top of page
Cerca

Protezione dei dati personali nei Servizi educativi: Il Garante Privacy sanziona un asilo nido per violazioni su immagini e videosorveglianza

  • Immagine del redattore: Gabriele De Luca
    Gabriele De Luca
  • 16 set
  • Tempo di lettura: 4 min

Di Avv. Gabriele De Luca & Partners Pubblicato il 16 settembre 2025


La tutela della privacy e della dignità dei minori rappresenta un pilastro fondamentale del Regolamento UE 2016/679 (GDPR), specialmente in contesti sensibili come gli asili nido, dove i bambini – spesso di età compresa tra i 3 e i 36 mesi – sono particolarmente vulnerabili. Con il provvedimento n. 410 del 10 luglio 2025 (doc. web n. 10162731), il Garante per la Protezione dei Dati Personali ha ribadito questo principio, sanzionando l'Asilo Nido "La Combricola Dei Birichini Di Betty" di Rho con una multa di 10.000 euro per violazioni gravi relative al trattamento di immagini e dati dei minori. Il caso, originato da un reclamo di un genitore, evidenzia i rischi connessi alla diffusione online di foto e all'uso di sistemi di videosorveglianza, offrendo importanti spunti per operatori del settore educativo.


Il contesto del reclamo e l'istruttoria del Garante


Il procedimento è scaturito da un reclamo presentato ai sensi dell'art. 77 del GDPR da un genitore, il sig. XX, che lamentava l'obbligo di prestare consenso al trattamento delle immagini della figlia minore per poter procedere all'iscrizione all'asilo. Secondo il reclamante, l'informativa privacy fornita dall'istituto subordinava l'accettazione del servizio educativo alla firma di un documento che autorizzava la raccolta e l'utilizzo di foto dei bambini, con la minaccia di "impossibilità di accogliere la richiesta" in caso di rifiuto. Inoltre, era stato segnalato l'impiego di un sistema di videosorveglianza attivo durante le attività scolastiche, in grado di riprendere minori, personale e visitatori.

Durante l'istruttoria, il Garante ha acquisito documentazione dall'asilo, che ha ammesso alcune incongruenze nell'informativa privacy, pur sostenendo la facoltatività del consenso. È emerso che:

  • Le immagini dei minori venivano condivise in gruppi "bubble" (di 8 bambini per fascia d'età) tramite Google Photos, accessibili solo ai genitori del gruppo.

  • Sul sito web istituzionale e sul profilo Google Maps dell'asilo erano pubblicate numerose foto di bambini in momenti delicati della "giornata tipo", inclusi sonno, pasti, utilizzo dei servizi igienici, cambio pannolino e massaggi infantili – contesti intrinsecamente riservati e protetti dalla dignità personale.

  • L'impianto di videosorveglianza, finanziato da fondi regionali della Lombardia (decreto n. 8788/2019), riprendeva aree sensibili come refettori, zone riposo e anticamere dei bagni, con conservazione delle immagini per 24 ore (inizialmente dichiarate come 72 o 48 ore, rivelando ulteriori incoerenze).

L'asilo ha giustificato il trattamento invocando il consenso genitoriale per finalità "didattiche e divulgative" e la legge regionale per la videosorveglianza, mirata a prevenire abusi sui minori. Tuttavia, il Garante ha contestato tali basi giuridiche, notificando violazioni multiple ai sensi degli artt. 5, 6, 7, 12, 13, 35, 37 e 38 del GDPR, nonché dell'art. 2-ter del Codice Privacy italiano.


Le violazioni accertate: Liceità, Trasparenza e Proporzionalità


Il provvedimento del Garante si articola su tre principali ambiti di violazione, confermando un approccio non conforme ai principi cardine del GDPR:

  1. Trattamento delle immagini dei minori:

    • Assenza di base giuridica valida: Il consenso genitoriale non può legittimare la diffusione online di foto intime per scopi promozionali dell'asilo. Il Garante ha sottolineato che prevale l'"interesse superiore del minore" (cfr. Cons. 38 e 75 GDPR), incompatibile con la pubblicazione di immagini che espongono i bambini a rischi di riutilizzo illecito (es. da parte di terzi per reati). Anche se l'asilo ha sostenuto finalità "didattiche", queste appaiono in realtà promozionali, eccedendo l'interesse pubblico dei servizi educativi (art. 6, par. 1, lett. e) GDPR; d.lgs. 65/2017).

