Con provvedimento del dicembre 2015 e con successivo provvedimento del marzo 2016, l'Autorità ha sottolineato quello che, allo stato attuale, è un principio dirimente nella scelta, da parte del titolare del trattamento, delle soluzioni di tipo biometrico: i dati biometrici possono essere raccolti e utilizzati solo in mancanza di una procedura equivalente e meno invasiva. Insomma, specie nel caso di rilevazione delle presenze dei lavoratori, i sistemi biometrici devono essere adottati solo in presenza di documentata inefficacia o impraticabilità di altri sistemi meno invasivi.
Per esempio nei casi dei cosiddetti "furbetti del cartellino" i precedenti sembrano giustificare la necessità di evitare continui "appostamenti" e verifiche, superando il problema con un sistema che collochi, univocamente, il lavoratore laddove dovrebbe trovarsi al momento della registrazione del proprio accesso o del proprio allontanamento dagli uffici. Questa constatazione non comporta, tuttavia l'esenzione dalla necessità di sottoporre il sistema adottato alla "verifica preliminare" del Garante.
È pur vero che in ambienti piccoli quella biometrica è la misura più agevole per evitare un'elevata, e spesso controproducente, percezione dei controlli sul personale.
Si pensi a un piccolo ente locale ove la verifica di un badge (se si stia utilizzando quello proprio o quello altrui), da parte di un collega a ciò preposto, viene vissuta quasi come una forma di mobbing (fatto vissuto in modo ben diverso nei grandi enti).
Conclusioni
In conclusione, l'uso della biometria può rappresentare un upgrade del livello di sicurezza di un sistema ma non deve far dimenticare che ha un notevole impatto in termini di regolamentazione; l'introduzione di un sistema biometrico va studiata attentamente perché non può essere considerata la panacea di tutti i mali.
Un sistema biometrico deve essere concepito nell'ambito di un sistema "sicuro" e non aggiunto come "toppa" per innalzare il livello di sicurezza (nella maggior parte dei casi "l'aggiunta posticcia" non genera i risultati attesi). In questo senso si esprime il Regolamento privacy (Regolamento (UE) 2016/679) - adottato dall'Unione Europea che sarà applicabile dal maggio 2018 – il quale prevede che le soluzioni che incidono sul trattamento dei dati personali, siano pensate ab initio in termini di sicurezza by default e privacy by design.