aziendali è riconosciuto come trattamento lecito dal Garante nel Provvedimento n. 513/2014. Questo utilizzo è considerato proporzionato in quanto le caratteristiche biometriche sostituiscono una credenziale (password) che potrebbe essere rubata o condivisa, con un effetto equivalente ma superiore in termini di sicurezza. La base giuridica è individuabile nell’art. 9, par. 2, lett. b), unitamente alle esigenze di sicurezza informatica aziendale.
Il Garante precisa che, in questo contesto, il trattamento biometrico deve avvenire preferibilmente con modalità “matching on device”: la caratteristica biometrica viene acquisita e confrontata direttamente sul dispositivo di lettura, senza trasmettere dati a server centrali e senza memorizzare informazioni ulteriori rispetto al template necessario per il confronto. Questa modalità riduce significativamente il rischio di violazioni dei dati e garantisce un livello di sicurezza e proporzionalità adeguato.
Protezione di aree critiche e infrastrutture sensibili
Il Garante ha riconosciuto la liceità del controllo di accesso fisico ad aree aziendali considerate “sensibili” — dove è necessario assicurare elevati e specifici livelli di sicurezza — attraverso sistemi biometrici basati sull’impronta digitale o sulla topografia della mano. Rientrano in questa categoria, a titolo esemplificativo: locali in cui sono custoditi dati genetici o campioni biologici, archivi contenenti informazioni classificate, aree di ricerca e sviluppo con alto valore competitivo, server room e infrastrutture IT critiche.
Il requisito fondamentale è la particolare criticità dell’area che si intende proteggere: non è sufficiente che l’area sia semplicemente riservata o non accessibile a tutti; occorre che essa custodisca beni, informazioni o attività di valore tale da giustificare il ricorso alla tecnologia biometrica in luogo di sistemi meno invasivi (badge, codice PIN, chiave). Il Garante ha specificato che il sistema deve essere configurato in modo da raccogliere un numero limitato di informazioni (principio di minimizzazione) e che i template biometrici devono essere memorizzati sul dispositivo di lettura, non su archivi centralizzati.
Sicurezza sul lavoro e uso dei macchinari pericolosi
Un’ulteriore ipotesi di trattamento biometrico consentita riguarda l’utilizzo di sistemi biometrici per consentire l’accesso e l’utilizzo di macchinari o attrezzature pericolose ai soli soggetti qualificati e specificatamente addetti. In questo caso, la base giuridica è più solida rispetto alla mera rilevazione delle presenze: il trattamento biometrico è funzionale alla sicurezza sul lavoro e alla prevenzione degli infortuni, finalità che rientrano negli obblighi del datore di lavoro ai sensi del D.Lgs. 9 aprile 2008, n. 81 (Testo Unico sulla Sicurezza sul Lavoro). La necessità e la proporzionalità del trattamento risultano più facilmente dimostrabili quando il sistema biometrico abbia la funzione di impedire fisicamente l’utilizzo di un macchinario pericoloso a soggetti non formati o non autorizzati.
Firma grafometrica e documentazione elettronica
L’utilizzo della firma grafometrica per la sottoscrizione di documenti informatici nell’ambito della firma elettronica avanzata è riconosciuto come lecito, nel rispetto delle disposizioni del CAD (D.lgs. n. 82/2005) e delle prescrizioni del Garante. Il trattamento deve avvenire senza conservazione centralizzata dei template dinamici della firma, in modo da ridurre al minimo il rischio di ricostruzione del dato biometrico. La firma grafometrica, a differenza di altri dati biometrici, è caratterizzata da una certa variabilità nel tempo e tra diverse esecuzioni, il che la rende relativamente meno critica dal punto di vista della privacy.
La DPIA nel trattamento dei dati biometrici in azienda
L’art. 35, par. 1, GDPR impone al titolare di effettuare una Valutazione d’Impatto sulla Protezione dei Dati (Data Protection Impact Assessment, DPIA) prima di avviare trattamenti che presentano un rischio elevato per i diritti e le libertà delle persone fisiche. Il Garante italiano, con il provvedimento dell’11 ottobre 2018, n. 467, ha incluso il trattamento di dati biometrici nell’elenco delle tipologie di trattamenti per cui la DPIA è obbligatoria.
Le linee guida WP 248 rev. 01 dell’Article 29 Working Party chiariscono ulteriormente che il trattamento di dati biometrici in ambito lavorativo comporta molteplici fattori di rischio elevato che rendono obbligatoria la DPIA: il trattamento di categorie particolari di dati, il trattamento che riguarda soggetti vulnerabili quale il dipendente in posizione di soggezione rispetto al datore di lavoro e l’utilizzo di soluzioni tecnologiche innovative.
