Un provvedimento sanzionatorio del Garante della Privacy permette di cogliere tutti i punti critici relativi alla pubblicazione di foto e video sui social network, specie di minori.
Indice degli argomenti
- Contesto del provvedimento
- La base giuridica invocata dalla scuola e perché non regge
- Il tema del consenso: perché quello raccolto era invalido
- Il superiore interesse del minore come limite invalicabile al consenso
- Il ruolo dell’influencer e l’assenza di una designazione ex art. 28 GDPR
- Cosa insegna questo provvedimento e quali cautele operative adottare
Contesto del provvedimento
La vicenda prende avvio dal reclamo presentato dei genitori di una studentessa all’Autorità Garante per la protezione dei dati personali nei confronti dell’istituto scolastico frequentato dalla figlia.
L’Istituto aveva incaricato un influencer di realizzare un video promozionale, con l’obiettivo di valorizzarne l’offerta formativa e favorire le iscrizioni.
Il video, girato all’interno della scuola, è stato pubblicato dall’influencer sui propri profili social (tra cui Instagram, Facebook e TikTok) e conteneva anche immagini di una minore, ripresa mentre suonava il pianoforte.
I genitori della ragazza hanno contestato la diffusione del video, ritenendo che il consenso prestato non coprisse la pubblicazione sui social network e che tale utilizzo non fosse stato preventivamente comunicato. A seguito della segnalazione, il video è stato rimosso, ma l’Autorità ha comunque avviato un’istruttoria, accertando le modalità illecite del trattamento dei dati personali.
La base giuridica invocata dalla scuola e perché non regge
Uno degli snodi centrali del provvedimento riguarda la base giuridica del trattamento. L’Istituto scolastico ha sostenuto che la realizzazione e la diffusione del video rientrassero nell’esecuzione di un compito di interesse pubblico e, quindi, potessero trovare fondamento nell’art. 6, par. 1, lett. e) del GDPR, richiamando la propria funzione istituzionale e gli obiettivi di valorizzazione dell’offerta formativa.
Il Garante, tuttavia, chiarisce che per i soggetti pubblici questo richiamo non è sufficiente. Quando il trattamento consiste nella diffusione di dati personali, e in particolare nella loro pubblicazione su piattaforme di social network, è necessario che tale attività sia espressamente prevista da una norma di legge, di regolamento o da un atto amministrativo generale, come stabilito dall’art. 2-ter, comma 3, del Codice della privacy.
Nel caso esaminato, l’istituto non ha indicato alcuna disposizione normativa idonea a legittimare la diffusione delle immagini della minore sui profili social di un soggetto terzo. Il riferimento generico alle finalità istituzionali e al Piano Triennale dell’Offerta Formativa non è stato ritenuto sufficiente a superare questo requisito.
Il Garante ribadisce così un principio di particolare rilievo pratico: l’interesse pubblico, da solo, non legittima automaticamente la pubblicazione di dati personali sui social network, soprattutto quando si tratta di minori. In assenza di una base normativa chiara e specifica, la diffusione deve considerarsi illecita, anche se finalizzata alla promozione di attività ritenute meritevoli o coerenti con la missione dell’ente.
Il tema del consenso: perché quello raccolto era invalido
Un ulteriore profilo centrale analizzato dal Garante riguarda il consenso prestato dai genitori della minore. L’Istituto ha sostenuto di aver raccolto, all’inizio dell’anno scolastico, una liberatoria che autorizzava la realizzazione di foto e video degli alunni nell’ambito delle attività scolastiche. Tuttavia, dall’esame della documentazione emerge che tale consenso era formulato in termini generici e preventivi, e riferito esclusivamente a contesti didattici, educativi o di documentazione interna delle attività della scuola.
Il Garante chiarisce che il consenso, per essere valido ai sensi del GDPR, deve essere libero, specifico, informato e inequivocabile. Nel caso di specie, questi requisiti non risultano soddisfatti. In particolare, l’informativa e la liberatoria non facevano alcun riferimento alla pubblicazione delle immagini su piattaforme di social network, né tantomeno alla diffusione tramite profili personali di soggetti terzi, estranei all’organizzazione scolastica.
Di conseguenza, anche ammettendo che il consenso fosse stato effettivamente prestato, esso non poteva considerarsi idoneo a coprire il trattamento concretamente realizzato. La pubblicazione sui social costituisce infatti una finalità ulteriore e distinta, che richiede un consenso autonomo, espresso in modo chiaro e consapevole.
Il Garante conclude quindi che il consenso raccolto dall’istituto non era né sufficientemente informato né specifico, e non poteva costituire una valida base di liceità per la diffusione del video, contribuendo in modo decisivo alla qualificazione del trattamento come illecito.
Il superiore interesse del minore come limite invalicabile al consenso
Nel provvedimento, il Garante compie un passaggio di particolare forza argomentativa, chiarendo che il consenso dei genitori non opera in modo assoluto. L’Autorità afferma infatti che il potere-dovere dei genitori di prestare o negare il consenso al trattamento dei dati personali del figlio incontra un limite preciso e inderogabile nel perseguimento del superiore interesse del minore.
Questa affermazione ha un significato giuridico rilevante: anche laddove i genitori abbiano formalmente espresso il consenso, tale consenso non può mai legittimare trattamenti che risultino incompatibili con la tutela complessiva del minore. Il Garante qualifica il superiore interesse del minore come un criterio prevalente, che si colloca “a monte” della stessa valutazione sulla validità del consenso.
Nel caso concreto, l’Autorità ritiene che la pubblicazione di un video raffigurante una minore su piattaforme di social network, per finalità meramente promozionali dell’istituto, sia intrinsecamente incompatibile con tale interesse superiore. La diffusione sui social comporta infatti una perdita di controllo sulle immagini, una potenziale replicabilità illimitata dei contenuti e un’esposizione del minore a rischi che non possono essere ricondotti a esigenze educative o formative.
