Il riconoscimento facciale imposto agli studenti per frequentare corsi abilitanti online si è trasformato in una sanzione. Il Garante Privacy ha multato eCampus per 50mila euro, ritenendo irregolare l’utilizzo dei dati biometrici per verificare identità e presenza durante le lezioni.
Il procedimento si è concluso a fine gennaio, ma la comunicazione ufficiale è arrivata solo nelle scorse ore. Al centro della decisione non c’è solo la tecnologia utilizzata, ma soprattutto la base giuridica scelta dall’ateneo.
Come funzionava il sistema di controllo
Per partecipare ai corsi da 30 CFU per l’abilitazione all’insegnamento, gli studenti erano tenuti ad accettare il riconoscimento facciale. Senza consenso al trattamento biometrico, non era possibile frequentare. E senza frequenza, niente abilitazione.
Il meccanismo prevedeva la raccolta dell’immagine del volto e del documento di identità. Da questi dati venivano generati modelli biometrici utilizzati per confrontare, durante le lezioni, le immagini catturate tramite webcam.
Il controllo non era sporadico. Il docente poteva attivare la verifica più volte durante la stessa sessione. In caso di mancato riconoscimento, scattavano ulteriori accertamenti, fino alla possibile mancata certificazione della presenza.
Perché il consenso non è stato ritenuto valido
eCampus aveva indicato come base giuridica il consenso esplicito previsto dal GDPR, sostenendo che gli studenti potessero scegliere alternative in presenza presso altri enti.
Secondo il Garante, però, la possibilità teorica di iscriversi altrove non rende il consenso libero. Quando l’accesso al corso – e quindi al titolo abilitante – dipende dall’accettazione del trattamento biometrico, si crea uno squilibrio evidente tra studente e università. Inoltre, per attività legate a un interesse pubblico come l’abilitazione all’insegnamento, il consenso non è considerato la base giuridica più appropriata.
Un altro nodo: la mancanza di una norma specifica
Nel provvedimento viene sottolineato un punto chiave: non esiste una legge che autorizzi o renda necessario l’uso della biometria per verificare la presenza nei corsi abilitanti.
I dati biometrici rientrano tra le categorie particolari di dati personali. Il loro trattamento è vietato, salvo casi specifici previsti dalla normativa. Sono state contestate anche le modalità di conservazione: mantenere i dati fino a 12 mesi è stato giudicato sproporzionato rispetto alle finalità dichiarate.
Cosa cambia ora
La sanzione amministrativa da 50mila euro non riguarda solo un singolo caso. Riapre il tema dell’uso del riconoscimento facciale nei contesti educativi e della proporzionalità tra controllo e tutela dei diritti fondamentali.
Il messaggio del Garante è chiaro: la tecnologia biometrica non può essere introdotta come soluzione standard senza una base normativa solida e senza valutare attentamente l’equilibrio tra esigenze organizzative e diritti degli interessati.
Quando il volto diventa una chiave di accesso obbligatoria, la questione non è più solo tecnica. È giuridica.
