Il provvedimento

GDPR e riconoscimento facciale nelle scuole: prima sanzione in Svezia

L’autorità Datainspektionen ha sanzionato per circa 20.000 euro una scuola: aveva implementato un sistema di riconoscimento facciale al fine di monitorare la presenza degli alunni a lezione

22 Ago 2019
R
Tommaso Ricci

Privacy & LegalTech specialist


L’autorità svedese per la protezione dei dati Datainspektionen ha sanzionato per circa 20.000 euro una scuola per aver implementato un sistema di riconoscimento facciale al fine di monitorare la presenza degli studenti in classe. Il consenso era stato chiesto, tuttavia non può essere considerato valido data la posizione di soggezione degli studenti verso la scuola. Si tratta del primo episodio sanzionatorio in Svezia per violazione delle prescrizioni introdotte dal GDPR.

Riconoscimento facciale e GDPR

Il GDPR, che è stato recepito nella legislazione nazionale svedese con lo Swedish Data Protection Act (2018:218), prevede un apposito divieto (con alcune eccezioni) al trattamento dei dati biometrici, impiegati per la Face Recognition, in quanto recano informazioni uniche sulla persona da cui sono estratti per via della loro capacità identificativa connessa a caratteristiche personalissime e difficilmente modificabili o occultabili.

Il Regolamento a tal scopo introduce infatti garanzie specifiche e obblighi per i titolari del trattamento tra cui, ad esempio, l’obbligo di nominare un responsabile della protezione dei dati e di effettuare una valutazione d’impatto sulla protezione dei dati (articoli 37-35).

GDPR, la sanzione in Svezia

Come riportato dall’autorità sul proprio sito, una scuola superiore di Skellefteå ha utilizzato un sistema di riconoscimento facciale per monitorare la presenza degli studenti alle lezioni. Il trattamento è durato tre settimane e ha interessato 22 studenti. La Datainspektionen ha esaminato l’uso del sistema e ha concluso che la scuola di Skellefteå ha trattato dati personali sensibili (appartenenti alla categoria di cui all’art.9 del GDPR) in violazione del Regolamento privacy europeo comminando pertanto una sanzione di 200.000 corone svedesi (circa 20.000 euro). L’ammenda è di importo moderato in quanto la scuola di Skellefteå è un ente pubblico e l’attività di trattamento è stata limitata nel tempo.

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

Nel suo provvedimento, l’autorità per la protezione dei dati rileva che il sistema di riconoscimento facciale implementato comporta la sorveglianza degli studenti nel loro ambiente quotidiano, il che rappresenta un’intrusione della loro riservatezza ed ha inoltre sottolineato come il controllo della presenza avrebbe potuto essere effettuato in altri modi – meno invadenti.

La questione del consenso

La scuola ha dichiarato di aver raccolto il consenso degli studenti al fine di utilizzare il riconoscimento facciale per il controllo delle presenze. Tuttavia, come spiegato da Ranja Bunni, un avvocato dell’Autorità svedese che ha partecipato agli accertamenti, il consenso in questo caso non costituisce una base legale appropriata perché gli studenti sono in una posizione di dipendenza-soggezione nei confronti dalla scuola, e quindi il consenso non può essere considerato valido ai sensi del GDPR.

La validità del consenso come base legale in determinati contesti è stata messa in discussione anche dall’autorità garante della Grecia in un recente provvedimento in cui ha comminato una sanzione di 150.000 euro ad una società di consulenza per aver erroneamente basato il trattamento dei dati dei propri dipendenti sul loro consenso.

Conclusioni

La sanzione svedese conferma l’approccio adottato dalle autorità di protezione dei dati a livello europeo nei confronti dei trattamenti dei dati biometrici. Ecco pertanto qualche spunto di riflessione da prendere in considerazione per il futuro:

  • prima di implementare un sistema di riconoscimento facciale, tutte le alternative disponibili devono preliminarmente essere vagliate adottando un approccio “privacy by design” e “privacy by default”; lo stesso risultato alle volte può essere conseguito evitando il trattamento dei dati biometrici, ad esempio con riferimento ai sistemi di rilevazione delle frodi creditizie;
  • se non esistono alternative praticabili, il trattamento dei dati deve rispettare il principio di minimizzazione dei dati, raccogliendo il minor numero possibile di dati e conservandoli per il periodo di tempo strettamente necessario per perseguire le specifiche finalità per cui sono stati raccolti;
  • nel trattare dati biometrici occorre adottate misure di sicurezza rafforzate per garantire la sicurezza e la protezione di tali informazioni sensibili;
  • prima di richiedere il consenso dell’interessato, occorre valutare se il consenso è una base giuridica valida per il trattamento nella specifica circostanza ed eventualmente tenerne conto nella valutazione d’impatto sulla protezione dei dati.
@RIPRODUZIONE RISERVATA

Articolo 1 di 2