21 Aprile 2026
la sanzione del mercoled
Sanzionata università telematica per uso illecito del riconoscimento facciale nelle lezioni online. Trattamento di dati biometrici senza base giuridica.

Con il provvedimento n. 35 del 29 gennaio 2026, il Garante per la protezione dei dati personali ha irrogato una sanzione amministrativa di 50.000 euro nei confronti di una università telematica italiana, per aver utilizzato un sistema di riconoscimento facciale biometrico volto a verificare l’effettiva partecipazione degli studenti alle lezioni online di un corso abilitante all’insegnamento (premere qui per leggere).

Il provvedimento affronta una questione di particolare rilievo nel contesto della didattica digitale, ossia l’impiego di tecnologie biometriche per il controllo della presenza e dell’identità degli studenti.

L’Autorità chiarisce in modo netto che, anche quando la finalità perseguita è legittima — come garantire la frequenza effettiva alle lezioni — l’uso di strumenti altamente invasivi richiede una base giuridica espressa e un rigoroso rispetto dei principi di proporzionalità e minimizzazione.

1. Il sistema di riconoscimento facciale nelle lezioni on-line

La vicenda trae origine da una segnalazione presentata all’Autorità riguardante l’utilizzo, nell’ambito di un corso universitario abilitante svolto in modalità telematica sincrona, di un sistema di identificazione biometrica tramite riconoscimento facciale.

Il sistema operava secondo una procedura articolata:

  • durante la fase di registrazione, lo studente doveva scattare una fotografia del proprio volto e caricare l’immagine del documento di identità;
  • tali dati venivano utilizzati per creare un modello biometrico del volto;
  • nel corso delle lezioni on-line, il docente poteva attivare una verifica della presenza, richiedendo agli studenti di scattare una nuova fotografia tramite webcam;
  • il software confrontava l’immagine acquisita con il modello biometrico precedentemente creato per verificare la corrispondenza dell’identità.

In caso di mancata corrispondenza, lo studente veniva segnalato come non identificato, con possibili conseguenze sulla validità della partecipazione alla lezione.

2. La base giuridica invocata: il consenso degli studenti

L’università aveva fondato il trattamento dei dati biometrici sul consenso degli studenti, ritenendo che tale base giuridica fosse adeguata.

Secondo la ricostruzione del titolare del trattamento il consenso sarebbe stato libero, poiché gli studenti avrebbero potuto frequentare corsi analoghi presso altri enti, e, sempre secondo il titolare, tale sistema sarebbe stato necessario per garantire l’effettiva partecipazione alle lezioni, come richiesto dalle linee guida dell’agenzia nazionale competente per la valutazione universitaria. I dati biometrici poi, sempre a detta del titolare, non sarebbero stati conservati stabilmente, ma utilizzati soltanto per la verifica dell’identità.

Il Garante ha respinto integralmente questa impostazione.

3. Il consenso non è una base giuridica valida

Uno dei passaggi centrali del provvedimento riguarda la non idoneità del consenso quale base giuridica per il trattamento di dati biometrici in questo contesto.

Secondo l’Autorità, infatti, le attività formative universitarie costituiscono funzioni di interesse pubblico, e in tali contesti il trattamento dei dati deve trovare fondamento in una norma di legge o in un compito di interesse pubblico. Il consenso non può essere utilizzato quando esiste uno squilibrio tra le parti o quando il servizio è condizionato alla prestazione del consenso.

Nel caso concreto, il consenso non poteva essere considerato libero, poiché il rifiuto avrebbe impedito allo studente di partecipare al corso e conseguire il titolo abilitante.

Ne deriva che il trattamento è stato ritenuto privo di idonea base giuridica, in violazione degli artt. 6 e 9 del GDPR.

4. Il problema della proporzionalità

Il Garante ha inoltre evidenziato che il ricorso al riconoscimento biometrico rappresenta una misura altamente invasiva, ammissibile solo quando strettamente necessaria.

Nel caso esaminato la finalità era verificare la presenza degli studenti alle lezioni on-line, e tale obiettivo avrebbe potuto essere raggiunto mediante strumenti meno invasivi, come sistemi di autenticazione tradizionali o verifiche manuali.

L’Autorità ricorda che i dati biometrici appartengono alle categorie particolari di dati personali, rispetto alle quali l’ordinamento europeo prevede un livello rafforzato di tutela.

