Privacy all’asilo nido: analisi di un sanzione del Garante per foto di minori e videosorveglianza

Facebook
Twitter
LinkedIn

L’autorità Garante per la protezione dei dati personali ha sanzionato un asilo nido per gravi violazioni della privacy nell’ambito della gestione di fotografie e video, offrendo uno spunto cruciale per riflettere sulla gestione dei dati dei minori e dei lavoratori in contesti educativi.

L’analisi del caso rivela come pratiche apparentemente innocue, come la condivisione di foto e l’installazione di telecamere, possano nascondere insidie legali e rischi significativi se non gestite con la dovuta competenza e nel rispetto delle normative.

La vicenda che ha portato all‘intervento del Garante per la protezione dei dati personali ha origine dalla denuncia di un genitore, preoccupato dalle modalità con cui un asilo nido privato gestiva i dati personali di sua figlia. L’istituto non si limitava a raccogliere foto e video dei bambini durante le attività quotidiane, ma utilizzava un sistema articolato che ne amplificava la diffusione e i rischi. Le immagini venivano caricate su spazi virtuali creati su Google Photo e condivise tramite link con tutti i genitori dei bambini appartenenti allo stesso gruppo o “bubble”. Inoltre, numerose fotografie, che ritraevano i minori in momenti anche molto delicati della loro giornata — come il sonno, la mensa, il cambio del pannolino e l’uso dei servizi igienici — venivano pubblicate sul sito web dell’asilo e sulla sua pagina Google Maps, rendendole di fatto accessibili a chiunque.

A completare il quadro, l’asilo aveva installato un sistema di videosorveglianza che riprendeva costantemente sia i bambini che il personale educativo durante lo svolgimento delle loro attività, motivandolo con la finalità di prevenire abusi e maltrattamenti. Questo complesso ecosistema di raccolta e diffusione di dati ha fatto emergere molteplici e gravi violazioni della normativa sulla privacy.

Il contesto è piuttosto intricato, per cui di seguito si riportano, per punti, le contestazioni dell’Autorità al titolare del trattamento, approfondendo gli aspetti normativi di ogni singola violazione.

Analisi delle violazioni

Trattamento illecito e consenso invalido per le foto dei minori

La prima e più grave criticità riguarda la raccolta e la diffusione online delle immagini dei bambini. Il Garante ha stabilito che tale pratica, soprattutto quando riguarda neonati e infanti in contesti intimi e riservati, si pone in netto contrasto con il superiore interesse del minore. La pubblicazione di queste foto per finalità che, sebbene definite “didattiche”, apparivano prevalentemente promozionali, è stata ritenuta inammissibile.

Il consenso raccolto dai genitori, che l’asilo considerava la base giuridica del trattamento, è stato giudicato completamente invalido per diverse ragioni:

  • Mancanza di libertà: L’informativa presentata ai genitori lasciava intendere che il conferimento delle immagini fosse una condizione necessaria per l’iscrizione, affermando che “il rifiuto di fornire i dati” avrebbe comportato “l’impossibilità per l’Asilo Nido di accogliere la richiesta di somministrazione del servizio”. Questa clausola, anche se poi smentita nei fatti dall’asilo, ha viziato la libertà del consenso, rendendolo di fatto un requisito obbligatorio e non una scelta facoltativa.
  • Informativa generica: L’informativa parlava genericamente di “scopi didattici e di divulgazione”, senza specificare che le immagini sarebbero state pubblicate su piattaforme ad accesso pubblico come il sito web e Google Maps, o condivise con altri genitori tramite servizi cloud. I genitori non erano quindi pienamente consapevoli dell’uso effettivo che sarebbe stato fatto delle foto dei loro figli.
  • Mancanza di granularità: Ai genitori veniva richiesta un’unica firma per autorizzare tutto il trattamento dei dati, senza la possibilità di esprimere consensi specifici e separati per le diverse finalità (es. uso interno, comunicazione ad altri genitori, diffusione online). Il GDPR, invece, richiede che il consenso sia “specifico” per ogni distinta finalità.
  • Consenso di un solo genitore: Per la diffusione online di immagini di minori, è richiesto il consenso di entrambi i genitori, ma l’asilo si limitava a raccogliere la firma di uno solo.

