Abbonati

Economia e Finanza

Quotazioni

Risparmio e Investimenti

Fintech

Fisco e Tasse

Lavoro e Diritti

Imprese

Formazione Finanziaria

Attualità

Green

Lifestyle

Motori

Tecnologia

Progetti speciali

Video

Strumenti

Biometria in azienda, come gestire impronte digitali e consenso

Giorgia Dumitrascu

23 Luglio 2025 - 09:31

Controlli biometrici sul lavoro, sono leciti solo se esiste un obbligo lavorativo specifico, accompagnato da adeguate garanzie e trasparenza, altrimenti sono vietate.

Biometria in azienda, come gestire impronte digitali e consenso

Seguici su

L’uso della biometria per sbloccare i cellulari - impronta digitale o riconoscimento facciale - è ormai quotidiano: circa 30-40 % degli utenti attiva queste funzioni per tutelare la propria privacy e sicurezza. Ma quando la stessa tecnologia entra nei luoghi di lavoro, la questione assume dimensioni ed implicazioni ben diverse.

Infatti, il Garante Privacy con un recente provvedimento (n. 167/2025) ha ribadito che il trattamento delle impronte digitali sul posto di lavoro è lecito solo se necessario e proporzionato, escludendo l’uso del consenso in quanto viziato dal rapporto di subordinazione. Parlano con la stessa voce anche altri garanti europei – come l’EDPB e la CNIL – che hanno emesso restrizioni analoghe sul trattamento biometrico in azienda.

Biometria aziendale: cosa significa e quali tecnologie si usano nelle imprese

La biometria aziendale indica:

“L’insieme di tecnologie che consento di identificare o autenticare un individuo attraverso caratteristiche fisiche o comportamentali univoche.”

Tra i sistemi più diffusi troviamo: impronte digitali, riconoscimento facciale, scansione della retina, mappatura del palmo della mano o della voce.

Questi strumenti vengono adottati dalle imprese con l’obiettivo di rafforzare la sicurezza dei luoghi di lavoro, automatizzare il controllo degli accessi a zone riservate e velocizzare la rilevazione delle presenze del personale.

L’obiettivo dichiarato è migliorare i sistemi di controllo accessi, aumentare la sicurezza delle sedi e semplificare i processi di identificazione dei dipendenti sul posto di lavoro. Negli ultimi anni, la diffusione delle tecnologie biometriche in ambito aziendale è cresciuta anche in Italia, coinvolgendo sia grandi realtà che PMI, con una predilezione per i lettori di impronte digitali nei varchi di accesso e nei sistemi di timbratura elettronica.

leggi anche

Chi è il DPO, cosa fa e a cosa serve
Chi è il DPO, cosa fa e a cosa serve

Quali rischi e tutele per i dati biometrici in azienda?

L’uso di questi dispositivi comporta la raccolta di dati personali ad alta intensità, perché le informazioni biometriche sono considerate “categorie particolariart. 9 GDPR e godono di una tutela rafforzata. Questo significa che il loro trattamento è ammesso solo a fronte di stringenti basi giuridiche, e l’azienda deve essere pronta a dimostrare la reale indispensabilità dei sistemi biometrici rispetto a soluzioni alternative meno invasive, come badge magnetici, PIN individuali o token di accesso. Pertanto, non è sufficiente invocare generici obiettivi di controllo o sicurezza interna per giustificare l’uso di lettori biometrici.

“Il Garante Privacy ha sottolineato che il datore di lavoro che vuole introdurre dispositivi biometrici deve dimostrare, con una valutazione oggettiva, che non esistono strumenti altrettanto efficaci e meno invasivi (Garante Privacy, provvedimento n. 167/2025).”

Un esempio arriva dal settore scolastico: l’installazione di rilevatori biometrici per il personale ATA è stata giudicata sproporzionata e non giustificata dal Garante, specie in presenza di alternative meno intrusive.

Tecnologie biometriche e principio di minimizzazione

L’adozione di dispositivi biometrici sul lavoro è legittima solo se rispetta il principio di necessità, proporzionalità e minimizzazione artt. 5 e 9 del Reg. UE 2016/679 (GDPR).
Un datore di lavoro che intende introdurre lettori di impronte digitali nei varchi di accesso aziendali non può limitarsi a informare i dipendenti: deve essere in grado di dimostrare che non esiste una modalità alternativa altrettanto efficace e meno invasiva per raggiungere lo stesso scopo.

