Presenze con volto o impronte DPIA e FIDO2

La rilevazione presenze con riconoscimento del volto o delle impronte attrae aziende che vogliono eliminare timbrature delegate e anomalie. Ma nel lavoro dipendente tocca dati biometrici e quindi una categoria speciale ai sensi del Regolamento europeo. In assenza di solide basi giuridiche e di una valutazione di impatto strutturata il rischio di non conformità e sanzioni è reale. Esistono però alternative robuste come FIDO2 e passkey che abbattono la superficie di rischio e consentono comunque un controllo puntuale delle timbrature.

Quadro normativo essenziale

Il GDPR definisce i dati biometrici come quelli ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche fisiologiche o comportamentali di una persona che consentono o confermano l identificazione univoca. Rientrano quindi immagini del volto elaborate con algoritmi di riconoscimento e template di impronte. Questi dati sono una categoria speciale e il loro trattamento è vietato salvo una delle eccezioni di cui all articolo 9 paragrafo 2 come obblighi previsti dal diritto del lavoro con garanzie idonee o consenso esplicito dell interessato. Fonte art. 4 e art. 9 GDPR Eur Lex.

Nel contesto lavorativo il consenso è in genere inidoneo a causa dello squilibrio tra datore di lavoro e dipendente secondo le linee guida europee sul consenso. Fonte EDPB Guidelines on consent EDPB. Molte autorità europee ritengono sproporzionato l uso di biometria per la sola rilevazione presenze in assenza di specifiche esigenze di sicurezza elevate. La CNIL ad esempio limita fortemente l uso di lettori di impronte per il controllo orario privilegiando soluzioni meno invasive. Fonte CNIL biometrics CNIL.

Quando la DPIA è obbligatoria e come farla bene nel 2026

La valutazione d impatto sulla protezione dei dati è obbligatoria quando il trattamento può presentare un rischio elevato in particolare in caso di uso di dati biometrici per identificare in modo univoco le persone. Fonte EDPB DPIA guidelines WP248 rev.01 EDPB.

Una DPIA efficace per un progetto di timbratura biometrica dovrebbe includere almeno questi passaggi pratici:

• Scopo e necessità definire con precisione gli obiettivi specifici e i problemi che si vogliono risolvere ad esempio riduzione delle timbrature delegate e verificare se esistono alternative meno invasive come badge personali FIDO2 o passkey.
• Mappatura dei dati descrivere origine tipologia e flussi dei dati compresi template biometrici metadati e log di accesso con indicazione di dove sono conservati e per quanto tempo.
• Base giuridica identificare la combinazione di articoli 6 e 9 applicabili e la norma nazionale rilevante se esistente. Documentare perché il consenso non è scelto e perché l uso della biometria sarebbe strettamente necessario.
• Proporzionalità motivare la scelta confrontando più soluzioni con una matrice che bilanci efficacia costi e impatto sui diritti dei lavoratori.
• Rischi valutare scenari di violazione ad esempio compromissione dei template attacchi di presentazione e uso improprio a fini disciplinari non previsti nonché rischi di lock in del fornitore.
• Misure di mitigazione cifratura end to end dei template conservazione su dispositivi locali quando possibile prova di vitalità testata da terze parti minimizzazione dei dati disaccoppiamento tra identificazione e registrazione presenze politica di conservazione limitata.
• Cerimoniale di trasparenza informativa chiara audit trail di accessi e processi per esercizio dei diritti con canali dedicati e tempi certi di risposta.
• Consultazione coinvolgere il DPO le rappresentanze dei lavoratori e se il rischio residuo resta elevato consultare l autorità di controllo prima di procedere.

Base giuridica davvero sostenibile nel lavoro subordinato

Per la sola rilevazione presenze ricorrere alla biometria è raramente giustificabile. In mancanza di una legge nazionale che imponga o autorizzi specificamente l uso di sistemi biometrici per l orario l azienda difficilmente potrà invocare l articolo 9 paragrafo 2 lettera b che richiede una base nel diritto del lavoro o della sicurezza sociale. Inoltre l articolo 6 legittimo interesse non basta con dati biometrici perché non supera il divieto generale dell articolo 9.