Queste pratiche espongono i minori a rischi elevatissimi: le immagini, una volta online, possono essere salvate, modificate e riutilizzate da chiunque per scopi illeciti, inclusi reati gravi, con possibili ripercussioni negative sulla vita sociale e relazionale futura dei bambini.

Informativa inidonea e mancanza di trasparenza per le foto dei minori

Il principio di trasparenza, cardine del GDPR, impone ai titolari del trattamento di fornire informative chiare, complete e facilmente comprensibili. L’informativa dell’asilo era invece carente sotto molti aspetti, violando gli articoli 5, 12 e 13 del Regolamento:

  • Informazioni contraddittorie sul Responsabile della Protezione dei Dati (RPD), non chiarendo se tale figura fosse stata effettivamente nominata.
  • Mancata specificazione delle basi giuridiche per ciascuna delle finalità di trattamento elencate.
  • Omissione di dettagli cruciali sulla tipologia di immagini raccolte, sui contesti di ripresa e sulle modalità di condivisione (es. Google Photo).
  • Assenza dei tempi di conservazione dei dati, ad eccezione di un’indicazione errata per le immagini di videosorveglianza.
Videosorveglianza illecita nei luoghi di lavoro

L’asilo aveva installato un sistema di videosorveglianza in varie aree, tra cui refettorio, zona riposo e persino nell’antibagno, con telecamere attive durante tutto l’orario di servizio. Sebbene la finalità dichiarata fosse la tutela dei minori, questa pratica ha configurato un monitoraggio diretto e continuo dell’attività lavorativa del personale, in violazione dell’art. 4 dello Statuto dei Lavoratori.

Questa norma fondamentale stabilisce che gli impianti di videosorveglianza sul luogo di lavoro possono essere installati solo per tre finalità tassative: esigenze organizzative e produttive, sicurezza del lavoro e tutela del patrimonio aziendale. La prevenzione e l’accertamento di reati, invece, sono compiti esclusivi delle autorità competenti e non possono essere perseguiti dal datore di lavoro attraverso un controllo diretto sui dipendenti. L’asilo ha erroneamente creduto che una legge regionale che finanziava l’installazione di tali sistemi potesse costituire una base giuridica sufficiente, ma il Garante ha chiarito che le normative regionali non possono derogare a principi di rango costituzionale e a normative statali che tutelano la dignità e la libertà dei lavoratori.

Informativa inidonea per la videosorveglianza

Anche per la videosorveglianza, l’informativa era inadeguata. I cartelli (informativa di “primo livello”) contenevano riferimenti normativi non aggiornati, non specificavano i tempi di conservazione delle immagini e non illustravano compiutamente i diritti degli interessati. Mancava inoltre un chiaro riferimento a un’informativa completa (“secondo livello”) facilmente accessibile. Ancora più grave, l’asilo non è stato in grado di dimostrare di aver fornito un’informativa specifica ai propri dipendenti prima di avviare il trattamento.

Mancata Valutazione d’Impatto sulla Protezione dei Dati (DPIA)

Un trattamento di dati che presenta un rischio elevato per i diritti e le libertà delle persone, come il monitoraggio sistematico di soggetti vulnerabili (bambini e dipendenti), richiede obbligatoriamente una Valutazione d’Impatto sulla Protezione dei Dati (DPIA) prima di essere avviato. Si tratta di un’analisi preventiva per identificare i rischi e adottare misure adeguate a mitigarli. L’asilo ha ammesso di non averla effettuata, ritenendola “superflua” alla luce della normativa regionale. Questa è una grave omissione, poiché la DPIA è uno strumento essenziale di accountability previsto dall’art. 35 del GDPR per garantire che i trattamenti siano proporzionati e necessari.

