Il Garante per la protezione dei dati personali ha sanzionato un asilo nido per aver diffuso online immagini di bambini piccolissimi e per aver installato un sistema di videosorveglianza in violazione delle norme vigenti.
Le fotografie, pubblicate sul sito istituzionale e sul profilo Google Maps dell’asilo, ritraevano minori di età compresa tra i tre e i trentasei mesi in diversi momenti della “giornata tipo”, comprese fasi delicate come sonno, mensa, utilizzo dei servizi igienici, cambio pannolino e massaggi infantili.
Al contempo, l’asilo raccoglieva le immagini sulla base del consenso prestato dai genitori, che ricevevano un link personale per accedere a uno spazio virtuale su Google Photo, dove potevano visionare le foto che ritraevano il proprio figlio e i bambini della stessa “bubble” (gruppo di otto per fascia di età).
A ciò si aggiungeva l’imposizione ai genitori di un consenso non libero né consapevole, poiché subordinato all’iscrizione dei figli.
L’Autorità ha quindi disposto la cancellazione delle immagini, il divieto di ulteriori pubblicazioni e una sanzione amministrativa di 10mila euro, ribadendo che il superiore interesse dei minori deve prevalere su qualsiasi esigenza promozionale dell’ente scolastico.
Indice degli argomenti
Il caso: immagini online e telecamere nell’asilo nido
Il procedimento, avviato su reclamo di un genitore, prende in esame due condotte distinte ma connesse: la pubblicazione online, sul sito istituzionale e sul profilo Google Maps della struttura, di numerose immagini che ritraevano i bambini di età compresa tra i 3 e i 36 mesi in diversi momenti della “giornata tipo”, e l’impiego di un sistema di videosorveglianza attivo durante le attività educative.
Il genitore lamentava che il modulo di iscrizione richiedeva la presa visione e l’accettazione di un’informativa contenente una richiesta di consenso per l’utilizzo delle immagini, con la prospettiva che il rifiuto potesse ostacolare l’iscrizione.
Le violazioni rilevate dal Garante
Dall’istruttoria è emerso che le fotografie pubblicate ritraevano i minori anche in contesti particolarmente delicati – sonno, mensa, utilizzo dei servizi igienici, cambio pannolino, massaggi infantili – e che alcune immagini erano rese immediatamente accessibili su piattaforme a libero accesso.
Il Garante ha ritenuto che tali trattamenti violino i principi di liceità, correttezza e trasparenza previsti dal Regolamento UE 2016/679 (GDPR), in mancanza di un idoneo presupposto di liceità e senza che le finalità invocate dall’asilo possano essere ricondotte a un interesse pubblico normativamente fondato.
Il consenso dei genitori non basta
L’Autorità chiarisce che il consenso dei genitori, così come raccolto dall’asilo, non può reggere il trattamento contestato.
La manifestazione di volontà risultava viziata perché raccolta in un modulo che, pur dichiarando facoltatività, prevedeva che il rifiuto del conferimento dei dati (tra cui le foto) potesse determinare “l’impossibilità” di accedere al servizio, configurando quindi una forma di condizionamento che impedisce di considerare il consenso libero e informato.
Inoltre, il Garante sottolinea che, nelle ipotesi in cui la pubblicazione esponga i minori a rischi o leda la loro dignità, neppure il consenso di uno o di entrambi i genitori può essere considerato base giuridica lecita alla luce del superiore interesse del minore.
Nel corso dell’istruttoria è emerso che l’Asilo raccoglieva le immagini dei minori iscritti sulla base del consenso prestato dai genitori, organizzandole in gruppi di otto (“bubble”) e consentendo l’accesso tramite link personale a Google Photo, riservato esclusivamente ai genitori del gruppo di appartenenza.
Nonostante queste misure, l’Autorità ha ritenuto necessario intervenire, sottolineando che il consenso non può mai prevalere sulla protezione dei minori nei casi in cui la pubblicazione possa comportare rischi o ledere la loro dignità.
Interesse preminente del minore
Il principio del superiore interesse del minore, noto anche come interesse preminente, costituisce il criterio guida per ogni decisione che riguardi bambini e adolescenti. È sancito dalla Convenzione ONU sui Diritti del Fanciullo (art. 3 CRC), che stabilisce che in ogni legge, provvedimento, iniziativa pubblica o privata, l’interesse del minore deve avere una considerazione preminente.
