Skip to content

Dati biometrici in azienda: quando la sicurezza diventa un problema GDPR

Impronte digitali, riconoscimento facciale, lettori di badge biometrici: strumenti sempre più diffusi per il controllo presenze e accessi. Ma quando diventano un rischio GDPR? Una guida normativa e operativa per HR e datori di lavoro.

Aggiornato il 11 giugno 2026 · Team Laborio
Dati biometrici in azienda: quando la sicurezza diventa un problema GDPR

I dati biometrici rappresentano una delle frontiere più delicate dell'HR moderno: consentono di automatizzare il controllo degli accessi e la rilevazione delle presenze con una precisione difficilmente replicabile, ma al tempo stesso sollevano questioni di conformità che, se ignorate, espongono l'azienda a sanzioni significative. Questo articolo analizza il quadro normativo applicabile, le condizioni che rendono lecito l'uso di sistemi biometrici in azienda e gli errori operativi più frequenti che trasformano uno strumento di sicurezza in un problema GDPR.

Cosa sono i dati biometrici e perché il GDPR li tratta diversamente

Il Regolamento europeo sulla protezione dei dati (GDPR, Reg. UE 2016/679) dedica ai dati biometrici un'attenzione speciale: rientrano nella categoria delle categorie particolari di dati personali ai sensi dell'art. 9, insieme a dati sulla salute, sull'origine etnica, sulle opinioni politiche e ad altri dati ad alto rischio. La ragione è strutturale: i dati biometrici sono intrinsecamente legati alla persona fisica, non possono essere modificati (un'impronta digitale non si "cambia" come una password), e la loro compromissione ha effetti potenzialmente irreversibili.

Ai fini normativi, si considerano biometrici quei dati personali ottenuti da un trattamento tecnico specifico relativo alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, che ne consentono o confermano l'identificazione univoca. Rientrano in questa definizione: le impronte digitali, la geometria del volto (riconoscimento facciale), la scansione dell'iride, la geometria della mano, la voce in certi contesti. Non rientrano invece i semplici badge RFID o i codici PIN, che non trattano caratteristiche biologiche uniche.

Questa distinzione ha conseguenze operative concrete: un sistema che usa il badge magnetico per registrare gli accessi è soggetto al GDPR come qualsiasi altro trattamento di dati personali, ma non attiva i divieti e le condizioni specifiche dell'art. 9. Un sistema che acquisisce l'impronta digitale o scansiona il volto, invece, richiede una base giuridica rafforzata e misure aggiuntive obbligatorie.

La base giuridica: il consenso non basta (quasi mai)

Il primo malinteso che genera non-conformità è credere che il consenso del dipendente sia una base giuridica sufficiente per trattare dati biometrici in azienda. Il Garante per la protezione dei dati personali italiano, in linea con le posizioni dell'EDPB (European Data Protection Board), ha chiarito più volte che il consenso dei lavoratori è strutturalmente viziato dal rapporto di subordinazione: il dipendente non è libero di negarlo senza temere conseguenze per il proprio impiego, il che rende il consenso non genuinamente "libero" come richiesto dall'art. 7 GDPR.

Questo non significa che i dati biometrici siano sempre illeciti in ambito lavorativo. Significa che occorre individuare una base giuridica diversa o aggiuntiva. Le opzioni principali sono:

  • Obblighi di legge (art. 9, par. 2, lett. b): se una norma specifica impone o consente espressamente l'uso di sistemi biometrici per determinati contesti (es. accessi ad aree ad alto rischio in specifici settori regolamentati), questa può costituire base sufficiente.
  • Interessi vitali (lett. c): raramente applicabile in contesti ordinari.
  • Esercizio o difesa di diritti in sede giudiziaria (lett. f): non pertinente per usi preventivi.
  • Motivi di interesse pubblico rilevante (lett. g): applicabile a soggetti pubblici o a entità che svolgono funzioni di pubblico interesse, entro i limiti fissati dalla normativa nazionale.

