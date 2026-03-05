La recente sanzione irrogata dal Garante per la protezione dei dati personali nei confronti dell’Università eCampus, per l’utilizzo di un sistema di riconoscimento facciale nei corsi online di abilitazione all’insegnamento, rappresenta un provvedimento di particolare interesse sistematico. Non si tratta infatti di un caso isolato di violazione formale, ma di un intervento che riafferma con forza un principio fondamentale della disciplina europea: il trattamento dei dati biometrici è consentito solo in presenza di presupposti rigorosi e nel rispetto di garanzie rafforzate, non eludibili mediante esigenze organizzative o logistiche.
L'Autorità ha accertato che l'Ateneo utilizzava un sistema di riconoscimento facciale per verificare identità e presenza dei corsisti durante le lezioni online, coinvolgendo oltre 450 partecipanti per ciascuna sessione. Il trattamento, per sua natura, implicava la raccolta e l'elaborazione di dati biometrici, ossia dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche di una persona che ne consentono o confermano l'identificazione univoca, ai sensi dell'art. 4, n. 14, del Regolamento (UE) 2016/679.
Indice
- 1. Dati biometrici e regime di divieto: il quadro normativo
- 2. Il principio di necessità e proporzionalità
- 3. L’assenza della valutazione di impatto (DPIA)
- 4. La dimensione quantitativa e la gravità della violazione
- 5. Implicazioni per il settore educativo e per la formazione a distanza
- 6. Conclusioni
1. Dati biometrici e regime di divieto: il quadro normativo
Il punto centrale della decisione risiede nella qualificazione giuridica del trattamento. I dati biometrici, quando trattati per identificare in modo univoco una persona fisica, rientrano tra le categorie particolari di dati di cui all’art. 9, par. 1, GDPR, il cui trattamento è, in linea di principio, vietato. Il superamento di tale divieto richiede la ricorrenza di una delle condizioni tassative previste dal paragrafo 2 della medesima disposizione.
Nel caso in esame, il Garante ha rilevato la mancanza di una base giuridica idonea a legittimare il trattamento. L’esigenza di verificare la presenza alle lezioni non è stata ritenuta sufficiente a integrare una delle deroghe previste dall’art. 9, par. 2, GDPR. In particolare, non risulta configurabile né un obbligo legale che imponesse l’utilizzo di sistemi biometrici né un interesse pubblico rilevante disciplinato da una norma di legge nazionale, come richiesto dalla lettera g) della disposizione. Anche l’eventuale ricorso al consenso avrebbe presentato criticità evidenti, considerata la posizione asimmetrica tra Ateneo e corsisti e la conseguente difficoltà di garantire un consenso effettivamente libero ai sensi dell’art. 7 GDPR.
Il provvedimento si inserisce in un orientamento consolidato dell'Autorità, secondo cui il trattamento di dati biometrici per finalità organizzative o di controllo della presenza è ammissibile solo in circostanze eccezionali e in assenza di strumenti alternativi meno invasivi.
2. Il principio di necessità e proporzionalità
Un secondo profilo decisivo riguarda l’applicazione dei principi di cui all’art. 5 GDPR, in particolare quelli di minimizzazione, necessità e proporzionalità. L’Autorità ha evidenziato la disponibilità di strumenti alternativi per verificare la presenza alle lezioni online, meno invasivi rispetto al riconoscimento facciale.
Questo passaggio è centrale. Il GDPR non si limita a richiedere una base giuridica formale; impone una valutazione sostanziale di adeguatezza del mezzo rispetto alla finalità perseguita. Laddove la stessa finalità possa essere raggiunta mediante strumenti meno impattanti sui diritti e le libertà degli interessati, il ricorso a tecnologie biometriche risulta sproporzionato.
Nel contesto della formazione online, soluzioni quali autenticazione mediante credenziali personali, tracciamento delle connessioni, sistemi di verifica a campione o dichiarazioni sostitutive possono risultare idonee a garantire l’effettiva partecipazione senza comportare il trattamento di categorie particolari di dati. L’adozione di un sistema di riconoscimento facciale, in assenza di un rischio concreto di frodi tali da giustificare misure rafforzate, configura un evidente squilibrio tra mezzo e fine.
3. L’assenza della valutazione di impatto (DPIA)
Un ulteriore elemento di illegittimità rilevato dal Garante riguarda la mancata effettuazione della valutazione di impatto sulla protezione dei dati prevista dall’art. 35 GDPR. Il trattamento sistematico e su larga scala di dati biometrici rientra, secondo le Linee guida del Comitato europeo per la protezione dei dati e secondo l’elenco dei trattamenti soggetti a DPIA adottato dal Garante italiano, tra le ipotesi che richiedono obbligatoriamente una valutazione preventiva.
