Riconoscimento Biometrico in Azienda: Quando è Lecito e Quali Valutazioni Servono
Il riconoscimento facciale in azienda (accessi, presenze, cantieri) è lecito in Italia solo a condizioni precise. DPIA obbligatoria, accordo sindacale, AI Act alto rischio e divieto di identificazione remota. Guida operativa.
Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law
Il riconoscimento facciale per il controllo degli accessi aziendali è legale in Italia?
Sì, ma solo a condizioni molto specifiche. I dati biometrici sono categorie particolari ai sensi dell'Art. 9 GDPR e il loro trattamento richiede una base giuridica rafforzata. In ambito lavorativo, il riconoscimento facciale per il controllo degli accessi fisici può essere lecito con: accordo sindacale preventivo (Art. 4 Statuto dei Lavoratori), DPIA completa, informativa specifica ai dipendenti e limitazione della raccolta ai soli dati necessari. L'AI Act aggiunge la classificazione del sistema come ad alto rischio (Allegato III) con obblighi di FRIA. L'identificazione biometrica remota in tempo reale è invece vietata dall'Art. 5 AI Act per qualsiasi contesto diverso da specifiche eccezioni di sicurezza pubblica.
Fonti: Reg. UE 2024/1689 (AI Act) Art. 5 (pratiche vietate) e Allegato III · Reg. UE 2016/679 (GDPR) Art. 9 — Categorie particolari di dati · Art. 4 Legge 300/1970 (Statuto dei Lavoratori) · Garante Privacy — Provvedimento sistemi di rilevazione biometrica delle presenze · EDPB — Guidelines on biometric data processing
Il riconoscimento biometrico in ambito aziendale è uno dei temi in cui la sovrapposizione tra GDPR, AI Act e normativa lavoristica italiana è più densa e complessa. Molte aziende stanno valutando l'adozione di sistemi biometrici per il controllo degli accessi, la rilevazione delle presenze o la verifica dell'identità nei cantieri: sono investimenti giustificati da esigenze di sicurezza reali. Ma la tecnologia disponibile supera in più punti i limiti normativi applicabili, e la distanza tra ciò che il sistema può fare e ciò che è lecito fare con quel sistema è spesso sottovalutata. Per il quadro normativo complessivo sulle valutazioni d'impatto, si veda la guida alla valutazione integrata DPIA+FRIA per sistemi AI. Per gli aspetti relativi al consenso dei dipendenti e all'accordo sindacale, si veda la guida alla geolocalizzazione e telemetria dei dipendenti.
La distinzione fondamentale: biometria per autenticazione e identificazione remota
Prima di analizzare i requisiti di compliance, è necessario distinguere due categorie di sistemi che il mercato tende a confondere:
Sistemi biometrici di autenticazione (leciti, con condizioni). Il dipendente presenta attivamente il proprio volto, impronta digitale o iride a un sensore fisso per autenticarsi: il sistema confronta il dato biometrico con il template memorizzato per quel singolo individuo e verifica la corrispondenza. Il dato biometrico viene acquisito in modo consapevole e attivo da parte della persona. Questi sistemi possono essere leciti in presenza delle garanzie previste dal GDPR e dallo Statuto dei Lavoratori.
Identificazione biometrica remota in tempo reale (vietata dall'AI Act). Telecamere che analizzano i volti di tutte le persone presenti in uno spazio fisico per identificarle in tempo reale attraverso un database, senza che queste si sottopongano attivamente al processo di identificazione. Questo è vietato dall'Art. 5 AI Act come pratica a rischio inaccettabile, con eccezioni molto ristrette legate alle forze dell'ordine in condizioni specifiche.
Molti sistemi di "controllo accessi" commercializzati come semplici strumenti di autenticazione integrano funzionalità di identificazione remota (riconoscimento continuativo nell'area circostante, tracking dei movimenti, riconoscimento senza interazione attiva): queste funzionalità le rendono soggette al divieto, indipendentemente dall'uso dichiarato.
I requisiti GDPR per il trattamento di dati biometrici in azienda
I dati biometrici (impronte digitali, geometria del volto, iride, voce) sono categorie particolari di dati ai sensi dell'Art. 9 GDPR. Il loro trattamento richiede una delle basi giuridiche rafforzate elencate dall'Art. 9, par. 2.
In ambito lavorativo, le basi giuridiche applicabili sono principalmente due:
Esplicito consenso del dipendente (Art. 9, par. 2 lett. a). Il consenso in ambito lavorativo è strutturalmente problematico: il GDPR stesso e l'EDPB hanno chiarito che il consenso di un dipendente non è mai pienamente libero, dato il rapporto di subordinazione. Il Garante Privacy italiano ha espresso riserve sull'uso del consenso come unica base giuridica per la biometria dei dipendenti.