Il messaggio che emerge dal provvedimento è chiaro: quando sono coinvolti minori, non è sufficiente interrogarsi sulla correttezza formale del consenso, ma occorre valutare se il trattamento, per natura, contesto e finalità, sia realmente orientato alla loro tutela. In caso contrario, il consenso diventa giuridicamente recessivo e non è idoneo a fondare la liceità del trattamento.
Il ruolo dell’influencer e l’assenza di una designazione ex art. 28 GDPR
Un ulteriore profilo di criticità riguarda il ruolo dell’influencer incaricato dall’istituto di realizzare e diffondere il video promozionale. Dall’istruttoria emerge che il soggetto esterno ha operato su incarico della scuola, accedendo ai locali scolastici e realizzando riprese che includevano dati personali di alunni, docenti e personale, con l’obiettivo di predisporre un contenuto da pubblicare sui social network per conto dell’istituto.
Il Garante chiarisce che, in una situazione di questo tipo, l’influencer non può essere considerato un soggetto autonomo, ma un responsabile del trattamento ai sensi dell’art. 28 del GDPR, in quanto tratta dati personali per conto del titolare. La circostanza che l’attività sia stata svolta a titolo gratuito e volontario è del tutto irrilevante ai fini della qualificazione giuridica del rapporto.
In base al GDPR, il titolare del trattamento è tenuto a disciplinare il rapporto con il responsabile mediante un contratto o altro atto giuridico vincolante, che definisca in modo puntuale durata, natura e finalità del trattamento, tipologia di dati trattati, categorie di interessati e istruzioni operative. Nel caso esaminato, l’istituto non ha provveduto ad alcuna formale designazione, limitandosi a impartire indicazioni informali.
Il Garante sottolinea che tale omissione integra una violazione autonoma della normativa in materia di protezione dei dati, poiché priva il titolare degli strumenti giuridici necessari a esercitare un effettivo controllo sul trattamento e a garantire la tutela dei diritti degli interessati. Il passaggio è particolarmente rilevante perché evidenzia come il ricorso a figure esterne per attività di comunicazione o promozione comporti responsabilità precise, che non possono essere eluse facendo leva sull’occasionalità o sulla gratuità della prestazione.
Va inoltre osservato che, in altri precedenti dell’Autorità, l’assenza di una designazione formale ex art. 28 GDPR ha condotto a una valutazione ancora più severa: il soggetto esterno non correttamente inquadrato come responsabile del trattamento è stato qualificato come titolare autonomo, con la conseguenza di essere direttamente sanzionato per aver effettuato trattamenti di dati personali in assenza di una valida base giuridica. In questa prospettiva, il caso esaminato avrebbe potuto esporre l’influencer a un giudizio ben più gravoso, a conferma dell’importanza, per il titolare, di definire correttamente ruoli e responsabilità prima di avviare qualsiasi attività di trattamento.
Cosa insegna questo provvedimento e quali cautele operative adottare
Il provvedimento del Garante offre una serie di indicazioni operative di grande rilievo per scuole, enti pubblici, aziende e, più in generale, per chiunque utilizzi i social network come strumento di comunicazione. Il primo insegnamento è che la pubblicazione di dati personali sui social non può mai essere affrontata con leggerezza: finalità promozionali, comunicative o reputazionali non giustificano automaticamente la diffusione, soprattutto quando sono coinvolti soggetti vulnerabili come i minori.
In secondo luogo, emerge con chiarezza che base giuridica, consenso e interesse del minore non sono elementi intercambiabili. Occorre verificare a monte se esiste una base normativa idonea; solo in via subordinata può rilevare il consenso, che deve essere specifico e informato e che, in ogni caso, arretra di fronte al superiore interesse del minore. Questo implica una valutazione sostanziale del trattamento: le finalità devono trovare un valido bilanciamento con l’interesse superiore del minore.
Dal punto di vista operativo, il provvedimento richiama l’attenzione sulla corretta gestione dei rapporti con soggetti esterni. Content creator, influencer, consulenti e fornitori che trattano dati per conto dell’organizzazione devono essere preventivamente inquadrati sotto il profilo privacy, con una chiara definizione dei ruoli e, se del caso, una designazione formale ex art. 28 GDPR. L’assenza di tale passaggio non solo espone il titolare a sanzioni, ma può determinare una moltiplicazione delle responsabilità.
In sintesi, la lezione che si può trarre è netta: prima di pubblicare dati personali sui social network è necessario fermarsi e porsi alcune domande chiave – Ho una base giuridica adeguata? Il consenso è davvero specifico? Il trattamento tutela effettivamente l’interesse del minore? Ho correttamente regolato i rapporti con eventuali soggetti esterni? – perché, come dimostra questo caso, una gestione superficiale della comunicazione digitale può tradursi rapidamente in una violazione della normativa e in una sanzione da parte dell’Autorità.
Leggi anche:
- Privacy all’asilo nido: analisi di un sanzione del Garante per foto di minori e videosorveglianza
- Guida alla corretta acquisizione di foto e video negli eventi nel rispetto della privacy
Per informazioni sull’offerta di SI.net Servizi Informatici per accompagnarti nelle continue sfide legate alla trasformazione digitale e alla data protection, scrivi a sinet@sinetinformatica.it o telefona allo 0331.576848.
Per ricevere aggiornamenti sulle tematiche relative all’innovazione nell’ICT iscriviti alla nostra newsletter.
Segui SI.net anche su LinkedIn, Facebook, YouTube, Instagram, Telegram
