Sospetto uso “truffaldino” dei badge, scuola usa impronte digitali per rilevare presenze del personale: sanzionata
Una scuola è stata sanzionata per aver implementato un sistema di rilevazione di impronte digitali per raccogliere le presenze del personale. Lo riporta Italia Oggi. Le scuole violano la privacy anche se l’utilizzo è limitato ai soli dipendenti, che hanno dato il consenso.
Ciò perchè non c’è norma che autorizza questo trattamento di dati biometrici. Questi sono i principi applicati dal Garante della privacy in una ingiunzione, la n. 167 del 27 marzo 2025, con la quale il medesimo Garante ha inflitto a un istituto superiore una sanzione di 4 mila euro.
La ricostruzione
Nella specifica vicenda la scuola, a fronte di episodi di sospetto uso truffaldino delle tessere magnetiche (badge) usate per attestare la presenza in servizio e anche a seguito di manomissioni, atti vandalici e danneggiamenti, ha proposto al personale di abbinare al badge la rilevazione delle impronte digitali.
La scuola ha riferito che la stragrande maggioranza del personale amministrativo interessato (34 su 36 lavoratori) si è dimostrato soddisfatto della novità e ha anche prestato il consenso per iscritto. Inoltre, la scuola ha fatto in modo che i non consenzienti avessero la piena libertà di accedere ai locali con il solo badge e senza associazione dell’impronta. I due dipendenti dissenzienti hanno inviato un reclamo al garante, che ha aperto il procedimento. Nelle more degli accertamenti del Garante, la scuola ha sospeso l’iniziativa, senza accogliere le ulteriori richieste di riattivazione del sistema da parte dei dipendenti consenzienti.
All’esito del procedimento, il Garante ha evidenziato che, ai sensi del regolamento UE sulla privacy n. 2016/679 (Gdpr) e del codice della privacy (d.lgs. 196/2003), l’impiego di sistemi biometrici di rilevazione delle presenze presuppone un’espressa previsione normativa e specifiche garanzie per i diritti degli interessati.
La scuola non ha coinvolto il DPO
La lacuna legislativa, aggiunge l’ingiunzione, non può essere colmata neppure dal consenso dei dipendenti: per regola generale, infatti, il consenso non costituisce un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo, indipendentemente dalla natura pubblica o privata del datore di lavoro.
La scuola è stata sanzionata per 4mila euro. Un altro aspetto interessante del provvedimento in esame è rappresentato dal fatto che la scuola è stata espressamente rimproverata per non avere chiesto lumi al suo responsabile della protezione dei dati (noto come DPO). Quest’ultimo va coinvolto sempre in occasione di eventi che hanno incidono sulla privacy delle persone e cioè praticamente sempre. Le scuole, conseguentemente, devono trattare il passaggio dal DPO quasi come una fase ordinaria di qualsiasi decisione e devono essere attente a scegliersi un DPO preparato ed esperto non solo di privacy, ma anche di legislazione e prassi scolastica.