Uso delle impronte digitali per il controllo del personale scolastico: condannata la prassi
Una recente decisione del Garante per la protezione dei dati personali segna un precedente significativo per le istituzioni scolastiche che intendano adottare tecnologie biometriche per il controllo del personale.
Con provvedimento n. 167 del 27 marzo 2025 (doc. web n. 10138981), l’Autorità ha sanzionato l’Istituto d’Istruzione Superiore “P. Galluppi” di Tropea per aver adottato un sistema di rilevazione delle presenze del personale A.T.A. basato sull’acquisizione delle impronte digitali, in assenza di un’adeguata base giuridica e senza il rispetto dei requisiti imposti dal Regolamento (UE) 2016/679.
Il fatto: un sistema biometricamente “volontario” ma illecito
Secondo quanto ricostruito nel corso dell’istruttoria il sistema era stato implementato in aggiunta all’uso del badge, a seguito di episodi di abuso e manomissione dei terminali tradizionali. La rilevazione dell’impronta digitale veniva effettuata con il consenso dei lavoratori, che potevano comunque scegliere la timbratura solo con badge.
L’istituto non aveva coinvolto il responsabile della protezione dei dati (DPO) ritenendo sufficienti le garanzie offerte dalla società fornitrice del sistema, e il trattamento era stato sospeso subito dopo l’intervento del Garante e i dati biometrici cancellati.
Le valutazioni giuridiche dell’Autorità
Il trattamento delle impronte digitali rientra tra i trattamenti di dati biometrici finalizzati all’identificazione univoca dell’individuo, e dunque soggetti alle stringenti condizioni dell’art. 9 del GDPR.
Il Garante ha ribadito che:
- il consenso del lavoratore non è sufficiente a rendere lecito il trattamento, a causa dell’asimmetria tra le parti nel rapporto di lavoro;
- l’art. 9, par. 2, lett. b) del GDPR ammette eccezioni al divieto di trattamento di dati biometrici solo in presenza di una previsione normativa esplicita, che qui mancava;
- la normativa nazionale (art. 2-septies del Codice Privacy) richiede che tali trattamenti siano autorizzati e garantiti da misure specifiche stabilite dal Garante, misure che non risultavano adottate nel caso di specie.
L’articolato quadro giuridico richiede non solo un’idonea base giuridica primaria, ma anche l’applicazione del principio di necessità e proporzionalità, che qui risultavano del tutto assenti.
Sanzione e pubblicazione
Alla luce della violazione degli artt. 5, 6 e 9 del GDPR, il Garante ha accertato l’illiceità del trattamento, comminando una sanzione amministrativa pecuniaria pari a 4.000 euro, oltre che disposto la pubblicazione dell’ordinanza ingiunzione sul proprio sito istituzionale, in ragione della delicatezza della materia.
Non sono state adottate ulteriori misure correttive in quanto il trattamento era già stato cessato e i dati cancellati.
Considerazioni conclusive
Il provvedimento rappresenta un chiaro monito per tutte le pubbliche amministrazioni, e in particolare per le istituzioni scolastiche, che intendano innovare i sistemi di controllo presenze con tecnologie basate su dati biometrici.
La lecita introduzione di tali strumenti richiede:
- una base giuridica specifica e conforme al diritto dell’Unione e nazionale;
- il coinvolgimento preventivo del DPO;
- l’adozione di misure di garanzia conformi a quanto previsto dal Garante;
- un approccio minimizzante rispetto alla raccolta e al trattamento di dati particolarmente sensibili.
Il caso dimostra, una volta di più, come la protezione dei dati personali non possa essere subordinata a considerazioni di efficienza organizzativa, specialmente quando si ha a che fare con dati che attengono all’identità fisica dell’individuo.
The post Impronte digitali a scuola: sanzione per trattamento illecito dei dati biometrici first appeared on Osservatorio Italiano sul Diritto delle Nuove Tecnologie.
