Categorie principali
Altre categorie
Network Maggioli
    Registrarsi conviene

    Tanti vantaggi subito accessibili

  • 1

    Download gratuito dei tuoi articoli preferiti in formato PDF

  • 2

    Possibilità di sospendere la pubblicità dagli articoli del portale

  • 3

    Iscrizione al network dei professionisti

  • 4

    Ricevi le newsletter con le nostre Rassegne fiscali

Riconoscimento facciale nei corsi online: sanzione a eCampus

Il Garante privacy sanziona eCampus per l’uso del riconoscimento facciale nei corsi online e ribadisce i limiti al trattamento dei dati biometrici.

Scarica PDF Stampa

La recente sanzione irrogata dal Garante per la protezione dei dati personali nei confronti dell’Università eCampus, per l’utilizzo di un sistema di riconoscimento facciale nei corsi online di abilitazione all’insegnamento, rappresenta un provvedimento di particolare interesse sistematico. Non si tratta infatti di un caso isolato di violazione formale, ma di un intervento che riafferma con forza un principio fondamentale della disciplina europea: il trattamento dei dati biometrici è consentito solo in presenza di presupposti rigorosi e nel rispetto di garanzie rafforzate, non eludibili mediante esigenze organizzative o logistiche.
L’Autorità ha accertato che l’Ateneo utilizzava un sistema di riconoscimento facciale per verificare identità e presenza dei corsisti durante le lezioni online, coinvolgendo oltre 450 partecipanti per ciascuna sessione. Il trattamento, per sua natura, implicava la raccolta e l’elaborazione di dati biometrici, ossia dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche di una persona che ne consentono o confermano l’identificazione univoca, ai sensi dell’art. 4, n. 14, del Regolamento (UE) 2016/679. In materia di cybersicurezza, abbiamo organizzato il corso Linee guida per la governance dei dati e dell’intelligenza artificiale. Abbiamo anche pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon

Indice

1. Dati biometrici e regime di divieto: il quadro normativo


Il punto centrale della decisione risiede nella qualificazione giuridica del trattamento. I dati biometrici, quando trattati per identificare in modo univoco una persona fisica, rientrano tra le categorie particolari di dati di cui all’art. 9, par. 1, GDPR, il cui trattamento è, in linea di principio, vietato. Il superamento di tale divieto richiede la ricorrenza di una delle condizioni tassative previste dal paragrafo 2 della medesima disposizione.
Nel caso in esame, il Garante ha rilevato la mancanza di una base giuridica idonea a legittimare il trattamento. L’esigenza di verificare la presenza alle lezioni non è stata ritenuta sufficiente a integrare una delle deroghe previste dall’art. 9, par. 2, GDPR. In particolare, non risulta configurabile né un obbligo legale che imponesse l’utilizzo di sistemi biometrici né un interesse pubblico rilevante disciplinato da una norma di legge nazionale, come richiesto dalla lettera g) della disposizione. Anche l’eventuale ricorso al consenso avrebbe presentato criticità evidenti, considerata la posizione asimmetrica tra Ateneo e corsisti e la conseguente difficoltà di garantire un consenso effettivamente libero ai sensi dell’art. 7 GDPR.
Il provvedimento si inserisce in un orientamento consolidato dell’Autorità, secondo cui il trattamento di dati biometrici per finalità organizzative o di controllo della presenza è ammissibile solo in circostanze eccezionali e in assenza di strumenti alternativi meno invasivi. Abbiamo anche pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon.

VOLUME

Formulario commentato della privacy

La nuova edizione dell’opera affronta con taglio pratico gli aspetti sostanziali e procedurali del trattamento dei dati personali alla luce delle nuove sfide poste dall’evoluzione normativa e tecnologica degli ultimi due anni. La disciplina di riferimento è commentata tenendo conto dei rilevanti interventi a livello europeo e nazionale (tra cui le Linee Guida EDPB, i regolamenti AI Act e DORA, l’attuazione della direttiva NIS 2), offrendo al Professionista una guida completa e aggiornata.Il libro è suddiviso in tredici sezioni, che coprono ogni aspetto della materia e tutti gli argomenti sono corredati da oltre 100 formule e modelli. Tra le novità più rilevanti:• Connessioni tra il nuovo AI Act e il GDPR, differenze tra FRIA e DPIA, valutazione dei rischi e incidenti• Gestione del personale: smart working, telelavoro e whistleblowing• Strumenti di monitoraggio: controlli a distanza dei lavoratori, cloud computing e gestione degli strumenti informatici in azienda• Tutela degli interessati: una guida completa su profilazione, processi decisionali automatizzati e sull’esercizio dei diritti• Strumenti di tutela: sanzioni, reclami, segnalazioni e ricorsi al Garante.Giuseppe CassanoDirettore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.Enzo Maria Tripodiattualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.Cristian ErcolanoPartner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.

