L’autorità garante svedese ha applicato per la prima volta una sanzione, per violazione del GDPR, a una scuola secondaria. La sanzione, dell’ordine di 16.000£, è significativa e può certamente indurre altre organizzazioni a meditare un po’ più a lungo, prima di attivare sistemi di trattamento di dati personali.
Nella fattispecie, la scuola aveva utilizzato una tecnologia di riconoscimento facciale, per un test limitato nel tempo, per identificare gli studenti che si presentavano in classe. La scuola ha tracciato 22 studenti per qualche settimana. L’autorità garante svedese ha ritenuto che questo tipo di trattamento violasse le regole del GDPR.
L’ammontare della sanzione è stato stabilito sul fatto che la violazione è stata effettuata per un limitato periodo di tempo e sulla base del fatto che non vi era alcun intento doloso nell’attivare questo trattamento. Tanto per cominciare, l’autorità garante ha ribadito che i dati biometrici sono dati particolari e che non era sufficiente che i genitori degli studenti avessero dato l’approvazione all’utilizzo di questi dati.
I difensori della scuola hanno fatto presente che si trattava di un trattamento sperimentale, mirato a valutare esattamente i limiti dell’utilizzo di dati biometrici e quindi non avrebbe dovuto essere applicata una sanzione.
Altri consulenti hanno invece ritenuto che vi fosse stato una violazione. In particolare, l’autorità garante ha rilevato che la scuola non aveva condotto una analisi di protezione fin dalla progettazione, in conformità all’articolo 25, e una valutazione di impatto, in conformità all’articolo 35.
L’autorità garante svedese ha inoltre sostenuto che l’applicazione di questa sanzione non vuole essere un impedimento all’utilizzo di avanzate tecnologie digitali, bensì un monito a applicare queste avanzate tecnologie in un modo rispettoso delle disposizioni del regolamento generale europeo.

[Punto Sicuro]