• Quando può reggere contesti di alta sicurezza in cui la biometria serve per controllare accessi a aree critiche e la registrazione presenze è un effetto collaterale inevitabile adeguatamente circoscritto e documentato.
• Quando non regge uffici generici negozi reparti amministrativi dove badge personali o autenticazione forte non biometrica raggiungono lo stesso risultato con minore impatto.

Indicazioni coerenti sono rintracciabili nelle posizioni delle autorità europee che richiamano necessità proporzionalità e sussidiarietà rispetto a metodi meno invasivi. Vedi GDPR art. 5 e art. 9 Eur Lex e sintesi CNIL CNIL.

FIDO2 e passkey per timbrare senza trattare dati biometrici

FIDO2 e le passkey consentono di autenticare gli utenti con chiavi crittografiche pubbliche e private custodite sul dispositivo. L eventuale uso del volto o dell impronta avviene solo in locale per sbloccare la chiave e non viene condiviso con il datore di lavoro. Di conseguenza l azienda non tratta dati biometrici ai sensi dell articolo 9 bensì gestisce credenziali pubbliche e log applicativi ordinari riducendo drasticamente oneri e rischi.

• Come funziona l applicazione di timbratura genera una sfida l autenticatore FIDO la firma con la chiave privata legata al dispositivo il server verifica con la chiave pubblica registrata. Fonti FIDO Alliance FIDO e W3C WebAuthn W3C.
• Privacy by design i template biometrici restano nel secure enclave del dispositivo come chiarito nelle guide dei fornitori. Fonti Microsoft Windows Hello Microsoft.
• Allineamento a NIST le linee guida NIST raccomandano di non usare la biometria come unico fattore ma come sblocco di un fattore di possesso. Fonte NIST SP 800 63B NIST.

Tre pattern di implementazione rapidi

• Kiosk aziendale postazione condivisa con applicazione web abilitata a WebAuthn e registrazione delle chiavi pubbliche dei dipendenti. Garantire rotazione dei dispositivi e pulizia dei dati con profili temporanei.
• Check in da smartphone app di timbratura con passkey e geofencing che allega al log coordinate e attendibilità del punto di accesso. Minimizzare precisione e conservazione per rispettare proporzionalità.
• Chiavi fisiche per reparti senza smartphone aziendali usare chiavi FIDO con attestazioni gestite dall IT e politiche di smarrimento e sostituzione chiare.

Checklist in 30 giorni per HR e IT

• Settimana 1 definire obiettivi e requisiti minimi con DPO mappare processi e redigere bozza di DPIA comparativa tra biometria e FIDO2.
• Settimana 2 RFP a tre fornitori con criteri su supporto WebAuthn gestione chiavi pubbliche esportazione log interoperabilità con sistemi paghe e audit.
• Settimana 3 pilot su un reparto misurando tasso di successo di autenticazione tempi medi di timbratura e necessità di supporto.
• Settimana 4 finalizzare informativa privacy procedure di gestione incidenti e manuali per i dipendenti formare referenti e attivare canali di assistenza.

Le domande giuste che i candidati possono porre

• Quale tecnologia usate per la timbratura e quali dati personali vengono registrati a ogni accesso
• Se impiegate dati biometrici esiste una DPIA e posso leggerne il riepilogo
• Qual è il tempo di conservazione dei log di presenza e chi vi accede
• È disponibile un canale per esercitare i diritti privacy senza impatti sul rapporto di lavoro
• Preferite soluzioni con passkey che non centralizzano dati biometrici

Risorse affidabili per approfondire e per i tuoi modelli

• Regolamento generale sulla protezione dei dati testo ufficiale Eur Lex
• Linee guida EDPB sulla DPIA con esempi e criteri di rischio EDPB
• Indicazioni CNIL su biometria e lavoro per valutare sussidiarietà e necessità CNIL
• NIST SP 800 63B sugli standard di autenticazione moderna NIST
• Panoramica FIDO2 e principi di privacy FIDO Alliance e standard WebAuthn W3C

Chi prende oggi decisioni su presenze e accessi può ottenere integrità dei dati e fluidità operativa scegliendo l opzione meno invasiva che soddisfa il bisogno. Spesso significa passare da biometria centralizzata a passkey e chiavi pubbliche ben gestite.

Pubblicato da PortaleLavoro.Org | 20 ore fa | Articoli sul mondo del lavoro

Tags: biometria, DPIA, FIDO2, GDPR, rilevazione presenze