Il 26 febbraio 2026 il Garante per la protezione dei dati personali ha sanzionato Depac Società Cooperativa Sociale a r.l. per aver utilizzato un sistema basato su impronte digitali per rilevare entrata e uscita di sei dipendenti impegnati presso un comune. Il caso è utile perché smonta un’idea ancora diffusissima: se vuoi una timbratura più sicura o più precisa, allora la biometria sarebbe automaticamente la scelta migliore. (provvedimento del Garante del 26 febbraio 2026)
Non funziona così.
Nel contesto della normale rilevazione presenze, il punto non è solo quanto il dato sia preciso. Il punto è se il mezzo usato è proporzionato alla finalità. E quando per registrare un orario usi un dato biometrico, stai entrando in un terreno molto più invasivo rispetto a badge, app o altri sistemi ordinari.
Questa news è aggiornata al 20 aprile 2026 e ha taglio operativo. Non sostituisce il parere del legale privacy o del consulente sul caso concreto.
In 20 secondi
- Cosa è successo: il Garante ha sanzionato una cooperativa che usava impronte digitali per timbrare sei lavoratori.
- Perché conta: il problema non è solo la biometria, ma la logica con cui si alza il livello di controllo per una finalità ordinaria come la presenza.
- Cosa controllare subito: finalità reale, alternative meno invasive, documentazione privacy, ruoli di accesso e tempi di cancellazione.
- Cosa non fare: scegliere una tecnologia più forte solo per avere più precisione o perché il committente lo chiede.
Cosa è successo davvero
Secondo il doc. web n. 10233224, la cooperativa aveva installato due dispositivi biometrici: uno presso il palazzo comunale e uno nel deposito o rimessa del comune. Il sistema era stato attivato dal 1° settembre 2024 e veniva usato per rilevare gli orari di entrata e uscita di sei lavoratori: quattro operatori ecologici e due addette alle pulizie.
La parte più utile del caso è la motivazione dichiarata dalla società. Non c’erano esigenze di sicurezza eccezionale, né aree sensibili, né contesti operativi tali da rendere indispensabile la biometria. La stessa società ha dichiarato che quei dipendenti non lavoravano in aree sensibili e che la scelta del sistema biometrico era stata fatta soprattutto per una questione di praticità e di precisione nel riscontro degli orari.
C’è di più. La cooperativa ha anche ammesso due cose che spiegano bene il problema:
- per ottenere quel risultato si sarebbero potuti usare altri strumenti;
- il comune continuava comunque a fare riferimento al timbratore ordinario installato accanto ai rilevatori biometrici.
Tradotto in italiano normale: l’impronta digitale non era l’unico modo per gestire il processo, e non era neppure indispensabile per consolidare le ore lavorate. Era un “di più” tecnologico introdotto per avere un riscontro considerato più preciso.
Il Garante ha rilevato inoltre che il trattamento era partito senza un’informativa adeguata, senza registro dei trattamenti e senza valutazione d’impatto. La società ha dichiarato di aver avvisato i dipendenti solo oralmente e di non aver predisposto la documentazione richiesta. Alla fine, l’Autorità ha ordinato:
- il divieto dell’ulteriore trattamento dei dati biometrici raccolti;
- la cancellazione dei dati biometrici entro 60 giorni;
- il pagamento di una sanzione amministrativa di 15.000 euro.
| Punto del caso | Cosa emerge | Perché pesa |
|---|---|---|
| Lavoratori coinvolti | Solo sei dipendenti | Finalità ordinaria, scala ridotta |
| Contesto operativo | Nessuna area sensibile | La biometria è più difficile da giustificare |
| Alternative disponibili | La società ammette che c’erano | Il trattamento non era necessario |
| Governance | Mancavano informativa, registro e DPIA | Il processo è partito senza perimetro giuridico |
Perché questa notizia riguarda anche chi non usa l’impronta digitale
L’errore non è solo “aver scelto la biometria”. L’errore vero è più generale: alzare il livello di invasività del controllo quando la finalità resta ordinaria.
Questa logica torna spesso anche in contesti molto diversi:
- si aggiunge un dato in più “per essere più sicuri”;
- si introduce una tecnologia più forte “così non sbaglia nessuno”;
- si irrigidisce il controllo “perché il cliente o il committente vuole precisione”;
- si giustifica tutto con la parola “tracciabilità”.
Ma la disciplina privacy, soprattutto nel rapporto di lavoro, non ragiona così. Non basta che un sistema sia utile o più preciso. Devi anche chiederti se è necessario e se esiste un modo meno invasivo per ottenere lo stesso risultato.
Quando la finalità è la normale rilevazione della presenza in servizio, il cuore della notizia è proprio qui: stai registrando entrata e uscita. E questo rende ancora più difficile difendere l’uso della biometria.
