Il Garante privacy ha sanzionato Università eCampus con 50.000 euro per trattamento illecito di dati biometrici tramite riconoscimento facciale nei corsi online, accertando la violazione del GDPR e l’assenza di una base giuridica adeguata. Nella stessa newsletter n. 543 del 20 febbraio 2026, l’Autorità ha espresso parere negativo sulle body cam della Polizia locale di Pescara, ha approvato le linee guida Agid sull’accessibilità e ha contribuito ai lavori europei su diritto alla cancellazione e Digital Omnibus. Il messaggio è chiaro: biometria, videosorveglianza e accountability restano fronti caldi della protezione dati.
Riconoscimento facciale e sanzione a Università eCampus
Nel caso Università eCampus, il Garante privacy ha rilevato l’uso sistematico del riconoscimento facciale per verificare identità e presenza nei corsi di abilitazione all’insegnamento. Il trattamento coinvolgeva oltre 450 corsisti per lezione e riguardava dati biometrici, categoria che richiede garanzie rafforzate ai sensi del GDPR. L’Autorità ha accertato la mancanza di una base giuridica idonea e l’assenza di una preventiva valutazione d’impatto sulla protezione dei dati. Sono stati evidenziati anche strumenti alternativi meno invasivi per il controllo delle presenze, che l’Ateneo non ha adottato. Durante l’istruttoria il sistema è rimasto parzialmente attivo e le modifiche introdotte non hanno superato le criticità strutturali. L’Università ha poi disattivato definitivamente il riconoscimento facciale e collaborato con l’Autorità, elementi che hanno inciso sull’importo finale della sanzione, fissato in 50.000 euro. Il provvedimento ribadisce che i trattamenti biometrici non possono essere introdotti per esigenze organizzative senza un fondamento giuridico solido e senza dimostrare la necessità e proporzionalità rispetto alle finalità perseguite. Per il settore della formazione digitale si tratta di un precedente rilevante che impone una revisione delle procedure di identificazione a distanza.
Body cam a Pescara e trasferimenti extra UE
Il Garante privacy ha espresso parere negativo sul progetto di utilizzo delle body cam da parte della Polizia locale di Pescara. Il Comune aveva presentato una valutazione d’impatto, ma l’Autorità ha riscontrato criticità significative. Il sistema informatico risultava collegato a un fornitore statunitense, con potenziale trasferimento di dati personali verso Paesi extra UE senza adeguate garanzie. Sono state rilevate carenze nelle misure di sicurezza contro accessi non autorizzati, inclusi possibili accessi in chiaro da parte del fornitore. Nel contesto delle attività di law enforcement, la disciplina applicabile – in particolare la Direttiva UE 2016/680 – richiede tutele rafforzate e accordi vincolanti specifici per i trasferimenti verso Paesi terzi. L’Autorità ha inoltre evidenziato la mancanza di chiarimenti su aspetti tecnici, come la presenza di SIM nelle body cam e la gestione dei flussi dati. Il parere negativo ha bloccato l’implementazione del sistema nella configurazione proposta, imponendo al Comune una riprogettazione nel rispetto delle norme sulla protezione dei dati. La decisione rappresenta un monito per gli enti locali che adottano tecnologie di videosorveglianza senza un’analisi approfondita dei rischi connessi ai trasferimenti internazionali.
Accessibilità digitale e linee guida Agid
Diverso l’esito sullo schema di decreto Agid relativo alle linee guida sull’accessibilità dei servizi per le persone con disabilità. Il Garante privacy ha espresso parere favorevole, a condizione che siano rispettati i principi di privacy by design e privacy by default. Le linee guida impongono ai fornitori di servizi pubblici e privati – inclusi trasporti, internet e sistemi di pagamento – di evitare tecniche che possano desumere o tracciare la disabilità dell’utente attraverso strumenti ausiliari. È richiesta un’espressa dichiarazione sull’assenza di meccanismi di profilazione indiretta. L’integrazione delle tutele privacy nel quadro dell’accessibilità mira a garantire che l’inclusione digitale non si traduca in un aumento dei rischi di tracciamento o discriminazione. La piattaforma di vigilanza prevista da Agid dovrà operare nel rispetto delle misure di protezione dati indicate dall’Autorità.
Diritto alla cancellazione e rapporto EDPB
Sul piano europeo, il Garante privacy ha partecipato ai lavori coordinati dall’EDPB sul diritto alla cancellazione previsto dall’articolo 17 del GDPR. Il rapporto, frutto del Coordinated Enforcement Framework 2025, ha coinvolto 764 titolari del trattamento in tutta Europa. Le risultanze evidenziano criticità diffuse: mancanza di procedure interne strutturate, informazioni insufficienti agli interessati, difficoltà nella determinazione dei periodi di conservazione e problematiche nella cancellazione dei dati contenuti nei backup. Sono emerse anche pratiche di anonimizzazione inefficaci come alternativa alla cancellazione. Il diritto alla cancellazione non è assoluto e richiede un bilanciamento con altri diritti, ma l’EDPB ha sottolineato la necessità di garantire un’attuazione concreta e uniforme. Le indicazioni fornite nel rapporto mirano a rafforzare la compliance e a ridurre i reclami legati all’esercizio di questo diritto.
Digital Omnibus e posizione dei Garanti UE
In merito alla proposta di regolamento Digital Omnibus, l’EDPB e l’EDPS hanno espresso un parere congiunto. Le Autorità accolgono favorevolmente le semplificazioni amministrative, ma criticano l’introduzione di una nozione di dato personale fondata su criteri soggettivi, ritenuta potenzialmente restrittiva rispetto alla tutela garantita dal GDPR. Secondo i Garanti, alcune modifiche eccedono gli interventi tecnici necessari e non riflettono pienamente la giurisprudenza della Corte di giustizia dell’Unione europea. È stato espresso apprezzamento per le semplificazioni sulla notifica dei data breach e per le precisazioni relative alla ricerca scientifica. Particolare attenzione è stata riservata alle deroghe in materia di autenticazione biometrica e al trattamento di dati sensibili nei sistemi di intelligenza artificiale. I Garanti chiedono chiarimenti sull’ambito applicativo e sulle tutele lungo l’intero ciclo di vita dell’AI.
Altre attività del Garante privacy
Tra le ulteriori attività recenti, il Garante privacy ha autorizzato l’uso dei recapiti telefonici per finalità di screening sanitari, adottando linee guida per la tutela dei dati salute. Ha inoltre pubblicato un episodio podcast dedicato ai diritti dei lavoratori e avviato ispezioni congiunte con l’Ispettorato nazionale del lavoro presso centri Amazon, con focus su videosorveglianza e protezione dei dipendenti. Nel caso mediatico di Garlasco, l’Autorità ha richiamato i media al rispetto della dignità della vittima e dei familiari, ribadendo che il diritto di cronaca deve essere esercitato nel rispetto della privacy. Le decisioni contenute nella newsletter n. 543 del 20 febbraio 2026 confermano un orientamento rigoroso sul trattamento dei dati biometrici, sui trasferimenti extra UE e sull’accountability dei titolari del trattamento. Per università, enti locali e imprese tecnologiche il segnale è inequivocabile: innovazione e semplificazione non possono prescindere da una valutazione strutturata dei rischi e da un’applicazione piena del GDPR.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