 

Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2025

58.90 €

Scopri di più

2. Il principio di necessità e proporzionalità


Un secondo profilo decisivo riguarda l’applicazione dei principi di cui all’art. 5 GDPR, in particolare quelli di minimizzazione, necessità e proporzionalità. L’Autorità ha evidenziato la disponibilità di strumenti alternativi per verificare la presenza alle lezioni online, meno invasivi rispetto al riconoscimento facciale.
Questo passaggio è centrale. Il GDPR non si limita a richiedere una base giuridica formale; impone una valutazione sostanziale di adeguatezza del mezzo rispetto alla finalità perseguita. Laddove la stessa finalità possa essere raggiunta mediante strumenti meno impattanti sui diritti e le libertà degli interessati, il ricorso a tecnologie biometriche risulta sproporzionato.
Nel contesto della formazione online, soluzioni quali autenticazione mediante credenziali personali, tracciamento delle connessioni, sistemi di verifica a campione o dichiarazioni sostitutive possono risultare idonee a garantire l’effettiva partecipazione senza comportare il trattamento di categorie particolari di dati. L’adozione di un sistema di riconoscimento facciale, in assenza di un rischio concreto di frodi tali da giustificare misure rafforzate, configura un evidente squilibrio tra mezzo e fine.

3. L’assenza della valutazione di impatto (DPIA)


Un ulteriore elemento di illegittimità rilevato dal Garante riguarda la mancata effettuazione della valutazione di impatto sulla protezione dei dati prevista dall’art. 35 GDPR. Il trattamento sistematico e su larga scala di dati biometrici rientra, secondo le Linee guida del Comitato europeo per la protezione dei dati e secondo l’elenco dei trattamenti soggetti a DPIA adottato dal Garante italiano, tra le ipotesi che richiedono obbligatoriamente una valutazione preventiva.
La DPIA non costituisce un adempimento formale, ma uno strumento sostanziale di analisi del rischio. Essa avrebbe imposto all’Ateneo di valutare preventivamente la necessità del trattamento biometrico, l’impatto sui diritti degli interessati, le misure di mitigazione adottabili e la sussistenza di alternative meno invasive. L’omissione di tale valutazione ha privato il titolare di un presidio essenziale di accountability, aggravando la posizione dell’ente.

4. La dimensione quantitativa e la gravità della violazione


Le violazioni hanno interessato un numero molto elevato di interessati, oltre 450 corsisti per ciascuna lezione, con un trattamento sistematico e reiterato nel tempo. La dimensione quantitativa e la natura intrusiva del trattamento hanno inciso sulla valutazione di gravità ai sensi dell’art. 83 GDPR.
È significativo che, nel corso dell’istruttoria, il sistema sia stato mantenuto in uso, seppur con alcuni correttivi ritenuti insufficienti dall’Autorità, fino alla successiva disattivazione definitiva. Tale circostanza evidenzia come, in materia di trattamenti ad alto rischio, interventi parziali o meramente formali non siano idonei a sanare criticità strutturali.
Nel determinare l’importo della sanzione, pari a 50.000 euro, il Garante ha comunque tenuto conto della collaborazione prestata dall’Università e dell’interruzione volontaria del trattamento, in applicazione dei criteri di cui all’art. 83, par. 2, GDPR. L’entità della sanzione, pur non elevatissima in termini assoluti, assume un valore simbolico rilevante, in quanto ribadisce un limite chiaro all’utilizzo disinvolto di tecnologie biometriche nel settore dell’istruzione.

5. Implicazioni per il settore educativo e per la formazione a distanza


Il provvedimento impone una riflessione più ampia sull’impiego di strumenti di riconoscimento facciale nella didattica digitale. L’espansione della formazione online ha favorito l’adozione di soluzioni tecnologiche volte a garantire l’identità dei partecipanti e l’integrità delle procedure di valutazione. Tuttavia, la tutela dell’affidabilità del percorso formativo non può tradursi in un sacrificio ingiustificato dei diritti fondamentali alla protezione dei dati e alla riservatezza.
Il trattamento di dati biometrici costituisce una forma di identificazione particolarmente invasiva, in quanto incide su caratteristiche fisiche intrinseche e non modificabili dell’individuo. A differenza di una password o di un badge, il dato biometrico, una volta compromesso, non può essere “sostituito”. Tale irreversibilità giustifica l’atteggiamento restrittivo del legislatore europeo e delle autorità di controllo.
Nel settore educativo, ove spesso si registrano rapporti caratterizzati da una significativa asimmetria di potere tra istituzione e discente, l’adozione di tecnologie biometriche deve essere valutata con estrema cautela. La logica dell’efficienza organizzativa non può prevalere sulla centralità della persona e sulla necessità di rispettare il principio di proporzionalità.

