Skip to content Skip to sidebar Skip to footer
RPLT RP legalitax
RPLT RP legalitax
Close
Privacy & Data Protection

Impronte digitali a scuola: innovazione o violazione?

Con provvedimento del 27 marzo 2025 il Garante della protezione dei dati personali (“Garante”) ha sanzionato l’Istituto d’Istruzione Superiore “P. Galluppi” di Tropea (“Istituto”), per aver effettuato il trattamento dei dati biometrici dei propri dipendenti. In particolare, l’Istituto aveva attivato un sistema di rilevazione delle presenze basato sull’acquisizione delle impronte digitali di 34 dipendenti amministrativi, tecnici e ausiliari (A.T.A.) in alternativa al preesistente sistema basato su badge.

Nonostante la novità fosse stata generalmente accolta positivamente dai dipendenti – anche in ragione dei dubbi sorti sull’effettiva affidabilità del badge-, alcuni di loro hanno segnalato al Garante la possibile violazione del GDPR derivante dal trattamento dei dati biometrici. In seguito alla segnalazione, il Garante ha trasmesso una formale richiesta di informazioni all’Istituto.

Fase istruttoria e risultanze

Nella nota di risposta, l’Istituto ha dichiarato che:

  • il sistema biometrico non era stato introdotto come unica modalità di rilevazione delle presenze, essendo ancora possibile l’utilizzo del badge;
  • non era stato informato e coinvolto il Responsabile per la protezione dei dati (“DPO”), ritenendo sufficienti le indicazioni del fornitore del sistema;
  • era stato acquisito il consenso dei dipendenti interessati.

Inoltre, l’Istituto ha spiegato che il funzionamento del lettore delle impronte digitali comprendeva due fasi:

  • registrazioneenrolment”: acquisizione e conversione dell’impronta in un modello matematico irreversibile, detto template, associato a un codice identificativo;
  • verificamatching”: nuova acquisizione dell’impronta e confronto con il template registrato.

Il sistema non memorizzava l’impronta digitale vera e propria, ma solo numeri di riferimento, rendendo impossibile ricostruire l’impronta dal modello registrato. I dati registrati erano limitati a: il codice utente (simile ad un numero di matricola), il template (numero identificativo), e l’elenco eventi (data/ora, codice utente, terminale e causale). Non venivano conservati dati anagrafici, immagini delle impronte, né dati fisici diretti o indirettamente ricavabili.

Tuttavia, a seguito della richiesta d’informazioni del Garante, l’Istituto ha sospeso immediatamente l’utilizzo del sistema biometrico, tornando a usare il sistema di rilevazione delle presenze tramite badge.

A seguito delle verifiche compiute, degli elementi acquisiti e dei fatti emersi, il Garante ha notificato all’Istituto l’avvio del procedimento sanzionatorio per aver trattato dati biometrici in maniera non conforme al principio di “liceità, correttezza e trasparenza” nonché in assenza di un idoneo presupposto normativo in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del GDPR.

L’istituto presentando memoria difensiva ha dichiarato che, contestualmente alla sospensione del sistema di rilevamento delle impronte, ha provveduto alla cancellazione di tutti i dati biometrici acquisiti dal sistema.

Le motivazioni del Garante

Il Garante, alla luce dell’attività istruttoria, ha accertato che l’Istituto ha impiegato un sistema di rilevamento delle presenze tramite impronte digitali che, nonostante non memorizzasse direttamente immagini o dati fisici, comportava il trattamento dei dati biometrici, categoria particolare di dati ai sensi dell’art. 9 GDPR che consente l’identificazione univoca, il cui trattamento è generalmente vietato, salvo alcune eccezioni.

Inoltre, il datore di lavoro, titolare del trattamento, deve comunque rispettare i principi di liceità, correttezza, trasparenza, minimizzazione e protezione dei dati per impostazione predefinita o fin dalla progettazione (artt. 5 e 25 GDPR).

Nel caso di specie, il trattamento, anche se finalizzato al controllo dell’orario di lavoro, attività ammessa ex art. 9, par. 2, lett. b) del GDPR che consente il trattamento quando “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare o dell’interessato in materia di diritto del lavoro e della sicurezza sul lavoro e prevenzione sociale”,  non è, però, lecito in assenza di una norma specifica conforme ai principi costituzionali e alla disciplina europea, che garantisca proporzionalità, qualità della fonte, finalità legittima e adeguate tutele, come statuito nella seconda parte della stessa lett. b) dell’art. 9 GDPR o dall’2-septies del Codice Privacy.

Infatti, la Legge n. 56/2019 aveva introdotto la possibilità di un uso sistematico, generalizzato e indifferenziato dei sistemi di rilevazione delle presene tramite dati biometrici e videosorveglianza per tutte le Pubbliche Amministrazioni: il  Garante, nell’esercizio dei propri poteri consultivi, aveva espresso riserve per eccessiva invasività e mancanza di proporzionalità di tali previsioni, che peraltro sono anche state abrogate dalla Legge di Bilancio 2021 (art. 1, comma 958, L. n. 178/2020).

In particolare, il Garante ha nuovamente sottolineando che il difetto di base giuridica non può essere colmato dal consenso dei dipendenti in ragione dello squilibrio tra le parti, che potrebbe far dubitare circa la legittimità del consenso prestato.

Pertanto, in assenza di una base giuridica valida e conforme, l’utilizzo di sistemi biometrici da parte delle Pubbliche Amministrazioni non è lecito.

La sanzione del Garante

Accertata la violazione da parte dell’Istituto scolastico, il Garante, tenendo conto che la violazione è scaturita da un’unica condotta, che il trattamento ha riguardato un ristretto numero di interessati coinvolti, che la condotta ha esaurito i suoi effetti con la sospensione del trattamento e la cancellazione dei relativi dati, della collaborazione ed assenza di precedenti dell’Istituto, ha stabilito che non ricorrono i presupposti per l’adozione di ulteriori misure correttive. Però, alla luce della grave violazione dei dati personali per la loro natura “sensibile” e omessa consultazione del DPO, il Garante ha irrogato la sanzione amministrativa pecuniaria del valore di 4.000,00 euro.

Hide comments

Leave a comment

You May Also Like

Privacy & Data Protection
L’importanza dell’adozione di policy aziendali in ambito privacy alla luce del recente provvedimento del Garante Pri...
Privacy & Data Protection
Codice Privacy: i recenti interventi del legislatore
Privacy & Data Protection
Garante Privacy VS Telemarketing: prime sanzioni GDPR per chiamate commerciali indesiderate

La “Certificazione B Corporation” è un marchio che viene concesso in licenza da B Lab, ente privato no profit, alle aziende che, come la nostra, hanno superato con successo il B Impact Assessment (“BIA”) e soddisfano quindi i requisiti richiesti da B Lab in termini di performance sociale e ambientale, responsabilità e trasparenza.

Si specifica che B Lab non è un organismo di valutazione della conformità ai sensi del Regolamento (UE) n. 765/2008 o un organismo di normazione nazionale, europeo o internazionale ai sensi del Regolamento (UE) n. 1025/2012.

I criteri del BIA sono distinti e autonomi rispetto agli standard armonizzati risultanti dalle norme ISO o di altri organismi di normazione e non sono ratificati da parte di istituzioni pubbliche nazionali o europee.