Necessità per adempiere a obblighi ed esercitare diritti specifici in materia di diritto del lavoro (Art. 9, par. 2 lett. b). Questa base giuridica è percorribile quando esiste un obbligo normativo specifico (ad esempio, obblighi di sicurezza sul lavoro in ambienti ad alto rischio che impongono la verifica certa dell'identità dei presenti) o quando il contratto collettivo applicabile prevede espressamente questa modalità di rilevazione delle presenze.
Indipendentemente dalla base giuridica, il trattamento di dati biometrici richiede sempre la DPIA ai sensi dell'Art. 35 GDPR.
La procedura per l'installazione lecita in azienda
Passo 1: Accordo sindacale preventivo (Art. 4 Statuto dei Lavoratori)
I sistemi biometrici di rilevazione delle presenze e di controllo degli accessi rientrano nella definizione di strumenti dai quali può derivare la "potenzialità di controllo a distanza dell'attività dei lavoratori". Prima dell'installazione, è necessario un accordo scritto con le Rappresentanze Sindacali Aziendali (RSA/RSU) o, in loro assenza, l'autorizzazione dell'Ispettorato Nazionale del Lavoro (INL). Il consenso individuale dei dipendenti non sostituisce l'accordo collettivo.
Passo 2: DPIA completa
La DPIA per sistemi biometrici deve affrontare:
- Base giuridica del trattamento (da giustificare in modo analitico)
- Necessità e proporzionalità (esiste un sistema meno invasivo che soddisfa la stessa esigenza?)
- Modalità di archiviazione dei template biometrici (preferibilmente nel dispositivo dell'utente, non in un database centralizzato)
- Misure di sicurezza adottate (crittografia, access control, pseudonimizzazione)
- Retention dei dati (cancellazione immediata al termine del rapporto di lavoro)
- Diritti degli interessati e procedure di esercizio
Passo 3: Classificazione AI Act e FRIA
Se il sistema include componenti AI per il riconoscimento (e la maggior parte dei sistemi di riconoscimento facciale moderni lo fa), va classificato ai sensi dell'AI Act. I sistemi di categorizzazione biometrica e di riconoscimento basati sull'IA rientrano nell'Allegato III (alto rischio). Questo attiva l'obbligo di FRIA, che deve valutare l'impatto sui diritti sindacali, la libertà di movimento nell'ambiente di lavoro e il rischio di falsi negativi che producono esclusione dal posto di lavoro.
Passo 4: Informativa specifica ai dipendenti
Prima dell'attivazione del sistema, ogni dipendente deve ricevere un'informativa scritta ai sensi dell'Art. 13 GDPR che descriva: il tipo di dato biometrico raccolto, la finalità, la base giuridica, i tempi di conservazione, i soggetti con accesso ai dati, i diritti esercitabili e le procedure per farlo.
Cosa verificare nei contratti con i vendor di sistemi biometrici
I vendor di sistemi di riconoscimento biometrico spesso includono nei loro prodotti funzionalità che non sono compatibili con la normativa europea. Prima della firma del contratto, verificare:
| Funzionalità | Conforme? | Note |
|---|---|---|
| Archiviazione dei template sul dispositivo locale | Sì | Riduce rischio di data breach centralizzato |
| Archiviazione in cloud del provider | Condizionata | Richiede DPA specifico e verifica server location |
| Riconoscimento attivo su interazione dell'utente | Sì | Autenticazione standard |
| Riconoscimento passivo da telecamera ambientale | No | Identificazione remota, vietata dall'Art. 5 AI Act |
| Tracking dei movimenti nell'area | No | Sorveglianza sproporzionata |
| Analisi delle emozioni o dell'umore | No | Pratica vietata Art. 5 AI Act |
| Retention dei template dopo la cessazione del rapporto | No | Cancellazione immediata richiesta |
Stai valutando l'adozione di sistemi biometrici per accessi o presenze nella tua azienda?
Studio Legale Ingoglia assiste aziende nella verifica della conformità dei sistemi biometrici, nella gestione dell'iter sindacale, nella conduzione della DPIA e della FRIA e nella revisione dei contratti con i vendor. Prenota una consulenza strategica prima di installare il sistema, non dopo aver ricevuto un provvedimento del Garante.
Articolo aggiornato al 27 maggio 2026. Il divieto di identificazione biometrica remota in tempo reale (Art. 5 AI Act) è in vigore dal 2 febbraio 2025. Per supporto specifico, contatta lo studio.
Autore
Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.
Profilo completo e competenze