La DPIA deve essere svolta prima dell’inizio del trattamento e deve contenere: una descrizione sistematica del trattamento e delle sue finalità; una valutazione della necessità e della proporzionalità del trattamento rispetto alle finalità; una valutazione dei rischi per i diritti e le libertà degli interessati; le misure previste per affrontare tali rischi. Nel caso in cui la DPIA evidenzi un rischio residuo elevato che il titolare non sia in grado di ridurre con misure adeguate, l’art. 36 GDPR impone la consultazione preventiva dell’Autorità di controllo prima di procedere con il trattamento.
Informativa e verifica preliminare prima di usare dati biometrici in azienda
L’art. 13 GDPR impone al titolare di fornire all’interessato, al momento della raccolta dei dati, una informativa chiara, trasparente e completa sulle caratteristiche del trattamento. Nel caso dei dati biometrici, l’informativa assume un’importanza ancora maggiore, in ragione della particolare sensibilità dei dati e della necessità di garantire all’interessato una comprensione piena delle implicazioni del trattamento per i propri diritti.
L’informativa per il trattamento di dati biometrici deve specificare, oltre agli elementi ordinariamente previsti dall’art. 13: la natura dei dati biometrici trattati; le modalità di acquisizione e conservazione dei template; i soggetti autorizzati ad accedere ai dati; le misure di sicurezza adottate; i tempi di conservazione dei dati biometrici; i diritti degli interessati e le modalità per esercitarli. Il Garante ha contestato a più imprese la mancata fornitura di informative specifiche e adeguate sul trattamento biometrico, distinte dalle generali informative sul trattamento dei dati personali dei dipendenti.
Prima di procedere all’introduzione di qualsiasi sistema biometrico, il datore di lavoro deve condurre una valutazione preliminare strutturata che risponda alle seguenti domande fondamentali:
- La finalità perseguita è lecita? Rilevazione delle presenze: no, salvo intervento normativo abilitante. Controllo accesso ad area critica: potenzialmente sì, con verifica caso per caso. Autenticazione informatica: sì. Abilitazione macchinari pericolosi: sì, con le necessarie cautele.
- Esiste una base giuridica idonea? L’art. 9, par. 2, GDPR elenca tassativamente le eccezioni al divieto. Per i trattamenti in ambito lavorativo, la lett. b) richiede un’autorizzazione normativa specifica. Il consenso è generalmente inidoneo nel contesto lavorativo.
- Il trattamento supera il test di proporzionalità? Esistono sistemi alternativi ugualmente efficaci e meno invasivi? Se sì, l’utilizzo biometrico non è proporzionato. La risposta alla domanda deve essere documentata nella DPIA.
- Sono soddisfatti tutti gli obblighi formali? DPIA effettuata; Registro aggiornato; informativa fornita; responsabili del trattamento designati; misure di sicurezza adottate; piano di risposta agli incidenti predisposto; sistemi alternativi disponibili per chi non intende fornire dati biometrici.
Le misure tecniche per il trattamento dei dati biometrici in azienda
Sul piano tecnico, i sistemi biometrici conformi devono adottare le seguenti misure di sicurezza:
- Cifratura dei template biometrici. I template devono essere cifrati sia in fase di memorizzazione (at rest) che in fase di trasmissione (in transit), utilizzando algoritmi di cifratura robusti e aggiornati. Le chiavi di cifratura devono essere gestite con procedure che ne garantiscano la riservatezza e la disponibilità.
- Matching on device. Ove possibile, il confronto biometrico deve avvenire direttamente sul dispositivo di lettura (smartcard, lettore di impronte, terminale di accesso), senza trasmissione del template a server centrali. Questa modalità riduce drasticamente il rischio di violazioni dei dati e limita il volume di dati biometrici in circolazione sulla rete aziendale.
- Pseudonimizzazione e separazione dei template. I template biometrici devono essere separati dagli altri dati identificativi dei dipendenti e conservati in modo che non sia immediatamente possibile, in caso di accesso non autorizzato, associare il template all’identità dell’interessato. La pseudonimizzazione non elimina il rischio (i template restano dati personali anche se pseudonimizzati), ma lo riduce significativamente.
- Controlli di accesso granulari. L’accesso al database dei template biometrici deve essere limitato al personale strettamente necessario, attraverso meccanismi di autenticazione forte (autenticazione a più fattori) e tracciamento dettagliato di tutti gli accessi. I log di accesso devono essere conservati per un periodo adeguato e analizzati periodicamente per rilevare accessi anomali.
- Procedure di cancellazione sicura. I template biometrici devono essere cancellati in modo definitivo e irrecuperabile al termine del rapporto di lavoro o al cessare della necessità che ne ha giustificato la raccolta. Non è sufficiente rendere i file “non accessibili”: occorre una cancellazione fisica che impedisca qualsiasi recupero forense del dato.