In Italia, questo principio trova fondamento nella Costituzione che tutela la crescita, l’educazione e la protezione dei minori, e nel Codice Civile (articoli 316 e seguenti), che impone ai genitori di esercitare la responsabilità nei confronti dei figli nell’interesse esclusivo dei bambini, garantendo sicurezza, dignità e sviluppo.
Anche il GDPR integra questo approccio, prevedendo che il trattamento dei dati dei minori richieda il consenso dei genitori, ma chiarendo che tale consenso non può giustificare trattamenti che possano arrecare pregiudizio o rischi al minore.
L’interesse preminente del bambino diventa così un limite sostanziale a qualsiasi decisione che possa comprometterne la sicurezza, la dignità o lo sviluppo equilibrato, anche in contesto scolastico o educativo.
Il best interest, difatti, non solo consente il bilanciamento tra diritti e interessi contrapposti, ma può anche limitare diritti e libertà degli adulti che esercitano la responsabilità genitoriale, qualora il loro esercizio arrechi pregiudizio alla persona minore di età.
Va però ricordato che il principio, in quanto clausola generale, è normalmente valutato caso per caso in sede giurisdizionale; nel contesto del GDPR, invece, il Garante lo traduce in un obbligo sostanziale in capo ai titolari del trattamento, i quali si trovano a dover operare scelte delicate senza necessariamente possedere le competenze tipiche dell’autorità giudiziaria.
L’accountability del titolare (e i suoi limiti pratici)
Il richiamo all’interesse preminente del minore si inserisce nella logica dell’accountability, cardine del GDPR: i titolari del trattamento sono chiamati non solo a rispettare la norma, ma a dimostrare di aver adottato misure adeguate per tutelare concretamente i diritti dei minori.
Ciò significa valutare in via preventiva i possibili impatti delle loro decisioni, documentare le scelte compiute e garantire che i trattamenti siano sempre orientati alla protezione del minore.
Tuttavia, non si può ignorare che l’applicazione effettiva di tale responsabilità solleva alcune criticità. In primo luogo, non tutti i titolari dispongono delle competenze tecniche e giuridiche necessarie per bilanciare correttamente i diversi interessi in gioco, soprattutto in contesti educativi o associativi.
In secondo luogo, l’adozione di misure adeguate può risultare onerosa in termini di risorse, tempo e formazione, creando difficoltà soprattutto per organizzazioni di piccole dimensioni.
A ciò si aggiunge l’ambiguità normativa: il GDPR impone principi generali ma lascia un ampio margine interpretativo, che può portare a incertezze applicative o a un eccesso di cautela, con il rischio di bloccare trattamenti che invece potrebbero essere gestiti in modo sicuro e proporzionato.
Infine, la logica proattiva dell’accountability rischia di entrare in tensione con la prassi di molte realtà, che tendono a intervenire solo ex post, quando il problema si manifesta o l’autorità interviene.
In questo senso, il principio dell’interesse preminente del minore, tradotto in un obbligo concreto e immediato, rischia di chiedere “troppo” a titolari che non hanno le stesse competenze e strumenti dell’autorità giudiziaria, pur restando un vincolo imprescindibile nella prospettiva della tutela dei minori.
Trasparenza e informative incomplete
Sul piano della trasparenza, il provvedimento evidenzia carenze formali e sostanziali dell’informativa fornita dall’asilo: mancanza di indicazione chiara delle basi giuridiche per ciascuna finalità, formulazioni generiche sulle finalità stesse, omissione di informazioni fondamentali (quali il trattamento tramite piattaforme cloud e la pubblicazione su Google Maps) e incongruenze sui tempi di conservazione.
Il Garante rileva inoltre contraddizioni riguardo alla figura del Responsabile della protezione dei dati e la mancata indicazione dei relativi contatti, in violazione degli obblighi informativi previsti dal Regolamento.
Videosorveglianza e Statuto dei lavoratori
L’impianto di videosorveglianza, finanziato dalla normativa regionale ma installato e attivo in locali interni (refettorio, zona riposo e “zona morbida”, guardaroba e porzioni di bagni) e in una parte esterna, è stato valutato non conforme ai limiti previsti dallo Statuto dei lavoratori (art. 4 l. n. 300/1970) e dalla disciplina nazionale richiamata dal Codice privacy.
Il Garante afferma che il finanziamento regionale non costituisce di per sé una base giuridica idonea: la finalità dichiarata dall’asilo – prevenire abusi – non consente, secondo l’Autorità, di eludere le garanzie previste contro il controllo diretto a distanza sui lavoratori né di compromettere la tutela della sfera privata dei minori e del rischio di un utilizzo improprio delle foto da parte di terzi.