In assenza di queste garanzie, l’azienda rischia sanzioni amministrative sia l’obbligo di cancellare i dati raccolti illecitamente art. 17 GDPR, diritto alla cancellazione.

Impronte digitali e lavoro: cosa prevedono GDPR e Garante Privacy?

Il quadro normativo europeo sulla protezione dei dati personali, delineato dal GDPR, stabilisce una disciplina precisa per il trattamento dei dati biometrici, considerati dati sensibili perché capaci di identificare univocamente una persona. L’art. 9 del GDPR stabilisce, in linea generale:

“Il divieto di trattare tali dati, salvo nei casi tassativamente previsti dalla legge, tra cui la tutela della sicurezza, l’adempimento di obblighi legali o la gestione di specifici diritti in ambito lavorativo.”

In assenza di una base normativa esplicita, ogni scelta di adottare tecnologie biometriche deve essere supportata da una valutazione d’impatto sulla protezione dei dati (DPIA), come previsto dall’art. 35 del GDPR.

leggi anche

Violazione della privacy, definizione del reato e come denunciare
Violazione della privacy, definizione del reato e come denunciare

DPIA obbligatoria, cosa rischia chi non si adegua

La DPIA non è una semplice formalità: richiede un’analisi dettagliata dei rischi per i diritti e le libertà dei lavoratori, delle misure adottate per ridurli e delle ragioni che rendono necessario il trattamento biometrico rispetto ad alternative meno invasive. La mancanza o l’inadeguatezza di questa valutazione comporta l’illiceità dell’intero trattamento, anche quando sia stata fornita un’informativa al dipendente.

Il Garante Privacy negli ultimi anni ha sanzionato varie aziende che avevano introdotto lettori di impronte digitali:

  • senza una DPIA valida e aggiornata;
  • basando tutto su un consenso del dipendente giudicato non libero né realmente informato;
  • senza poter dimostrare la necessità dell’uso delle impronte rispetto a sistemi alternativi meno impattanti (come badge o PIN).

Un esempio, riguarda una società di vigilanza che è stata sanzionata proprio perché il sistema di rilevazione presenze fondato sulle impronte digitali era privo di una base giuridica valida e della documentazione a supporto della scelta tecnologica. Pertanto, l’uso delle impronte digitali è ammesso solo quando sia impossibile raggiungere gli stessi obiettivi con strumenti meno invasivi. In caso contrario, il trattamento è illecito, con il rischio di sanzioni pecuniarie artt. 83 e 84 del GDPR, oltre alla possibile inutilizzabilità del sistema e all’obbligo di cancellazione dei dati raccolti.

Consenso al trattamento dei dati biometrici: è valido nel rapporto di lavoro?

“Nel rapporto di lavoro subordinato il consenso del dipendente al trattamento dei dati biometrici non rappresenta quasi mai una base giuridica valida e autonoma.”

La ratio è semplice: nel rapporto di lavoro esiste sempre un evidente squilibrio tra le parti, che compromette la genuina libertà della scelta del lavoratore art. 7 GDPR.
Non basta un modulo firmato: anche quando il consenso appare formalmente “libero e informato”, non può mai essere considerato effettivo se l’alternativa è perdere il posto, subire discriminazioni o essere esclusi da determinati ruoli o funzioni aziendali. Questo aspetto è stato ribadito nei provvedimenti più recenti del Garante Privacy, dove il consenso prestato da taluni insegnanti in ambito scolastico è stato ritenuto non valido, proprio perché “condizionato dal contesto di subordinazione”.

leggi anche

Cos’è il GDPR e cosa prevede il codice della privacy
Cos'è il GDPR e cosa prevede il codice della privacy

Privacy e impronte digitali: obblighi per le aziende e diritti per i lavoratori

Ai sensi dell’art. 35 del GDPR:

“Ogni datore di lavoro che intenda introdurre dispositivi biometrici, come i lettori di impronte digitali, è tenuto a effettuare una valutazione d’impatto sulla protezione dei dati personali (DPIA).”