- Audit periodici. Il sistema biometrico deve essere oggetto di audit periodici, almeno annuali, per verificare la conformità alle misure di sicurezza previste, l’integrità dei dati, l’aggiornamento del software e la persistenza delle misure di protezione nel tempo. I risultati degli audit devono essere documentati e conservati come prova dell’accountability del titolare.
Le misure organizzative sui dati biometrici in azienda
Sul piano organizzativo, la conformità al GDPR nel trattamento di dati biometrici richiede l’adozione delle seguenti misure:
- Policy interna sul trattamento dei dati biometrici. Il datore di lavoro deve adottare una policy interna specifica che disciplini le finalità, le modalità, i soggetti autorizzati, le misure di sicurezza e le procedure di gestione degli incidenti relativi ai dati biometrici. La policy deve essere comunicata a tutto il personale interessato e aggiornata periodicamente.
- Formazione del personale. Il personale che gestisce dati biometrici — addetti HR, responsabili IT, addetti alla sicurezza fisica — deve ricevere formazione specifica sulle caratteristiche di questi dati, sugli obblighi normativi applicabili e sulle procedure da seguire in caso di incidenti. La formazione deve essere documentata e rinnovata periodicamente.
- Coinvolgimento delle rappresentanze sindacali. In ambito lavorativo, l’introduzione di sistemi biometrici è fortemente consigliata previo confronto con le rappresentanze sindacali, in quanto lo Statuto dei Lavoratori richiede il previo accordo sindacale o l’autorizzazione dell’Ispettorato del Lavoro per l’installazione di strumenti di controllo a distanza. Anche se il sistema biometrico non è propriamente finalizzato al controllo dell’attività lavorativa, il coinvolgimento sindacale preventivo riduce il rischio di contestazioni e contribuisce a creare un clima di fiducia con i lavoratori.
- Sistemi alternativi garantiti. Indipendentemente dalla finalità perseguita, il datore di lavoro deve sempre garantire ai dipendenti che non intendano fornire i propri dati biometrici la disponibilità di un sistema alternativo (badge, PIN, firma manuale) che consenta loro di adempiere agli stessi obblighi senza ricorrere al dato biometrico. La mancanza di alternative rende il consenso eventualmente prestato non libero e, quindi, invalido; ma soprattutto, configura una forma di coercizione illegittima nei confronti dell’interessato.
L’AI Act e il futuro dei dati biometrici in azienda
Un riferimento che merita una valutazione in virtù dell’evoluzione del quadro normativo è il Regolamento (UE) 2024/1689 sull’Intelligenza Artificiale (“AI Act”), applicabile progressivamente a partire dal 2 agosto 2024 e pienamente operativo dal 2 agosto 2026, introduce regole specifiche per i sistemi di IA utilizzati per il riconoscimento biometrico. L’AI Act classifica diversi sistemi biometrici come sistemi ad alto rischio (Allegato III) e ne vieta categoricamente alcuni usi, tra cui l’identificazione biometrica remota in tempo reale in spazi accessibili al pubblico a fini di contrasto, con limitate eccezioni.
I sistemi di IA che utilizzano dati biometrici in ambito lavorativo — compresi i sistemi di riconoscimento facciale per la rilevazione delle presenze — rientrano nella categoria ad alto rischio, con la conseguente applicazione di requisiti specifici: sistemi di gestione del rischio, documentazione tecnica, registri delle operazioni, trasparenza nei confronti degli utenti, supervisione umana, accuratezza, robustezza e sicurezza informatica. L’AI Act si sovrappone al GDPR senza sostituirlo: entrambi i regimi normativi devono essere rispettati cumulativamente.
Come già ricordato, l’art. 2-septies del Codice Privacy subordina la liceità del trattamento di dati biometrici al rispetto delle misure di garanzia adottate dal Garante con cadenza almeno biennale. Il Provvedimento n. 513/2014 costituisce il principale riferimento vigente, adottato in applicazione del previgente D.lgs. 196/2003 e mantenuto in vigore in quanto compatibile con il GDPR.
Il Garante ha annunciato l’avvio dei lavori per la predisposizione di un aggiornamento delle misure di garanzia nella Relazione annuale del 2019, ma tale aggiornamento non è ancora stato adottato alla data del presente articolo. L’attesa per questo provvedimento è significativa, in quanto potrebbe chiarire definitivamente le condizioni e i limiti del trattamento biometrico nelle diverse ipotesi applicative, adattando il quadro normativo alle evoluzioni tecnologiche intercorse nell’ultimo decennio (diffusione del riconoscimento facciale, sviluppo di sistemi biometrici contactless, integrazione della biometria con l’IA).