L’uso di tali tecnologie richiede quindi una giustificazione normativa esplicita, che nel caso di specie mancava.

5. Conservazione dei dati e minimizzazione

Ulteriori criticità hanno riguardato il periodo di conservazione dei dati.

Nella prima fase del sistema le informazioni raccolte per l’identificazione biometrica venivano conservate fino a dodici mesi dalla loro acquisizione.

Il Garante ha ritenuto tale periodo sproporzionato rispetto alla finalità perseguita, osservando che una volta verificata la presenza dello studente, non vi era alcuna necessità di conservare i dati biometrici e che in caso di mancata corrispondenza, l’identificazione avrebbe potuto essere effettuata con modalità tradizionali.

Il trattamento è stato quindi ritenuto contrario ai principi di minimizzazione dei dati, limitazione della conservazione e della protezione dei dati fin dalla progettazione, previsti dagli artt. 5 e 25 del GDPR.

6. La mancata valutazione di impatto

Particolarmente rilevante è anche la violazione dell’art. 35 GDPR, relativa alla valutazione di impatto sulla protezione dei dati (DPIA).

Il trattamento riguardava infatti dati biometrici, qualificati come categorie particolari di dati, un numero elevato di interessati (centinaia di studenti per ciascuna lezione) e l’utilizzo di tecnologie innovative di riconoscimento facciale.

In tali circostanze la DPIA avrebbe dovuto essere effettuata prima dell’avvio del trattamento.

L’università ha invece predisposto una valutazione soltanto nel corso dell’istruttoria, quando il sistema era già stato utilizzato per diversi mesi.

7. La decisione del Garante

Alla luce delle violazioni accertate, il Garante ha:

  • dichiarato illecito il trattamento dei dati biometrici degli studenti;
  • accertato la violazione degli artt. 5, 6, 9, 25 e 35 GDPR, nonché delle disposizioni nazionali di coordinamento;
  • irrogato una sanzione amministrativa di 50.000 euro;
  • disposto la pubblicazione del provvedimento sul sito dell’Autorità.

Bisogna comunque dire che ò’Autorità ha tuttavia tenuto conto di alcune circostanze attenuanti, tra cui la cessazione spontanea del sistema biometrico durante l’istruttoria e la collaborazione del titolare del trattamento con l’Autorità.

Considerazioni conclusive

Il provvedimento offre una lezione importante per il settore della didattica digitale e delle tecnologie educative.

L’uso di strumenti avanzati di identificazione — come il riconoscimento facciale — non può essere giustificato esclusivamente da esigenze organizzative o di controllo della partecipazione.

Quando entrano in gioco dati biometrici, l’ordinamento europeo impone standard particolarmente elevati:

  • base giuridica chiara e normativa;
  • valutazione preventiva dei rischi;
  • stretta proporzionalità tra finalità e mezzi utilizzati.

In mancanza di tali presupposti, anche tecnologie apparentemente efficienti possono trasformarsi in trattamenti illeciti di dati personali.

Sull'autore

Daniele Giordano

See author's posts

Tags:

Correlati

Regolamento GDPR e Privacy Dati

Nuove regole GDPR: guida breve al Regolamento UE

13 Marzo 2026 0
Progetto senza titolo

Foto dei minori on-line: quale danno è risarcibile?

20 Febbraio 2026 0

Contributi che potresti non aver letto

Succede

Sentenze inventate con intelligenza artificiale: 3 rischi legali

27 Marzo 2026 0
Corte digitale e intelligenza artificiale

Atti processuali e intelligenza artificiale: 3 errori fatali secondo il Tribunale di Latina

20 Marzo 2026 0
Regolamento GDPR e Privacy Dati

Nuove regole GDPR: guida breve al Regolamento UE

13 Marzo 2026 0
la sanzione del mercoled

LA SANZIONE DEL MERCOLEDÌ: riconoscimento facciale nelle lezioni on-line — sanzionata un’università telematica

11 Marzo 2026 0
Avvocato e intelligenza artificiale in aula

3 errori fatali degli atti giudiziari scritti con intelligenza artificiale

6 Marzo 2026 0
Ann

Sull’uso dell’intelligenza artificiale generativa nell’attività forense

27 Febbraio 2026 0