Assenza di valutazione d’impatto (DPIA)
L’Autorità individua nell’uso sistematico di dispositivi video in un contesto che coinvolge soggetti vulnerabili (minori e lavoratori) gli elementi che rendono obbligatoria una Data Protection Impact Assessment ai sensi dell’art. 35 del Regolamento.
La mancata redazione della DPIA ha privato il titolare della possibilità di valutare e mitigare i rischi e costituisce, per il Garante, un profilo di illecito autonomo che ha aggravato la posizione dell’asilo.
DPO: nomina in conflitto d’interessi
La designazione, in capo alla dirigente scolastica e legale rappresentante dell’asilo, della qualifica di Responsabile della protezione dei dati ha sollevato rilievi sulla possibile conflittualità di ruoli e, soprattutto, sulla mancata comunicazione dei dati di contatto del DPO all’Autorità e agli interessati, in violazione degli articoli 37 e 38 del Regolamento.
Il Garante richiama i principi che impediscono di assegnare funzioni di controllo privacy a soggetti apicali che potrebbero avere conflitti di interesse rispetto alle scelte di trattamento.
La difesa dell’asilo: consenso, finalità didattiche e buona fede
Nel corso dell’istruttoria, l’asilo nido “La Combricola Dei Birichini Di Betty” ha sostenuto la piena liceità dei trattamenti effettuati, rivendicando di aver sempre agito in buona fede e nell’interesse dei bambini e delle famiglie.
La struttura ha precisato che le immagini dei minori erano gestite attraverso un sistema di condivisione riservato: i bambini venivano suddivisi in gruppi di otto (“bubble”) e ciascun genitore riceveva un link personale per accedere a uno spazio virtuale su Google Photo, dove poteva visionare solo le foto relative al proprio figlio e agli altri bambini della medesima sezione.
Secondo l’asilo, l’accesso di soggetti terzi non autorizzati era tecnicamente impossibile e sarebbe stato bloccato immediatamente dal sistema.
Quanto alla base giuridica, la dirigenza ha ribadito che l’utilizzo delle immagini dei bambini si fondava sul consenso libero e informato dei genitori, prestato attraverso un’informativa che indicava le finalità didattiche e di divulgazione delle attività del nido, comprese eventuali pubblicazioni su sito web, piattaforme digitali e materiali promozionali.
L’asilo ha sostenuto che la mancata concessione del consenso non precludeva in alcun modo l’iscrizione e che nessun bambino era mai stato escluso per ragioni legate alla privacy.
Sulla questione delle telecamere, la struttura ha evidenziato che l’intero impianto di videosorveglianza era stato installato grazie a fondi regionali previsti dal Decreto 8788/2019 e dalla Legge Regionale Lombardia n. 18/2018, finalizzati a potenziare la sicurezza dei minori negli asili e micro-nidi.
Secondo l’asilo, la normativa regionale avrebbe già effettuato un bilanciamento tra la tutela della privacy e l’esigenza di prevenire possibili abusi, escludendo la necessità di ulteriori valutazioni di proporzionalità.
Le misure correttive in sede di istruttoria
In ogni caso, a seguito delle contestazioni del Garante, l’asilo ha adottato una serie di misure correttive:
- ha sospeso il proprio sito web e rimosso progressivamente tutte le foto dei minori pubblicate online;
- ha predisposto nuove linee guida interne per la valutazione delle immagini prima della loro eventuale diffusione;
- ha disattivato integralmente l’impianto di videosorveglianza in attesa di una riconfigurazione conforme alla normativa;
- ha avviato una DPIA (valutazione d’impatto sulla protezione dei dati) per mappare i dispositivi, rimuovere le telecamere non indispensabili e verificare la proporzionalità dei trattamenti;
- infine, ha aggiornato le informative privacy e ha annunciato l’adozione di un nuovo modello più chiaro e trasparente.
Il provvedimento finale
Alla luce delle violazioni accertate, il Garante ha ordinato la cessazione della diffusione delle immagini, la cancellazione delle fotografie illecitamente trattate e ha ingiunto misure correttive (fra cui la predisposizione della DPIA, la revisione delle procedure e della documentazione privacy e la riconfigurazione dell’impianto di videosorveglianza). Sul piano sanzionatorio, è stata irrogata all’asilo una multa di 10.000 euro.
Il provvedimento ribadisce il principio operativo del testo normativo e della giurisprudenza: l’interesse promozionale dell’ente non può mai prevalere sul superiore interesse e sulla dignità dei minori.
