Didattica online e riconoscimento biometrico: i chiarimenti del Garante Privacy sui limiti e presupposti

Con il provvedimento del 29 gennaio 2026 (doc. web n. 10221611), il Garante Privacy è tornato a pronunciarsi in merito all’utilizzo delle tecnologie biometriche nel settore della formazione e, più in generale, in tutti i contesti in cui si ricorre a strumenti di identificazione automatizzata degli utenti.

Il caso di specie ha riguardato l’Università Telematica e-Campus, che, nell’ambito di corsi abilitanti all’insegnamento, aveva introdotto un sistema di riconoscimento facciale volto a verificare l’identità degli studenti e la loro effettiva partecipazione alle lezioni. Il funzionamento del sistema prevedeva una fase iniziale di registrazione, con acquisizione dell’immagine del volto e del documento di identità, oltre che una successiva verifica in itinere mediante confronto biometrico tra l’immagine acquisita al momento del controllo e quella registrata. La base giuridica individuata dall’Ateneo consisteva nel consenso degli interessati, richiesto quale condizione per poter accedere al corso.

L’Autorità, all’esito dell’istruttoria, ha tuttavia ritenuto tale trattamento illecito sotto plurimi profili, muovendo innanzitutto dalla qualificazione del contesto in cui esso si inserisce. Le attività formative universitarie, anche quando svolte da soggetti privati, sono infatti ricondotte allo svolgimento di un compito di interesse pubblico. In tale cornice, il Garante ha dunque ribadito un principio ormai consolidato: il consenso non può costituire un valido presupposto di liceità quando esistono (come avviene in buona parte dei casi) delle basi giuridiche più appropriate, nonché quando lo squilibrio tra titolare e interessato potrebbe comprometterne la libertà. Nel caso di specie, tale squilibrio risultava evidente, considerato che il mancato conferimento del consenso comportava l’impossibilità di partecipare al corso e conseguire il titolo.

Ancora più rilevante è il passaggio in cui il Garante ha evidenziato l’assenza di una idonea base normativa ai fini dell’autorizzazione del trattamento di dati biometrici. Le linee guida ANVUR richiamate dall’Ateneo, infatti, si limitavano esclusivamente a richiedere la verifica della partecipazione degli studenti, senza prescrivere (né legittimare) l’utilizzo di strumenti biometrici. In mancanza di una disposizione di legge o di regolamento che preveda espressamente tale trattamento, l’utilizzo di dati appartenenti alle categorie particolari di cui all’art. 9 GDPR deve ritenersi vietato.

Il provvedimento si sofferma inoltre sulla violazione dei principi di cui all’art. 5 GDPR, in particolare sotto il profilo della minimizzazione e della proporzionalità. L’impiego del riconoscimento facciale è stato considerato eccedente rispetto alla finalità perseguita, anche alla luce della possibilità di ricorrere a modalità alternative, meno invasive, per la verifica della presenza. Analoghe considerazioni sono state svolte in relazione ai tempi di conservazione dei dati, ritenuti non giustificati in rapporto alle finalità del trattamento.

Non meno significativa è la censura relativa alla mancata effettuazione preventiva di una valutazione di impatto ai sensi dell’art. 35 GDPR. Il Garante richiama, sul punto, sia la natura dei dati trattati (biometrici) sia la scala del trattamento (centinaia di studenti per ciascuna lezione), elementi che rendevano evidente l’obbligo di procedere a una DPIA prima dell’avvio del sistema.

Alla luce di tali rilievi, l’Autorità ha dichiarato l’illiceità del trattamento e ha irrogato una sanzione amministrativa pari a 50.000 euro.

Il provvedimento si inserisce nel solco di un orientamento rigoroso in materia di dati biometrici, qualificati dal legislatore europeo come dati particolarmente sensibili e, pertanto, soggetti a un regime di tutela rafforzato. Ne emerge con chiarezza che il ricorso a tecnologie di riconoscimento facciale non può essere giustificato da mere esigenze organizzative, ma richiede una base giuridica espressa, una valutazione attenta della necessità e proporzionalità del trattamento e l’adozione di tutte le garanzie previste dal quadro normativo.

In prospettiva, il provvedimento rappresenta un monito per tutti gli operatori che intendano introdurre soluzioni tecnologiche innovative: l’efficienza dei sistemi non può prevalere sulla tutela dei diritti fondamentali degli interessati, soprattutto quando sono in gioco dati biometrici, che incidono in modo diretto e permanente sull’identità delle persone.