Con la Newsletter del 20 febbraio, il Garante privacy interviene su più fronti: sanziona l’Università eCampus per l’uso illecito del riconoscimento facciale nei corsi online, privo di idonea base giuridica e DPIA; esprime parere negativo sulle body cam del Comune di Pescara per rischi di trasferimento dati verso gli USA e carenze di sicurezza; approva invece le Linee guida AgID sull’accessibilità dei servizi, valorizzando privacy by design e tutela delle persone con disabilità. A livello UE, l’EDPB pubblica un rapporto sulle criticità nel diritto alla cancellazione e, insieme all’EDPS, avverte che il “Digital Omnibus” non deve ridurre la protezione dei dati personali.
Illeciti nel riconoscimento facciale: sanzionata l’Università eCampus Il Garante per la protezione dei dati personali ha comminato una sanzione di 50.000 euro all’Università eCampus per l’ uso illecito di sistemi di riconoscimento facciale nell’ambito dei corsi online di abilitazione all’insegnamento. L’Ateneo utilizzava tecnologie biometriche per verificare identità e presenza dei partecipanti alle lezioni a distanza. Dall’istruttoria è emersa l’ assenza di una base giuridica idonea a legittimare il trattamento di dati biometrici, categoria di dati particolarmente protetta dal GDPR, anche alla luce della disponibilità di strumenti meno invasivi per il controllo delle presenze. L’Autorità ha rilevato inoltre che l’Università non aveva effettuato la necessaria valutazione di impatto sulla protezione dei dati (DPIA) prima di attivare il sistema. Le violazioni hanno interessato un numero molto elevato di interessati, oltre 450 corsisti per ciascuna lezione. Nel corso dell’istruttoria, il sistema è stato mantenuto solo in parte, con correttivi ritenuti però insufficienti, fino alla disattivazione definitiva. Nel quantificare la sanzione, il Garante ha tenuto conto della collaborazione dell’Ateneo e dell’interruzione volontaria del trattamento. Stop alle body cam del Comune di Pescara: rischi di trasferimento dati extra UE Parere negativo, invece, sulla valutazione di impatto presentata dal Comune di Pescara per l’introduzione di body cam per la polizia locale, da utilizzare nelle attività ausiliarie di pubblica sicurezza e polizia giudiziaria. Il Garante ha riscontrato numerose criticità , non superate nonostante le indicazioni fornite nel corso di più interlocuzioni. Sotto il profilo tecnico, le modifiche apportate non rispondono alle richieste di approfondimento dell’Autorità, soprattutto con riferimento al sistema informatico di gestione dei dati , fornito da una società statunitense. Il Comune non ha chiarito se siano state valutate soluzioni alternative né come siano stati considerati i profili di protezione dei dati in un trattamento ad alto rischio. L’Autorità segnala, in particolare, l’assenza di misure che impediscano al fornitore di accedere in chiaro ai dati, con conseguente trasferimento verso un Paese terzo in potenziale violazione della Direttiva (UE) 2016/680 e della normativa privacy in materia di law enforcement. Tra le criticità anche la presenza di una SIM all’interno delle body cam, sulla quale non sono stati forniti adeguati chiarimenti. Via libera alle Linee guida Agid sull’accessibilità dei servizi Parere favorevole, invece, allo schema di decreto AgID che definisce le Linee guida sull’accessibilità dei servizi pubblici e privati (trasporti, internet, sistemi di pagamento, ecc.), con l’obiettivo di renderli fruibili anche alle persone con disabilità, senza discriminazioni. Il testo recepisce le indicazioni dell’Ufficio del Garante per assicurare la conformità alla disciplina privacy. In applicazione dei principi di privacy by design e by default, i fornitori di servizi dedicati a persone con disabilità dovranno adottare misure per evitare la tracciatura degli strumenti e delle impostazioni utilizzate per l’accesso ai servizi digitali e dichiarare espressamente di non utilizzare tecniche web di tracciamento idonee a rivelare condizioni di disabilità. AgID, cui spetta la vigilanza, dovrà predisporre misure specifiche a tutela dei dati personali anche nella progettazione e gestione della piattaforma dedicata. Resta ferma, in base al principio di accountability, la responsabilità dei fornitori pubblici e privati – quali titolari del trattamento – di adeguare i propri servizi alla normativa in materia di protezione dei dati. Diritto alla cancellazione: le criticità rilevate dal rapporto EDPB Sul versante europeo, l’EDPB ha pubblicato un rapporto sul diritto alla cancellazione ai sensi dell’articolo 17 GDPR, frutto di un’azione coordinata svolta nel 2025 da 32 Autorità, tra cui il Garante italiano, nell’ambito del Coordinated Enforcement Framework (CEF). Il focus è su uno dei diritti più esercitati e più frequentemente oggetto di reclami. Obiettivo dell’indagine è verificare come i titolari rendano effettivo il diritto alla cancellazione nella pratica. Sono stati coinvolti 764 titolari del trattamento, tra PMI e grandi imprese in tutta Europa; nove Autorità hanno avviato o proseguito istruttorie, mentre le altre 23, tra cui l’Autorità italiana, hanno condotto indagini conoscitive. Dal rapporto emergono diverse criticità : carenza di procedure interne adeguate per gestire le richieste, insufficiente informazione agli interessati, ricorso a tecniche di anonimizzazione inefficaci come alternativa alla cancellazione, difficoltà nel definire i tempi di conservazione dei dati e nell’assicurare la cancellazione nei backup. Ulteriori complessità riguardano l’esecuzione del necessario bilanciamento con altri diritti, considerato che il diritto alla cancellazione non ha carattere assoluto. Digital Omnibus: allarme dei Garanti su definizione di dato personale e AI In un parere congiunto sul cosiddetto “ Digital Omnibus ” – il pacchetto di modifiche legislative proposte dalla Commissione per semplificare il quadro normativo digitale – EDPB ed EDPS richiamano la necessità di non sacrificare la tutela dei diritti fondamentali sull’altare della semplificazione. «La semplificazione è essenziale per ridurre la burocrazia e rafforzare la competitività dell’UE, ma non a scapito dei diritti fondamentali», ha sottolineato la Presidente EDPB Anu Talus. Se da un lato le Autorità accolgono positivamente le misure di armonizzazione e alcune semplificazioni, ad esempio su notifica dei data breach e DPIA, dall’altro esprimono forti preoccupazioni sulla nuova nozione di dato personale , giudicata idonea a spostare il baricentro della tutela da un criterio oggettivo a uno soggettivo, restringendo la portata della protezione e generando incertezza giuridica. Il parere valuta favorevolmente le precisazioni sulla ricerca scientifica e la proposta di deroga per l’autenticazione biometrica, purché i mezzi di verifica restino sotto il controllo esclusivo dell’interessato. Quanto ai trattamenti di dati sensibili per sistemi o modelli di AI, il documento chiede di circoscrivere chiaramente l’ambito della deroga e di rafforzare le tutele lungo l’intero ciclo di vita dei sistemi. Non è ritenuta necessaria, infine, una norma ad hoc che riaffermi il legittimo interesse come base giuridica per i trattamenti funzionali allo sviluppo e al funzionamento dell’AI, già riconosciuto dal Parere EDPB 28/2024.