La DPIA non costituisce un adempimento formale, ma uno strumento sostanziale di analisi del rischio. Essa avrebbe imposto all’Ateneo di valutare preventivamente la necessità del trattamento biometrico, l’impatto sui diritti degli interessati, le misure di mitigazione adottabili e la sussistenza di alternative meno invasive. L’omissione di tale valutazione ha privato il titolare di un presidio essenziale di accountability, aggravando la posizione dell’ente.
4. La dimensione quantitativa e la gravità della violazione
Le violazioni hanno interessato un numero molto elevato di interessati, oltre 450 corsisti per ciascuna lezione, con un trattamento sistematico e reiterato nel tempo. La dimensione quantitativa e la natura intrusiva del trattamento hanno inciso sulla valutazione di gravità ai sensi dell’art. 83 GDPR.
È significativo che, nel corso dell’istruttoria, il sistema sia stato mantenuto in uso, seppur con alcuni correttivi ritenuti insufficienti dall’Autorità, fino alla successiva disattivazione definitiva. Tale circostanza evidenzia come, in materia di trattamenti ad alto rischio, interventi parziali o meramente formali non siano idonei a sanare criticità strutturali.
Nel determinare l’importo della sanzione, pari a 50.000 euro, il Garante ha comunque tenuto conto della collaborazione prestata dall’Università e dell’interruzione volontaria del trattamento, in applicazione dei criteri di cui all’art. 83, par. 2, GDPR. L’entità della sanzione, pur non elevatissima in termini assoluti, assume un valore simbolico rilevante, in quanto ribadisce un limite chiaro all’utilizzo disinvolto di tecnologie biometriche nel settore dell’istruzione.
5. Implicazioni per il settore educativo e per la formazione a distanza
Il provvedimento impone una riflessione più ampia sull’impiego di strumenti di riconoscimento facciale nella didattica digitale. L’espansione della formazione online ha favorito l’adozione di soluzioni tecnologiche volte a garantire l’identità dei partecipanti e l’integrità delle procedure di valutazione. Tuttavia, la tutela dell’affidabilità del percorso formativo non può tradursi in un sacrificio ingiustificato dei diritti fondamentali alla protezione dei dati e alla riservatezza.
Il trattamento di dati biometrici costituisce una forma di identificazione particolarmente invasiva, in quanto incide su caratteristiche fisiche intrinseche e non modificabili dell’individuo. A differenza di una password o di un badge, il dato biometrico, una volta compromesso, non può essere “sostituito”. Tale irreversibilità giustifica l’atteggiamento restrittivo del legislatore europeo e delle autorità di controllo.
Nel settore educativo, ove spesso si registrano rapporti caratterizzati da una significativa asimmetria di potere tra istituzione e discente, l’adozione di tecnologie biometriche deve essere valutata con estrema cautela. La logica dell’efficienza organizzativa non può prevalere sulla centralità della persona e sulla necessità di rispettare il principio di proporzionalità.
6. Conclusioni
La sanzione nei confronti di eCampus conferma un orientamento rigoroso in materia di dati biometrici e rappresenta un monito per tutti i titolari del trattamento che intendano introdurre sistemi di riconoscimento facciale in ambiti non strettamente necessari. Il GDPR non vieta in modo assoluto l’uso di tali tecnologie, ma ne circoscrive l’impiego a condizioni stringenti, richiedendo una base giuridica solida, una valutazione preventiva del rischio e il rispetto dei principi di necessità e minimizzazione.
Nel contesto della formazione online, la scelta di ricorrere a sistemi biometrici deve essere considerata extrema ratio. Laddove esistano strumenti alternativi idonei a raggiungere la medesima finalità con minore impatto sui diritti degli interessati, l’utilizzo del riconoscimento facciale si espone a censure difficilmente superabili.
Il messaggio dell’Autorità è chiaro: l’innovazione tecnologica non è neutra dal punto di vista giuridico. La protezione dei dati personali continua a rappresentare un limite sostanziale all’adozione di strumenti ad alto impatto, soprattutto quando coinvolgono categorie particolari di dati e trattamenti su larga scala. Chi opera nel settore della formazione digitale è chiamato a integrare la compliance privacy fin dalla fase progettuale, evitando che la tecnologia preceda – e comprometta – il rispetto dei diritti fondamentali.
