NEWSLETTER N. 543 del 20 febbraio 2026

• Il Garante privacy sanziona eCampus, stop al riconoscimento facciale 
• Garante privacy al comune di Pescara: no alle body cam della Polizia locale
• Dal Garante ok alle Linee guida Agid su accessibilità dei servizi
• Garanti UE le sfide per una piena attuazione del diritto alla cancellazione
• Digital Omnibus, Garanti UE: semplificare senza ridurre la tutela delle persone

Il Garante sanziona eCampus, stop al riconoscimento facciale nella formazione online 
Trattati in modo illecito i dati biometrici dei partecipanti ai corsi di abilitazione all’insegnamento

Il Garante privacy ha sanzionato per 50mila euro l’Università eCampus per aver trattato in modo illecito i dati biometrici di numerosi partecipanti ai corsi online di abilitazione all’insegnamento.

L’Ateneo utilizzava un sistema di riconoscimento facciale per verificare l’identità e la presenza dei partecipanti alle lezioni. Dalle verifiche l’Autorità ha rilevato la mancanza di una base giuridica idonea a giustificare l’uso di sistemi biometrici, per i quali sono previste garanzie rafforzate dalla disciplina di protezione dei dati, vista anche la disponibilità di strumenti alternativi e meno invasivi per la verifica della presenza ai corsi. È emerso, inoltre, che l’Ateneo non aveva svolto una valutazione di impatto sulla protezione dei dati prima dell’attivazione del sistema di riconoscimento facciale.

Le violazioni hanno interessato un numero molto elevato di partecipanti, oltre 450 corsisti per ogni lezione.

Nel corso dell’istruttoria, il sistema ha continuato ad essere utilizzato solo parzialmente con alcuni correttivi, comunque non ritenuti sufficienti a superare le criticità rilevate, fino alla sua disattivazione definitiva. Nel determinare l’importo della sanzione, il Garante ha comunque tenuto conto della collaborazione prestata dall’Università e dell’interruzione volontaria del trattamento.

Garante privacy al comune di Pescara: no alle body cam della Polizia locale
Rischio di trasferimento dei dati verso paesi extra Ue

Parere negativo del Garante privacy alla valutazione di impatto sulla protezione dei dati personali presentata dal comune di Pescara relativa alle body cam da fornire agli agenti di polizia locale nell’ambito delle attività ausiliarie di pubblica sicurezza e di polizia giudiziaria. Numerose le criticità riscontrate nel sistema nonostante le indicazioni fornite dall’Autorità nel corso di più interlocuzioni. Per quanto riguarda la sicurezza delle soluzioni tecnologiche scelte, il Garante ha accertato che le modifiche inserite nell’ultima valutazione di impatto non forniscono risposta alle richieste di approfondimento tecnico formulate dall’Ufficio. In particolare, posto che il sistema informatico per la gestione dei dati elaborati dalle body cam è fornito da un’azienda statunitense, il comune non ha chiarito se tale scelta abbia tenuto conto di altre soluzioni presenti nel mercato e degli aspetti di protezione dei dati connessi a un trattamento ad elevato rischio come quello effettuato attraverso le body cam.

Il Garante inoltre ha riscontrato l’assenza di misure di sicurezza in grado di escludere che il fornitore del servizio possa accedere in chiaro ai dati trattati dal Comune. Accesso che comporterebbe un trasferimento dei dati verso paesi terzi, in violazione della Direttiva Ue 2016/680 e della normativa privacy.

Il trasferimento di dati personali per scopi di law enforcement, competenza non attribuibile alla società statunitense, è infatti regolato da norme specifiche che impongono rigorose garanzie per trasferimenti transfrontalieri, inclusi accordi vincolanti e un livello adeguato di protezione dei dati nel paese terzo.

Tra le altre criticità anche la presenza di una sim all’interno della body cam su cui non sono stati forniti chiarimenti. 

Dal Garante ok alle Linee guida Agid sull’accessibilità dei servizi
Maggiori tutele per le persone con disabilità

Parere favorevole del Garante per la protezione dei dati personali sullo schema di decreto dell’AGID, che definisce le Linee guida sull’accessibilità dei servizi pubblici e privati (ad es., trasporto passeggeri, internet, sistemi di pagamento). L’obiettivo è offrire servizi e informazioni fruibili anche dalle persone con disabilità, senza discriminazioni.

