Introdotto da poco, il GDPR ha già mietuto vittime: in Svezia, una scuola è stata multata per 20.000 € per aver implementato un sistema di riconoscimento facciale al fine di monitorare la presenza degli studenti in classe durante le lezioni.
Anche se il test è durato solo tre settimane interessando 22 studenti, è incorso in sanzioni.

Vediamo insieme a piccoli passi l’accaduto:

Il GDPR prevede un apposito divieto (con alcune eccezioni) al trattamento dei dati biometrici. 

Il consenso necessario era stato firmato dalle famiglie ma risulterebbe non valido a causa della posizione degli alunni verso la scuola, 
ovvero il rapporto dipendenza-soggezione che si crea negli ambienti scolastici ha inficiato la validità del permesso.

La Datainspektionen, cioè l’autorità svedese per la protezione dei dati, ha esaminato l’uso del sistema e ha concluso che la scuola di Skellefteå ha trattato dati personali sensibili (appartenenti alla categoria di cui all’art.9 del GDPR) in violazione del Regolamento privacy europeo stabilendo pertanto una sanzione di 200.000 corone svedesi (circa 20.000 euro).

La mora risulta a parole dei giornali “moderata” perché trattasi di un ente pubblico e quindi meno incline alle multe salate che gli accordi sul GDPR impongono.
 
Questo è un primo passo, una piccola dimostrazione della delicatezza del tema privacy, prestate la massima attenzione ai trattamenti dei dati personali, per non essere soggetti di pesanti sanzioni; anche quando sarete certi delle sfumature necessarie fate i conti con i consensi, la loro validità e un consulto con il vostro consulente o DPO!