NEWSLETTER N. 538 del 10 settembre 2025

• Minori: il Garante privacy sanziona un asilo nido
• IT-Wallet, sì del Garante privacy alla sperimentazione
• Indagini patrimoniali, il Garante privacy dice sì a CEREBRO
• Scuola: ok del Garante alle Linee guida del MIM per l’IA negli istituti scolastici

 Minori: il Garante privacy sanziona un asilo nido
Telecamere installate senza garanzie e foto di bambini piccolissimi online 

La riservatezza e la dignità dei bambini vanno tutelate sin dalla primissima infanzia. È questo, in sintesi, il principio alla base del provvedimento con il quale il Garante ha vietato a un asilo nido l’ulteriore diffusione online delle foto dei piccoli ospiti (di età compresa tra i 3 e i 36 mesi) e ha ordinato la cancellazione delle immagini illecitamente trattate.

Il procedimento dell’Autorità ha fatto seguito al reclamo di un genitore che, per poter iscrivere la figlia, ha dovuto prestare il consenso alla raccolta e all’utilizzo delle immagini della bambina. Il genitore, inoltre, aveva segnalato la presenza, all’interno dell’asilo, di un sistema di videosorveglianza in funzione anche durante lo svolgimento dell’attività scolastico-educativa.

Nel corso dell’istruttoria è emerso che l’asilo aveva pubblicato sia sul sito web sia sul proprio profilo di “Google Maps” numerose immagini dei minori in diversi momenti della “giornata tipo”, anche in contesti particolarmente delicati (sonno, mensa, utilizzo dei servizi igienici, cambio pannolino, massaggi infantili). In situazioni e attività, dunque, caratterizzate da una particolare delicatezza o destinate a rimanere riservate. Ciò senza considerare i rischi connessi alla maggiore esposizione delle immagini sul web e alla loro eventuale riutilizzabilità da parte di malintenzionati per fini illeciti o reati a danno dei minori.

Il Garante ha affermato che i trattamenti effettuati dall’asilo non avrebbero potuto trovare giuridico fondamento nel consenso dei genitori, prevalendo, comunque, il superiore interesse dei minori a non vedere pubblicate online, per promuovere l’attività dell’asilo, le fotografie che li ritraggono in momenti particolarmente intimi della loro esperienza scolastico-educativa. Oltretutto, tale consenso non sarebbe stato considerabile come consapevole e libero, visto che, in caso di rifiuto, sarebbe stata preclusa la possibilità di iscrivere i piccoli all’asilo. Anche il sistema di videosorveglianza, che raccoglieva immagini dei minori, del personale educativo, nonché di genitori, fornitori e visitatori, era stato utilizzato senza rispettare lo Statuto dei lavoratori e la normativa privacy.

Per le numerose violazioni emerse, il Garante ha ingiunto all’asilo il pagamento di una sanzione di 10mila euro.
 

IT-Wallet, sì del Garante privacy alla sperimentazione

Parere favorevole del Garante privacy su due schemi di decreto della Presidenza del Consiglio dei ministri relativi al Sistema di portafoglio digitale italiano (IT-Wallet), previsti dal programma di attuazione del PNRR. L’Autorità, data la complessità dei trattamenti posti in essere e dei rischi elevati presenti, ma in spirito di collaborazione istituzionale, ha chiesto al Dipartimento per la trasformazione digitale di approntare specifiche garanzie a tutela dei diritti e delle libertà degli interessati.

Il Sistema IT-Wallet intende semplificare l’accesso ai servizi pubblici e privati, consentendo una gestione più sicura dell’identità digitale e dei documenti personali e facilitando l’interazione tra cittadini, amministrazioni pubbliche e aziende. Proprio come un portafoglio fisico, l'IT-Wallet conterrà documenti in formato digitale da esibire all’occorrenza. In futuro, il Sistema sarà progressivamente aggiornato per garantire la compatibilità con le soluzioni europee di identità digitale (EUDI Wallet).

In questa fase di sperimentazione, per gli utenti che ne faranno richiesta, saranno disponibili le informazioni destinate ad attestare l’ISEE, il titolo di studio e accademico, i certificati di residenza, godimento dei diritti politici e iscrizione alle liste elettorali, la tessera sanitaria, la patente di guida e la carta europea della disabilità.

Le garanzie introdotte riguardano soprattutto l’individuazione dei ruoli dei soggetti coinvolti nei trattamenti e la definizione di misure volte ad evitare trattamenti ulteriori rispetto a quelli necessari per il funzionamento dell’IT-Wallet.

Il Garante, nel dare parere positivo, ricorda che sarà chiamato a esaminare le misure tecniche e organizzative adottate da un decreto del Dipartimento per la trasformazione digitale per assicurare il rispetto dei principi del GPDR e garantire un livello di sicurezza adeguato ai rischi, all’esito della valutazione d’impatto sulla protezione dei dati. L’Autorità dovrà anche essere consultata in merito al regolamento sulle procedure amministrative necessarie alla registrazione al Sistema e sul decreto relativo all’utilizzo dei cosiddetti Servizi Remunerativi, quelli forniti – a pagamento – dalle imprese.