Equilibrio tra sicurezza, privacy e proporzionalità
Il dibattito sulla biometria in ambito lavorativo riflette una tensione più profonda tra due valori fondamentali: la sicurezza — intesa come tutela dell’integrità aziendale, prevenzione delle frodi e garanzia della corretta esecuzione del rapporto di lavoro — e la privacy — intesa come diritto alla protezione dei dati personali e alla riservatezza della sfera identitaria individuale. Questa tensione non può essere risolta attraverso la prevalenza assoluta di uno dei due valori sull’altro: richiede, al contrario, un approccio di bilanciamento contestuale che valuti caso per caso la necessità, la proporzionalità e l’adeguatezza delle misure adottate.
Il quadro normativo vigente indica chiaramente che questo bilanciamento deve avvenire nel rispetto di una gerarchia di valori in cui la tutela dei diritti fondamentali degli interessati occupa una posizione preminente. Le esigenze di efficienza aziendale e di sicurezza organizzativa sono valori legittimi, ma non possono essere perseguite a qualsiasi costo: richiedono la dimostrazione, documentata e verificabile, che non esistano soluzioni alternative meno invasive egualmente efficaci.
Questo approccio di “privacy by design” applicato alla biometria non è necessariamente incompatibile con l’innovazione tecnologica. Significa, piuttosto, progettare i sistemi biometrici in modo che la protezione dei dati sia integrata nella loro architettura, anziché aggiunta a posteriori come adempimento formale. Sistemi di matching on device, archivi distribuiti e cifrati, template biometrici non ricostruibili, cancellazione automatica alla scadenza: queste non sono soltanto misure di conformità normativa, ma scelte progettuali che conciliano sicurezza e privacy in modo strutturale.
Schema finale su liceità, basi giuridiche e misure
Trattamenti biometrici in azienda — liceità, basi giuridiche e misure
| Tipologia di trattamento | Liceità | Base giuridica / Divieto | Misure richieste / Note operative |
| Rilevazione presenze dipendenti (impronta / volto) | VIETATO | Nessuna norma abilitante ex art. 9(2)(b) GDPR. | N/A — sostituire con badge, PIN o verifica manuale |
| Riconoscimento facciale in luoghi pubblici / aperti al pubblico | SOSPESO fino 31/12/2025. | Moratoria D.L. 51/2023 conv. L. 87/2023, art. 8-ter. In attesa di disciplina organica. Divieto di installazione e utilizzazione di sistemi di videosorveglianza basati su riconoscimento biometrico (facciale) in luoghi pubblici o aperti al pubblico. | Divieto assoluto durante la moratoria |
| Autenticazione informatica (accesso a sistemi / banche dati) | CONSENTITO | Art. 9(2)(b) GDPR + Provv. Garante n. 513/2014. Anche senza consenso. | Matching on device; cifratura template; log accessi; no archivi centralizzati |
| Controllo accesso fisico ad aree di particolare criticità | CONSENTITO (con cautele) | Art. 9(2)(b) GDPR + Provv. n. 513/2014. Solo per aree ad alto rischio (server room, R&D, custodia dati genetici). | Solo impronta / topografia mano; DPIA; minimizzazione; sistemi alternativi |
| Abilitazione macchinari pericolosi ai soli soggetti qualificati | CONSENTITO (con cautele) | Art. 9(2)(b) GDPR + D.Lgs. 81/2008 sicurezza lavoro + Provv. n. 513/2014. | DPIA; matching on device; formazione; informativa specifica |
| Firma grafometrica (firma elettronica avanzata) | CONSENTITO | Art. 9(2)(b) GDPR + D.Lgs. 82/2005 (CAD) + Provv. n. 513/2014. | No conservazione template centrali; cifratura; sistemi alternativi per chi rifiuta |
| Profilazione comportamentale / sorveglianza sistematica | VIETATO | Nessuna base giuridica ex art. 9(2). Violazione art. 4 Statuto Lavoratori senza accordo sindacale. | N/A — illecito in ogni caso |
Conclusioni sul trattamento dei dati biometrici in azienda
In definitiva, l’utilizzo di tecnologie biometriche in azienda non è necessariamente precluso dalla normativa vigente: richiede un approccio metodologico rigoroso, basato sull’analisi puntuale del caso concreto, sul rispetto del principio di proporzionalità e sull’adozione di misure tecniche e organizzative adeguate. Le aziende che intendono adottare o già utilizzano sistemi biometrici sono vivamente invitate a condurre una valutazione complessiva della conformità e, laddove necessario, per procedere con le misure correttive del caso, prima che un’ispezione o un reclamo di un dipendente rendano inevitabile l’intervento sanzionatorio del Garante.
