Il Garante Privacy con il provvedimento del 29 gennaio 2026 n. 35 si è pronunciato in merito alla base giuridica e alla valutazione d’impatto nell’ambito del riconoscimento facciale.
Il caso di specie riguardava l’utilizzo di strumenti di riconoscimento facciale, da parte di un’Università telematica, al fine di identificare i partecipanti e verificare l’effettiva frequenza del corso.
La base giuridica utilizzata dall’Ateneo era il consenso dell’interessato, il quale è, però, stato prospettato come obbligatorio per seguire il corso.
Lo strumento di riconoscimento facciale utilizzato richiedeva una preventiva creazione di un modello biometrico tramite una foto al volto dell’interessato e una al suo documento d’identità al momento della registrazione. Durante le lezioni, poi, il docente poteva chiedere di scattare una foto tramite la webcam del dispositivo utilizzato per poi verificarne la corrispondenza con il modello biometrico realizzato in precedenza.
I dati così raccolti venivano conservati per dodici mesi. Si precisa che i corsi duravano mediamente cinque o sei mesi e i dati erano conservati per un periodo di tempo superiore al fine di gestire le eventuali richieste o contestazioni degli studenti.
L’ateneo, a seguito di una prima valutazione circa la non necessarietà di presentazione della valutazione d’impatto, l’ha invece prodotta, ma priva di data certa e di sottoscrizione da parte del titolare del trattamento.
Il Garante ha affermato come la base giuridica del riconoscimento facciale nel caso oggetto di valutazione fosse la finalità di interesse pubblico connesso all’attività formativa.
In tale contesto, non poteva porsi a fondamento del citato trattamento il consenso dell’avente diritto in quanto affinché possa essere ritenuto valido deve manifestarsi liberamente.
Nel caso di specie tale libertà non sussisteva poiché gli interessati non potevano godere del corso in assenza della prestazione del proprio consenso e, inoltre, sussisteva uno squilibrio tra l’interessato e il titolare del trattamento: il primo, infatti, non aveva la possibilità di scegliere se prestare o meno il consenso, in quanto non concedendolo, non avrebbe potuto fruire delle lezioni on line.
Il Garante ha poi sottolineato come nell’utilizzo del riconoscimento facciale analizzato, non fossero stati rispettati i criteri di minimizzazione, limitazione della conservazione e protezione dei dati.
In caso di esito positivo della verifica della corrispondenza (ossia conformità del soggetto partecipante con il modello biometrico) non vi era, infatti, ragione di conservare dati oltre il corso in questione.
Al contrario, nel caso di esito negativo (non conformità con il modello biometrico) era possibile una verifica dell’identità de visu da parte del docente, risultando anche in questo caso superflua la memorizzazione dei dati.
Da ultimo, il Garante ha evidenziato come in presenza di un rischio elevato del trattamento sulla protezione dei dati personali, a norma dell’art. 35 GDPR sia necessaria la valutazione d’impatto, che nel caso di specie è stata fatta tardivamente e in modo incompleto.
Nel caso di trattamento di dati sensibili, infatti, tra i quali rientrano quelli biometrici, è necessaria la DPIA e la considerazione di strumenti meno invasivi che permettano il raggiungimento della finalità perseguita nel rispetto del trattamento dei dati.
In ogni caso, ribadisce il Garante, se il trattamento di categorie particolari di dati personali è su larga scala, a maggior ragione sussiste l’obbligo di redazione della valutazione d’impatto.