    • Consenso non libero e informato: L'informativa privacy era equivoca, legando implicitamente l'iscrizione al consenso, in violazione dell'art. 7 GDPR. Il rifiuto non era facoltativo, rendendo il consenso non "libero" né "inequivocabile".

    • Informativa inidonea: Mancava trasparenza sulle finalità, sui rischi e sui diritti degli interessati (artt. 12-13 GDPR).

  2. Sistema di Videosorveglianza:

    • Violazione della liceità e dello statuto dei lavoratori: L'impianto riprendeva minori e dipendenti senza base giuridica adeguata, ignorando l'art. 4 dello Statuto dei Lavoratori (l. 300/1970) e i principi di necessità e proporzionalità. La legge regionale lombarda non esenta dal GDPR, richiedendo una valutazione autonoma dei rischi.

    • Mancata DPIA e informativa: Non era stata condotta una Valutazione d'Impatto sulla Protezione dei Dati (DPIA, art. 35 GDPR), obbligatoria per trattamenti ad alto rischio come la videosorveglianza in ambienti educativi. L'informativa era incompleta, con cartelli insufficienti e accesso limitato solo alla dirigente.

    • Designazione del RPD: Il Responsabile della Protezione Dati (RPD) era la stessa dirigente dell'asilo, in conflitto d'interessi, senza comunicazione al Garante né pubblicazione dei contatti (art. 37, par. 7 GDPR).

  3. Misure correttive adottate dall'asilo:

    • In risposta alle contestazioni, l'asilo ha sospeso il sito web, oscurato volti nelle immagini residue, disattivato l'impianto di videosorveglianza e avviato una DPIA. Ha inoltre nominato un RPD esterno e rivisto le informative privacy. Tali azioni, pur positive, non hanno evitato la sanzione, ma potrebbero mitigare future responsabilità.


La Sanzione e le implicazioni per il Settore educativo


Il Garante ha irrogato una sanzione amministrativa pecuniaria di 10.000 euro, commisurata alla gravità delle violazioni, alla natura dei dati trattati (sensibili, riguardanti minori) e alla cooperazione dell'asilo durante l'istruttoria (art. 83 GDPR). Ha inoltre ingiunto:

  • Il divieto di ulteriore diffusione online delle immagini.

  • La cancellazione delle foto illecitamente trattate.

  • L'adeguamento delle procedure, inclusa la rimozione di telecamere in aree sensibili.

Questo caso rafforza precedenti orientamenti del Garante (es. provv. 13 marzo 2025 n. 134; 26 settembre 2024) e del Gruppo di Lavoro Art. 29 (WP 147/2008), enfatizzando la necessità di ponderare rischi prima di pubblicare foto di minori online. Per scuole e asili, emerge l'obbligo di:

  • Basare trattamenti su obblighi legali o interesse pubblico, non su consensi "condizionati".

  • Condurre DPIA per videosorveglianza e condividere solo immagini anonime o con consenso esplicito e revocabile.

  • Fornire informative chiare, multilivello e accessibili.


Consigli pratici per gli Operatori educativi


Per evitare sanzioni simili, raccomandiamo:

  • Revisione delle Policy Privacy: Assicurarsi che informative siano trasparenti e consensi liberi; evitare legami con l'iscrizione.

  • Gestione immagini: Limitare pubblicazioni a contesti non intimi, con anonimizzazione (es. oscuramento volti) e diritto all'oblio su motori di ricerca.

  • Videosorveglianza: Rispettare lo Statuto dei Lavoratori, condurre DPIA e limitare riprese a finalità preventive, con accesso ristretto.

  • Nomina RPD: Scegliere figure esterne e indipendenti per evitare conflitti.


Lo Studio Avv. Gabriele De Luca & Partners offre assistenza specializzata in compliance GDPR per enti educativi, inclusi audit, redazione di DPIA e difesa in procedimenti presso il Garante. Contattateci per una consulenza personalizzata.


Scarica il provvedimento:



 
 
 

Commenti

Valutazione 0 stelle su 5.
Non ci sono ancora valutazioni
Aggiungi una valutazione
bottom of page