In Italia, il D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018 e le Autorizzazioni Generali del Garante (ora in parte assorbite nei provvedimenti tematici) richiamano espressamente la necessità di necessità, proporzionalità e sussidiarietà: il trattamento biometrico è lecito solo se non esistono mezzi meno invasivi per raggiungere lo stesso scopo con la stessa efficacia.

Necessità e proporzionalità: il vero banco di prova

Anche quando la base giuridica è tecnicamente disponibile, il trattamento di dati biometrici deve superare il test di proporzionalità, uno dei principi cardine del GDPR (art. 5). In pratica: l'uso di impronte digitali o riconoscimento facciale per registrare le presenze di una piccola impresa manifatturiera senza particolari esigenze di sicurezza perimetrale difficilmente supera questo test, perché esistono alternative meno invasive (badge, PIN, app di geolocalizzazione) che raggiungono lo stesso obiettivo.

Il ragionamento cambia in contesti con esigenze di sicurezza oggettivamente elevate: accesso a locali con materiali pericolosi, strutture critiche, aree con dati sensibili ad accesso ristretto, ambienti in cui la condivisione di credenziali rappresenta un rischio concreto. In questi casi, la biometria può essere proporzionata — ma deve comunque essere accompagnata da tutte le garanzie previste.

Un errore frequente è estendere il sistema biometrico a tutta la forza lavoro per ragioni di comodità gestionale o di uniformità, quando l'esigenza di sicurezza riguarda solo determinate aree o ruoli. La regola operativa è: il trattamento biometrico deve essere circoscritto al perimetro strettamente necessario, sia in termini di soggetti coinvolti sia di finalità perseguite. Non si installa un sistema di riconoscimento facciale all'ingresso principale di un ufficio commerciale con la stessa logica con cui lo si installa all'accesso a un centro di ricerca farmaceutica.

Adempimenti obbligatori prima di attivare un sistema biometrico

Se l'analisi di necessità e proporzionalità porta a ritenere il trattamento biometrico legittimo, la strada verso la conformità richiede una serie di adempimenti specifici che vanno completati prima dell'attivazione del sistema.

La Valutazione d'Impatto sulla Protezione dei Dati (DPIA)

Il trattamento di dati biometrici su larga scala è uno dei casi in cui la DPIA (Data Protection Impact Assessment) ai sensi dell'art. 35 GDPR è obbligatoria. Si tratta di un'analisi strutturata che deve documentare: la descrizione del trattamento e le sue finalità, la valutazione della necessità e proporzionalità, i rischi per i diritti e le libertà degli interessati, e le misure adottate per mitigarli. Non è un documento puramente formale: una DPIA mal redatta o assente è, di per sé, una violazione sanzionabile.

Nei casi in cui la DPIA evidenzi rischi elevati che non possono essere mitigati con misure interne, il titolare del trattamento è tenuto a consultare preventivamente il Garante prima di avviare il trattamento (art. 36 GDPR).

Informativa e registro dei trattamenti

Gli interessati (dipendenti, collaboratori, visitatori abilitati) devono ricevere un'informativa privacy specifica e dettagliata che indichi: quali dati biometrici sono raccolti, per quali finalità, con quale base giuridica, per quanto tempo vengono conservati, se i dati vengono trasmessi a terzi (es. fornitori del sistema), e quali diritti possono esercitare. L'informativa generica sul trattamento dei dati del personale non è sufficiente.

Il trattamento biometrico deve inoltre essere inserito nel Registro delle attività di trattamento (art. 30 GDPR), con descrizione delle categorie di dati, finalità, misure di sicurezza adottate, eventuali trasferimenti verso paesi terzi.

Misure tecniche e organizzative

Il principio di privacy by design e by default (art. 25 GDPR) impone che le misure di protezione siano integrate fin dalla progettazione del sistema, non aggiunte a posteriori. In termini pratici:

  • I template biometrici (le rappresentazioni matematiche delle caratteristiche acquisite) devono essere conservati in forma cifrata e, ove possibile, in modo separato dall'identità anagrafica del soggetto.
  • L'accesso ai dati biometrici deve essere ristretto al personale strettamente autorizzato.
  • I dati non devono essere conservati più a lungo di quanto necessario per le finalità dichiarate.
  • Deve essere prevista una procedura di cancellazione automatica alla cessazione del rapporto di lavoro o all'uscita dall'organizzazione.
  • I dispositivi di raccolta (scanner, telecamere) devono essere fisicamente protetti e non accessibili a soggetti non autorizzati.

