29 agosto 2019
Riconoscimento facciale a scuola: prima sanzione irrogata dall'ispettorato per la protezione dei dati svedese in applicazione del GDPR
L'Ispettorato dei dati svedese (Datainspektionen) con una decisione del 20 agosto 2019 ha applicato al Consiglio delle scuole superiori del Comune di Skellefteå una sanzione amministrativa di 200.000 corone (circa 20.000 euro) per aver utilizzato la tecnologia di riconoscimento facciale per monitorare la frequenza degli studenti a scuola, in violazione delle norme del regolamento sulla protezione dei dati, GDPR.
Una scuola nella Svezia settentrionale ha condotto un esperimento pilota usando il riconoscimento facciale tramite telecamera per tenere traccia della frequenza degli studenti a scuola.
L'esecuzione del test è stata condotta in una classe scolastica per un periodo di tempo limitato (3 settimane) ed ha interessato 22 studenti.
L'ispettorato per i dati svedese ha esaminato l'uso e ha riscontrato che il consiglio scolastico delle scuole superiori di Skellefteå ha gestito i dati personali sensibili in violazione del regolamento sulla protezione dei dati e e ha inflitto un'ammenda di circa 20.000 euro.
In Svezia le autorità pubbliche possono ricevere un'ammenda massima di 10 milioni di corone svedesi (circa 1 milione di euro).
La scuola ha elaborato illegalmente dati biometrici sensibili e non è stata in grado di effettuare un'adeguata valutazione dell'impatto, compresa la ricerca di una consultazione preliminare con la stessa Autorità svedese.
La scuola ha basato il trattamento sul consenso, ma l'Autorità svedese ha ritenuto che il consenso non fosse una base giuridica valida, dato il chiaro squilibrio tra l'interessato e il responsabile del trattamento.
Nella sua decisione, l'Autorità svedese per la protezione dei dati osserva che il riconoscimento facciale comporta la sorveglianza delle telecamere degli alunni nel loro ambiente quotidiano, con un'intrusione nella sfera privata e che il controllo della presenza può essere fatto in altri modi che violano meno la privacy rispetto al riconoscimento facciale.
La sanzione è la prima emessa per la violazione del GDPR in Svezia e interviene sulla tecnologia del riconoscimento facciale che è in rapida evoluzione e sulla quale c'è un grande bisogno di creare chiarezza.