Problematiche relative al Responsabile della Protezione dei Dati (RPD)

L’ultima violazione riguarda la figura del Responsabile della Protezione dei Dati (RPD o DPO). L’asilo aveva designato per questo ruolo la stessa Dirigente scolastica e legale rappresentante. Questa scelta crea un palese conflitto di interessi, come specificato dall’art. 38 del GDPR. L’RPD deve essere una figura indipendente, in grado di vigilare sull’operato del titolare senza condizionamenti. Un dirigente apicale, che ha potere decisionale sulle finalità e i mezzi del trattamento, non può svolgere contemporaneamente il ruolo di controllore di se stesso. Inoltre, l’asilo non aveva né comunicato i dati di contatto dell’RPD al Garante, né li aveva resi noti agli interessati, violando l’art. 37 del Regolamento.

Misure correttive e sanzioni

A fronte di queste numerose e gravi violazioni, il Garante ha adottato diverse misure. In primo luogo, ha ingiunto all’asilo di limitare immediatamente il trattamento, vietando ogni ulteriore utilizzo e diffusione delle foto dei minori e ordinandone la cancellazione dagli archivi. L’asilo, già in fase di procedimento, aveva autonomamente disattivato l’impianto di videosorveglianza e sospeso il sito web.

Oltre a queste misure, è stata inflitta una sanzione amministrativa pecuniaria di 10.000 euro. Nella determinazione dell’importo, il Garante ha tenuto conto dell’elevata gravità della violazione, data la vulnerabilità dei soggetti coinvolti (neonati e lavoratori), ma anche di elementi attenuanti come la buona cooperazione offerta dall’asilo durante l’istruttoria e l’assenza di precedenti violazioni.

Questo caso serve da monito per tutte le realtà educative e per chiunque tratti dati di soggetti vulnerabili. Dimostra come la buona fede o la convinzione di agire per uno scopo nobile, come la sicurezza dei bambini, non siano sufficienti a giustificare violazioni normative. La protezione dei dati personali non è un mero adempimento burocratico, ma un principio fondamentale che tutela la dignità e la libertà delle persone.

In un contesto educativo, il rispetto della privacy diventa esso stesso un insegnamento, un modo per costruire un ambiente sicuro non solo fisicamente, ma anche digitalmente. Per genitori, educatori e titolari di attività è essenziale promuovere una cultura della privacy basata sulla consapevolezza, sulla formazione continua e su una rigorosa applicazione del GDPR, garantendo che l’interesse superiore dei minori e i diritti dei lavoratori siano sempre al primo posto.

Per informazioni sull’offerta di SI.net Servizi Informatici per accompagnarti nelle continue sfide legate alla trasformazione digitale e alla data protection, scrivi a sinet@sinetinformatica.it o telefona allo 0331.576848.

Per ricevere aggiornamenti sulle tematiche relative all’innovazione nell’ICT iscriviti alla nostra newsletter.

Segui SI.net anche su LinkedIn, Facebook, X, YouTube, Instagram, Telegram

Picture of Aldo Lupi
Aldo Lupi

SEDE LEGALE
Corso Magenta 46 – 20123 Milano

SEDE AMMINISTRATIVA
Via Filippo Turati 111 – 20023 Cerro Maggiore (MI)

P.IVA e C.F. 02743730125

Iscritta al registro imprese di Milano n. 02743730125 – Capitale sociale 60.000 euro

Pagine informative

Privacy Policy
Newsletter
Lavora con noi
Documentazione Privacy

Servizi e Soluzioni

IT Management
Trasformazioni digitale
Sviluppo software
Privacy
Cybersecurity
Cloud
Noleggio materiale informatico
Logistica e trasporto​
Business intelligence

Social

© 2021 SI.net Servizi Informatici