6. Conclusioni


La sanzione nei confronti di eCampus conferma un orientamento rigoroso in materia di dati biometrici e rappresenta un monito per tutti i titolari del trattamento che intendano introdurre sistemi di riconoscimento facciale in ambiti non strettamente necessari. Il GDPR non vieta in modo assoluto l’uso di tali tecnologie, ma ne circoscrive l’impiego a condizioni stringenti, richiedendo una base giuridica solida, una valutazione preventiva del rischio e il rispetto dei principi di necessità e minimizzazione.
Nel contesto della formazione online, la scelta di ricorrere a sistemi biometrici deve essere considerata extrema ratio. Laddove esistano strumenti alternativi idonei a raggiungere la medesima finalità con minore impatto sui diritti degli interessati, l’utilizzo del riconoscimento facciale si espone a censure difficilmente superabili.
Il messaggio dell’Autorità è chiaro: l’innovazione tecnologica non è neutra dal punto di vista giuridico. La protezione dei dati personali continua a rappresentare un limite sostanziale all’adozione di strumenti ad alto impatto, soprattutto quando coinvolgono categorie particolari di dati e trattamenti su larga scala. Chi opera nel settore della formazione digitale è chiamato a integrare la compliance privacy fin dalla fase progettuale, evitando che la tecnologia preceda – e comprometta – il rispetto dei diritti fondamentali.

Formazione in materia per professionisti


Linee guida per la governance dei dati e dell’intelligenza artificiale
Un ciclo di quattro incontri per tradurre le norme su AI e protezione dei dati in procedure operative concrete. Dalla definizione delle policy alla costruzione del reporting e delle linee guida interne, il webinar offre ai professionisti della compliance strumenti immediatamenti applicabili:
• Basi giuridiche e accountability documentale: principi applicabili ai trattamenti tipici dell’ufficio legale, distinzione fra esigenze legali, difensive e operative, mappatura end-to-end del flusso “revisione clausole contrattuali” ed errori frequenti con relative contromisure.
• Criteri e controllo dei risultati: accettazione dei risultati di analisi e AI, registrazione dei casi d’uso e delle verifiche, esempi pratici di analytics.
• KPI, reporting e governance del dato: definizione e monitoraggio degli indicatori, progettazione di dashboard efficaci e policy interne per garantire tracciabilità e qualità dei dati.
• Integrazione AI e workflow aziendale: collegamento dell’AI con l’ecosistema aziendale, flusso “review automatizzata delle clausole” e linee guida “Uso dati e AI nell’ufficio legale”.
>>>Per info ed iscrizione<<<

Vuoi ricevere aggiornamenti costanti?


Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!

Iscriviti alla newsletter
Iscrizione completata

Grazie per esserti iscritto alla newsletter.

Seguici sui social


Avv. Luisa Di Giacomo

Laureata in giurisprudenza a pieni voti nel 2001, avvocato dal 2005, ho studiato e lavorato nel Principato di Monaco e a New York.
Dal 2012 mi occupo di compliance e protezione dati, nel 2016 ho conseguito il Master come Consulente Privacy e nel 2020 ho conseguito il titolo…Continua a leggere

Scrivi un commento

Accedi per poter inserire un commento

Leggi anche
Privacy e Cybersecurity
Nuove Linee Guida MIT sulla digitalizzazione: la gestione informativa degli appalti

Nuove Linee guida MIT sulla gestione informativa digitale: come cambiano progettazione, controllo e …

Luisa Di Giacomo 04/03/26
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Il Garante blocca Amazon: stop a note “libere” sui lavoratori e telecamere vicino ai bagni

Garante Privacy: stop ad Amazon su note con dati di salute, scioperi e vita privata e su telecamere …

Redazione 26/02/26
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Ho cliccato anche io: anatomia giuridica della “truffa della ballerina” su Whatsapp

La cosiddetta “truffa della ballerina” è uno schema di social engineering per l’appropriazione dell’…

Luisa Di Giacomo 16/02/26
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Garante privacy: illecito il controllo dello stile di guida dei lavoratori

No del Garante all’installazione, sui veicoli aziendali, di un dispositivo per raccogliere informazi…

Luisa Di Giacomo 05/02/26
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;