Il ruolo del DPO e dei sindacati

Laddove sia presente un Data Protection Officer (DPO), questi deve essere coinvolto nella progettazione e valutazione del sistema. In contesti in cui è applicabile lo Statuto dei Lavoratori (L. 300/1970), occorre valutare anche il rispetto dell'art. 4 sugli impianti di controllo a distanza: l'installazione di sistemi che consentono il monitoraggio dei lavoratori (anche indiretto) può richiedere accordo sindacale o autorizzazione dell'Ispettorato del Lavoro, a seconda del contesto.

Gli errori più comuni e le loro conseguenze

Analizzando i provvedimenti sanzionatori del Garante italiano e le decisioni delle autorità di controllo europee, emergono pattern ricorrenti di non-conformità.

Raccogliere più dati del necessario: sistemi che acquisiscono l'immagine completa del volto e la conservano come fotografia, anziché limitarsi al template matematico anonimizzato, violano il principio di minimizzazione. Il template è sufficiente per il riconoscimento; l'immagine integrale è un dato ulteriore non necessario.

Mancanza di alternative per i lavoratori: imporre il riconoscimento biometrico come unico metodo di timbratura, senza offrire alcuna alternativa a chi rifiuta (per motivi legittimi o religiosi), è una pratica che il Garante ha più volte censurato, soprattutto in assenza di una base giuridica solida diversa dal consenso.

Conservazione indeterminata dei dati: molti sistemi sono configurati in modo da accumulare lo storico di accessi e presenze senza una politica di retention definita. I dati biometrici devono essere cancellati (o resi non ricollegabili alla persona) non appena la finalità è esaurita.

Affidarsi a fornitori senza adeguate garanzie contrattuali: il fornitore del sistema biometrico che tratta dati per conto dell'azienda è un responsabile del trattamento ai sensi dell'art. 28 GDPR. Deve esistere un contratto scritto che definisca istruzioni, obblighi di sicurezza, divieto di utilizzo autonomo dei dati e condizioni di cancellazione. Affidarsi a un fornitore senza questo accordo è una violazione diretta.

Le sanzioni previste dal GDPR per violazioni relative a categorie particolari di dati possono raggiungere 20 milioni di euro o il 4% del fatturato annuo globale (si applica la cifra più alta): cifre che rendono la non-conformità molto più costosa di qualsiasi investimento in governance della privacy.

Una prospettiva operativa: biometria sì, ma con metodo

L'uso di dati biometrici in azienda non è di per sé illegittimo, né necessariamente da evitare. È uno strumento potente che, in contesti dove la sicurezza degli accessi è un requisito reale e documentabile, può essere parte di un'infrastruttura HR e di sicurezza solida. Il punto è che la decisione di adottare sistemi biometrici deve essere preceduta da un percorso strutturato, non seguita da un tentativo di razionalizzazione a posteriori.

Il metodo corretto prevede: analisi delle esigenze reali, verifica della proporzionalità rispetto ad alternative meno invasive, redazione della DPIA, coinvolgimento del DPO, predisposizione dell'informativa e del registro dei trattamenti, verifica degli obblighi sindacali ove applicabili, scelta di fornitori con adeguate garanzie contrattuali, e implementazione tecnica che rispetti la privacy by design.

