Università eCampus sanzionata per riconoscimento facciale
Il Garante Privacy ha inflitto una sanzione di 50.000 euro all’Università eCampus per aver utilizzato un sistema di riconoscimento facciale durante i corsi online di abilitazione all’insegnamento. Il sistema acquisiva i dati biometrici di oltre 450 corsisti per sessione, al fine di verificarne l’identità e la presenza durante le lezioni.
L’istruttoria ha evidenziato che il trattamento era privo di un’adeguata base giuridica: il GDPR, all’art. 9, classifica i dati biometrici tra le “categorie particolari” di dati personali, il cui trattamento richiede condizioni rafforzate. Inoltre, l’ateneo non aveva effettuato la Valutazione d’Impatto sulla Protezione dei Dati (DPIA), obbligatoria ai sensi dell’art. 35 del GDPR quando un trattamento presenta un rischio elevato per i diritti e le libertà delle persone. Non erano state neppure esplorate soluzioni tecniche meno invasive per raggiungere la stessa finalità.
Nella determinazione della sanzione, il Garante ha tenuto conto della collaborazione dell’università e dell’interruzione volontaria del trattamento. Il caso conferma che l’uso di tecnologie biometriche in ambito scolastico e universitario richiede sempre basi giuridiche solide e valutazioni d’impatto preventive.
Per qualsiasi organizzazione che stia valutando l’adozione di sistemi di riconoscimento facciale, questo provvedimento è un chiaro promemoria: senza una DPIA e una base giuridica adeguata, il rischio di sanzione è concreto.
Fonte: Garante per la Protezione dei Dati Personali – https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10222071