I 5 errori operativi che il caso mette a nudo
1. Usare la biometria per una finalità ordinaria
Rilevare l’orario di ingresso e uscita è un’attività normale. Non è, da sola, una finalità eccezionale. Se per farlo usi un’impronta digitale, stai portando un dato appartenente a categorie particolari dentro un flusso che, di regola, dovrebbe restare molto più leggero.
2. Pensare che “più precisione” basti come giustificazione
Nel caso esaminato dal Garante, la società voleva un dato più certo e più preciso, anche su richiesta del comune. Ma la precisione, da sola, non basta.
3. Confondere avviso orale e compliance vera
Dire “lo sapevano” non basta. Dire “gliel’abbiamo detto” non basta. Dire “non si sono opposti” non basta. Se tratti biometria, il problema non è solo informare: è capire se puoi davvero farlo in quel contesto.
4. Installare la tecnologia prima di capire il perimetro giuridico
Questo è un errore tipico: prima si compra il dispositivo, poi si cerca di capire come regolarizzarlo. Quando mancano registro, DPIA e perimetro chiaro, il problema è già aperto.
5. Ignorare la soluzione meno invasiva
Il provvedimento è utile proprio perché la società ha ammesso che avrebbe potuto usare altri strumenti. È questo il centro del caso.
Se il committente ti chiede la biometria
Questa è una delle obiezioni più reali. Ed è proprio per questo che va chiusa bene.
| Se il committente ti chiede la biometria | Cosa fai |
|---|---|
| Finalità dichiarata | Fattela dare per iscritto |
| Alternativa possibile | Verifica se esiste una soluzione meno invasiva |
| Ruoli privacy | Chiarisci responsabilità e perimetro tra le parti |
| Documentazione | Non attivare nulla prima di informativa, registro e DPIA |
| Base di liceità | Non confondere la richiesta del cliente con la liceità del trattamento |
La richiesta del committente può spiegare il contesto. Non può, da sola, rendere proporzionato un trattamento che non lo è.
Cosa usare al posto della biometria
Se l’obiettivo è avere presenze affidabili senza aprire un fronte sproporzionato, le alternative da valutare sono molto più concrete di quanto sembri:
| Obiettivo | Soluzione proporzionata | Nota pratica |
|---|---|---|
| rilevare la presenza | badge nominale | dato meno invasivo della biometria |
| registrare l’evento di timbratura | app con punch puntuale | conta il momento del punch, non il tracking continuo |
| verificare la presenza sul luogo | geofence al momento del punch | perimetro stretto, non monitoraggio costante |
| ridurre errori e abusi | revisione anomalie | la validazione resta nel processo |
| gestire eccezioni | controllo organizzativo | non serve alzare subito la tecnologia |
Il punto importante è questo: non biometria contro GPS in astratto, ma strumento proporzionato, raccolta minima, evento puntuale e niente tracciamento continuo inutile.
Il falso mito del “buddy punching”
Una delle ragioni per cui molte aziende pensano alla biometria è semplice: “così nessuno timbra per un altro”.
Il problema è che questa scorciatoia rischia di farti saltare direttamente sul controllo più invasivo senza aver prima chiuso il processo.
Se vuoi ridurre davvero il buddy punching, devi lavorare su:
| Rischio da ridurre | Leva utile |
|---|---|
| timbratura per conto di un altro | badge o account nominali |
| punch fuori contesto | evento di timbratura puntuale |
| presenza sul luogo | geofence solo al momento del punch |
| anomalie ricorrenti | controlli sulle anomalie |
| casi dubbi | verifica organizzativa delle eccezioni |
Se il problema è chi timbra davvero, non sempre ti serve una tecnologia più dura. Molto spesso ti serve un flusso più chiaro e una validazione migliore delle anomalie.
Checklist pratica 2026 prima di attivare una timbratura biometrica
Prima di pensare a impronta digitale o riconoscimento facciale per le presenze, controlla questi punti:
Qual è la finalità reale?
Se è solo rilevare entrata e uscita, stai parlando di una finalità ordinaria.Esiste un’alternativa meno invasiva?
Badge, app, timbratura da smartphone, geofence puntuale, revisione anomalie, controlli organizzativi.Il contesto è davvero eccezionale?
Aree sensibili, sicurezza specifica, tutela rafforzata del patrimonio o altri presupposti concreti.Hai un’informativa adeguata?
Non un avviso orale. Una vera informativa coerente con il trattamento.Hai fatto la DPIA?
Se tratti biometria e non hai fatto una valutazione d’impatto, hai già un problema.Hai il registro dei trattamenti aggiornato?
Se manca, non hai governo del processo.Hai definito accessi, retention e cancellazione?
Se nessuno sa chi vede cosa e per quanto, il sistema non è sotto controllo.
Fonti ufficiali
Alternativa proporzionata
Presenze affidabili senza biometria
Quando il problema è registrare l’evento di timbratura in modo puntuale, il criterio corretto non è usare il controllo più invasivo. È usare uno strumento proporzionato, con raccolta minima, niente tracking continuo inutile e governance più pulita.