Il Garante ha infine chiesto alla Presidenza del Consiglio dei ministri una relazione al termine del periodo di sperimentazione, che segnali, in particolare, le eventuali criticità rilevate e le misure individuate per porvi rimedio.

 Indagini patrimoniali, il Garante privacy dice sì a CEREBRO

Il Garante privacy ha dato parere favorevole al Ministero dell’Interno sulla valutazione d’impatto (DPIA) relativa a CEREBRO: il Sistema di analisi ed elaborazione dati a supporto delle indagini patrimoniali è conforme alla normativa di protezione dei dati personali. Il documento dà seguito alle osservazioni dell’Autorità e alle successive interlocuzioni con il Dipartimento della pubblica sicurezza, finalizzate al perfezionamento della DPIA.

CEREBRO è una piattaforma software centralizzata a supporto delle "indagini patrimoniali"; si tratta di uno strumento investigativo ritenuto imprescindibile per individuare e sottrarre alla criminalità risorse illecitamente ottenute. Il Sistema opera attraverso due funzionalità: l’acquisizione dei dati da fonti istituzionali “esterne”, cioè di altri soggetti istituzionali, e l’elaborazione dei dati acquisiti, sia quelli provenienti dalle fonti istituzionali che quelli immessi dal personale addetto al controllo per evidenziare possibili disponibilità finanziarie e patrimoniali “sproporzionate” e quindi potenzialmente riconducibili ad attività illecite.

Nella valutazione d’impatto aggiornata, il Dipartimento della pubblica sicurezza ha chiarito come il termine “web scraping”, utilizzato per descrivere la raccolta dati da parte di CEREBRO, non sia un’attività di raccolta in rete di dati personali massiva e indiscriminata, bensì l’estrapolazione mirata di informazioni da determinate banche dati. Inoltre, come richiesto dal Garante, la DPIA identifica le misure idonee a garantire l’esercizio dei diritti degli interessati, in particolare l’informativa (che sarà pubblicata sul sito della Polizia di Stato) e i diritti di accesso, rettifica e cancellazione.

Scuola: ok del Garante alle Linee guida del MIM per l’IA negli istituti scolastici

Il Garante privacy ha dato il via libera allo schema di decreto del Ministero dell'Istruzione e del Merito, che intende disciplinare l’implementazione, all’interno della Piattaforma Unica, di uno specifico servizio digitale in materia di Intelligenza Artificiale, con l’obiettivo di promuoverne un utilizzo corretto in ambito scolastico.

Attraverso questo servizio, il Ministero, nell’ambito delle proprie funzioni di indirizzo, intende rendere disponibili per le Istituzioni scolastiche specifici contenuti e documenti informativi che le stesse dovranno tenere in considerazione nel momento in cui intenderanno ricorrere a sistemi di Intelligenza Artificiale.

Con lo stesso decreto, infatti, sono state adottate Linee guida che spiegano come utilizzare i sistemi d’Intelligenza Artificiale negli istituti scolastici, in modo sicuro e rispettoso dei diritti, mettendo al centro le persone, indicando le regole etiche e tecniche da seguire, e offrendo istruzioni pratiche e strumenti.

Il Garante privacy ha espresso parere favorevole su una versione dello schema di decreto ministeriale che recepisce le osservazioni formulate dall’Ufficio nel corso delle interlocuzioni informali con il Ministero.

L’attenzione è stata posta, tra l’altro, sul rispetto delle norme vigenti e delle garanzie a tutela dei diritti e delle libertà fondamentali degli interessati rispetto ai trattamenti di dati personali effettuati mediante IA a partire dalle pratiche vietate, come quelle volte al riconoscimento delle emozioni. Il Garante ha da ultimo posto l’accento sul rispetto delle misure previste per i sistemi ad alto rischio, sulle garanzie di trasparenza, sulla chiara definizione di ruoli e responsabilità dei soggetti coinvolti, nonché sulla necessità di utilizzare i dati personali riferibili a studenti e docenti solamente ove strettamente indispensabili, prediligendo l’utilizzo di dati sintetici.

L'ATTIVITÀ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

• FORMAZIONE - “La Privacy in salute”. Il 29 settembre si terrà il terzo appuntamento dedicato al settore sanitario e della ricerca scientifica - 2 settembre 2025

• Video privato di Stefano De Martino: dal Garante stop alla divulgazione - Comunicato del 18 asgosto 2025

• Furto di dati negli hotel, Garante privacy avvia verifiche - Comunicato del 13 asgosto 2025

• Caso Bova, il Garante privacy apre un’istruttoria sulla diffusione dell’audio della conversazione privata - Comunicato del 6 agosto 2025

   

   

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002)
Direttore responsabile: Stefano Sabella
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751 - Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it