L’autorità garante svedese, ha applicato, per la prima volta una sanzione, per violazione del GDPR, a una scuola secondaria. La sanzione, dell’ordine di 16.000 £, è significativa e può certamente indurre altre organizzazioni a meditare un po’ più a lungo, prima di attivare sistemi di trattamento di dati personali.

Nello specifico, la scuola, aveva utilizzato una tecnologia di riconoscimento facciale, per un test limitato nel tempo, per identificare gli studenti che si presentavano in classe. La scuola ha tracciato 22 studenti per qualche settimana. L’autorità garante svedese, ha ritenuto che questo tipo di trattamento violasse le regole del Nuovo Regolamento Europeo  GDPR 679/2016.

L’ammontare della sanzione, è stato stabilito sul fatto che la violazione è stata effettuata per un limitato periodo di tempo e sulla base del fatto che non vi era alcun intento doloso nell’attivare questo trattamento. Tanto per cominciare, l’autorità garante ha ribadito che i dati biometrici, sono dati particolari e che non era sufficiente che i genitori degli studenti avessero dato l’approvazione all’utilizzo di questi dati. A tal proposito, si ricorda, che anche la nostra cassazione, dopo un primo parere positivo, ha rettificato il proprio giudizio, affermando che il fatto che tutti gli interessati coinvolti diano consenso ad uno specifico trattamento, non significa  automaticamente che il trattamento possa essere legittimo. I difensori della scuola hanno fatto presente che si trattava di un trattamento sperimentale, mirato a valutare esattamente i limiti dell’utilizzo di dati biometrici e quindi non avrebbe dovuto essere applicata una sanzione. Altri consulenti hanno invece ritenuto che vi fosse stato una violazione. In particolare, l’autorità garante ha rilevato che la scuola non aveva condotto una analisi di protezione fin dalla progettazione, in conformità all’articolo 25, e una valutazione di impatto, in conformità all’articolo 35. Si RICORDA, CHE IL RISPETTO DELL’ARTICOLO 25 È SEMPRE OBBLIGATORIO, per qualsiasi tipo di trattamento, mentre lo sviluppo di un’analisi di rischio, in conformità all’articolo 35, deve essere condotta solo a fronte di trattamenti che presentino rischi particolari. L’autorità garante svedese, ha inoltre,  sostenuto che l’applicazione di questa sanzione non vuole essere un impedimento all’utilizzo di avanzate tecnologie digitali, bensì un monito a applicare queste avanzate tecnologie, in un modo rispettoso delle disposizioni del regolamento generale europeo. L’autorità garante, ha affermato che era possibile verificare la presenza in classe degli allievi anche con tecnologie meno invasive, come ad esempio una tessera di prossimità. Ad avviso dello scrivente, l’autorità garante si è dimenticata del fatto che la tessera di prossimità può anche essere prestata ad un amico ed utilizzata in modo improprio. Ad oggi, il comportamento delle varie autorità garanti dei vari paesi è oltremodo differenziato, andando dai 50 milioni di sanzione applicati a Google dall’autorità garante francese, alle poche migliaia di euro applicate dall’autorità Garante rumena. Davanti a una tale diversità di comportamento, alcuni specialisti, ritengono che molte aziende, potrebbero scegliere di piazzare la propria sede principale in paesi, dove la politica delle sanzioni risulta meno gravosa, rispetto ad altri paesi.

RossellaPrivacyL’autorità garante svedese, ha applicato, per la prima volta una sanzione, per violazione del GDPR, a una scuola secondaria. La sanzione, dell’ordine di 16.000 £, è significativa e può certamente indurre altre organizzazioni a meditare un po’ più a lungo, prima di attivare sistemi di trattamento di dati personali. Nello...