L’art. 13 del GDPR impone l’obbligo di fornire un’informativa privacy chiara, completa e comprensibile. I lavoratori devono essere informati, in modo trasparente, sulle finalità del trattamento, sulla base giuridica utilizzata, sui tempi di conservazione dei dati e sui soggetti autorizzati ad accedervi. L’informativa non può essere generica o precompilata: deve essere ritagliata sulle specificità del contesto aziendale e deve consentire al dipendente di comprendere pienamente la portata del trattamento cui è sottoposto.

leggi anche

È legale utilizzare l’intelligenza artificiale al lavoro?
È legale utilizzare l'intelligenza artificiale al lavoro?

Diritti dei lavoratori: come esercitarli davvero in azienda

Il GDPR garantisce ai dipendenti una serie di diritti sostanziali che le aziende devono rispettare e rendere facilmente esercitabili:

  • accesso ai dati: ogni lavoratore può chiedere in qualsiasi momento quali dati biometrici lo riguardano sono conservati e da chi;
  • rettifica: possibilità di correggere errori o inesattezze nei dati raccolti.
  • cancellazione (“diritto all’oblio”): richiesta di eliminazione dei dati quando non più necessari o trattati illecitamente.
  • limitazione e opposizione: possibilità di limitare o opporsi al trattamento in casi specifici.

Le aziende devono istituire canali pratici e chiari per la gestione delle richieste (email dedicata, modulo privacy, referente interno), e documentare tutte le risposte e le azioni intraprese.

Data breach e violazioni: come deve agire l’azienda

Se si verifica una violazione dei dati personali (ad es. accesso non autorizzato, la perdita o furto dei dati), il titolare del trattamento ha l’obbligo di notificare il data breach all’Autorità Garante entro 72 ore (art. 33 del GDPR) e, se il rischio per i lavoratori è elevato, di informare tempestivamente anche tutti gli interessati. Le sanzioni in caso di mancata notifica o gestione inadeguata di un data breach possono arrivare fino al 4% del fatturato annuo globale dell’azienda.

leggi anche

Furto d’identità digitale, cosa fare e come difendersi
Furto d'identità digitale, cosa fare e come difendersi

© RIPRODUZIONE RISERVATA

Argomenti

# Tecnologia
# Legge
# Privacy
# Azienda
# crimini informatici

Iscriviti a Money.it

FT logo

La finanza di Londra deve imparare da Singapore: ecco perché

Il modello Singapore spinge Londra a rivedere regole e tempi della (…)

20 luglio 2025

Le banche centrali temono per il futuro delle linee di swap in dollari: l’era post-Powell potrebbe cambiare le regole del gioco globale

L’incertezza sul ruolo futuro della Fed e le spinte isolazioniste USA (…)

16 luglio 2025

Boom del bitcoin a Londra: le aziende si reinventano per attirare investitori

Sempre più società quotate a Londra comprano bitcoin per rilanciare le (…)

16 luglio 2025

Anche con prezzi del petrolio bassi, l’Opec potrebbe uscirne vincitrice

Con i rivali a corto di risorse, il cartello può permettersi di giocare sul (…)

12 luglio 2025

Perché il mondo sta sprofondando (letteralmente)?

Houston, Dallas e Fort Worth tra le più colpite dalla subsidenza. Uno studio (…)

8 luglio 2025

Ferrari, lusso su misura: come la personalizzazione estrema guida profitti e fidelizza i clienti più esclusivi

Dalla vernice unica agli atelier creativi, il programma One-Off trasforma (…)

4 luglio 2025

SONDAGGIO
Termina il 25/07/2025 Vorresti una prigione per clandestini come Alligator Alcatraz anche in Italia?
VOTA ORA

Selezionati per te

Le 5 ossessioni di Elon Musk

Imprese

Le 5 ossessioni di Elon Musk
Warren Buffett nega un prestito alla figlia. E ha spiegato perché

Imprese

Warren Buffett nega un prestito alla figlia. E ha spiegato perché

Correlato

Il nuovo CEO di Subway è un ex dirigente di Burger King

News imprese

Il nuovo CEO di Subway è un ex dirigente di Burger King