Chi gestisce le risorse umane dovrebbe considerare il quadro biometrico non come un ostacolo burocratico, ma come una disciplina che tutela anche l'azienda: un sistema progettato con cura è più difficile da contestare in sede ispettiva o giudiziaria, e costruisce un rapporto di fiducia con i lavoratori basato sulla trasparenza. Temi come la raccolta anticipata di dati sensibili o la gestione dei dati nei processi di ingresso in azienda — come approfondito nell'articolo su onboarding e GDPR — mostrano quanto la governance della privacy debba essere un filo conduttore lungo tutto il ciclo di vita del rapporto di lavoro, non una verifica episodica. Allo stesso modo, chi gestisce sistemi di rilevazione presenze con componenti tecnologici avanzati dovrebbe considerare il profilo privacy parte integrante della valutazione tecnica, non un adempimento separato da affidare solo al legale.

La biometria, in sintesi, si può fare. Ma si deve fare bene.

Domande frequenti

Il consenso del dipendente è sufficiente per usare dati biometrici in azienda?

In linea generale no. Il Garante italiano e l'EDPB ritengono che il consenso dei lavoratori sia strutturalmente viziato dal rapporto di subordinazione: il dipendente non è libero di negarlo senza temere conseguenze lavorative, quindi non può considerarsi 'libero' ai sensi dell'art. 7 GDPR. Occorre individuare una base giuridica diversa, come un obbligo di legge specifico o un interesse pubblico rilevante, e dimostrare necessità e proporzionalità del trattamento.

Quando è obbligatoria la DPIA per sistemi biometrici?

La Valutazione d'Impatto sulla Protezione dei Dati (DPIA) è obbligatoria ogni volta che si trattano dati biometrici su larga scala, poiché rientra nelle categorie ad alto rischio indicate dall'art. 35 GDPR. In Italia, il Garante ha pubblicato un elenco di trattamenti per cui la DPIA è sempre richiesta, e i dati biometrici vi figurano esplicitamente. La DPIA deve essere completata prima di avviare il trattamento, non successivamente.

Un'azienda può imporre la timbratura biometrica come unico metodo senza alternative?

No, salvo casi in cui esista una base giuridica solida e la biometria sia l'unico strumento proporzionato allo scopo (es. accesso ad aree ad alto rischio). In tutti gli altri contesti, il Garante ha censurato l'assenza di metodi alternativi per i lavoratori che non possano o non vogliano fornire dati biometrici. Offrire un'alternativa (badge, PIN, app) è considerata una misura di garanzia fondamentale.

Cosa rischia un'azienda che installa un sistema biometrico senza i dovuti adempimenti GDPR?

Le sanzioni per violazioni relative a categorie particolari di dati (tra cui i biometrici) possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale, applicando la cifra più alta. A ciò si aggiungono possibili azioni risarcitorie dei lavoratori interessati e, nel caso di omessa comunicazione di data breach, ulteriori sanzioni. Il costo della non-conformità supera quasi sempre quello degli adempimenti preventivi.

I fornitori di sistemi biometrici devono firmare qualche accordo con l'azienda cliente?

Sì. Il fornitore che tratta dati biometrici per conto dell'azienda è un responsabile del trattamento ai sensi dell'art. 28 GDPR. È obbligatorio stipulare un contratto scritto (o un atto giuridico equivalente) che definisca le istruzioni di trattamento, gli obblighi di sicurezza, il divieto di utilizzo autonomo dei dati e le condizioni di cancellazione al termine del rapporto contrattuale. L'assenza di questo accordo è di per sé una violazione GDPR sanzionabile.

Il riconoscimento facciale all'ingresso di un ufficio è sempre considerato biometrico ai sensi del GDPR?

Dipende dall'uso tecnico. Se il sistema acquisisce le caratteristiche del volto e le utilizza per identificare univocamente la persona, si tratta di dati biometrici ai sensi dell'art. 4 GDPR. Se invece una telecamera registra immagini senza elaborarle per estrarne caratteristiche identificative uniche, si applica la disciplina ordinaria sulla videosorveglianza. La distinzione tecnica è rilevante ma non deve essere usata per aggirare la normativa: sistemi che de facto identificano le persone tramite il volto sono trattati come biometrici dalle autorità di controllo.

Articoli correlati

Inizia la prova gratuita

30 giorni gratis · Attivazione immediata

Torna al blog