Nel prescrivere gli obblighi del fornitore di servizi, lo schema tiene conto delle indicazioni fornite dall’ufficio del Garante, volte ad assicurarne la conformità alla normativa privacy.

Sulla base dei principi di privacy by design e privacy by default del Gdpr, i fornitori di servizi dedicati a persone con disabilità, avranno l’obbligo di adottare misure idonee a evitare la tracciatura degli strumenti, delle soluzioni e delle impostazioni d’uso che li aiutano ad accedere ai servizi digitali. Dovranno inoltre dichiarare espressamente di non ricorrere a tecniche web di tracciamento dalle quali sia possibile desumere eventuali condizioni di disabilità dell'utente.

AGID, cui spetta la vigilanza, dovrà poi individuare e adottare misure appropriate e specifiche volte a proteggere i dati degli interessati anche nell’implementazione e gestione della piattaforma che metterà a disposizione per lo svolgimento delle attività di competenza.

Nel dare il via libera, il Garante ha ribadito che, in base al principio di accountability, resta ferma la responsabilità in capo ai fornitori sia pubblici che privati, quali titolari del trattamento, di conformare i propri servizi alla disciplina in materia di protezione dei dati personali. 

Garanti europei, le sfide per una piena attuazione del diritto alla cancellazione

Pubblicato il rapporto del Comitato europeo per la protezione dei dati (EDPB) in materia di diritto alla cancellazione (art. 17 del GDPR). Il documento nasce dal lavoro svolto nel 2025 da 32 autorità di protezione dati, tra cui il Garante italiano, nell’ambito del Coordinated Enforcement Framework (CEF), su uno dei diritti più esercitati e più spesso oggetto di reclami.

Obiettivo dell’azione: garantire che il diritto alla cancellazione sia effettivamente esercitato dai cittadini europei e valutare in che modo i titolari del trattamento rispettano tale diritto nella pratica.

Al termine, l'EDPB ha individuato le buone pratiche e le sfide più importanti in materia, con l'obiettivo di fornire ulteriori orientamenti sul tema.

Sono stati 764 i titolari del trattamento, fra piccole, medie e grandi imprese in tutta Europa, coinvolti nel CEF 2025; nove Autorità di protezione dati hanno avviato, o continuato, una istruttoria, mentre le altre 23, tra cui il Garante, hanno condotto un’indagine conoscitiva.

La mancanza di procedure interne adeguate per gestire le richieste e di informazioni sufficienti fornite agli interessati sono state le principali risultanze emerse dal rapporto. Le Autorità hanno riscontrato anche il ricorso a tecniche di anonimizzazione inefficienti come alternative alla cancellazione, difficoltà dei titolari nel determinare il periodo di conservazione dei dati e la loro cancellazione nel contesto dei backup e, visto che il diritto alla cancellazione non è un diritto assoluto, nell'effettuare i test di bilanciamento con altri diritti.

Digital Omnibus, Garanti europei: semplificare senza ridurre la tutela delle persone 

“La semplificazione è essenziale per ridurre la burocrazia e rafforzare la competitività dell'UE, ma non a scapito dei diritti fondamentali”. Così si è espressa la Presidente del Comitato europeo per la protezione dei dati personali (EDPB), Anu Talus, commentando il parere congiunto emanato insieme al Garante europeo (EDPS) sul cosiddetto “Digital Omnibus”, ossia l’insieme di modifiche legislative proposte dalla Commissione europea volte a semplificare il quadro normativo nel settore digitale.   

Nel parere vengono accolte con favore le misure proposte dalla Commissione per garantire una maggiore armonizzazione, coerenza e certezza giuridica. Allo stesso tempo, EDPB e EDPS esprimono preoccupazioni su alcune modifiche che possono influire negativamente sul livello di protezione di cui godono le persone, oltre a creare incertezza giuridica e rendere più difficile l'applicazione della normativa in materia di protezione dei dati.

L’attenzione è rivolta in particolare alla nuova nozione di dato personale, che rischia di spostare il baricentro della tutela da un criterio oggettivo a uno soggettivo, restringendone la portata e indebolendo in modo significativo la tutela degli individui. EDPB ed EDPS esortano quindi i colegislatori a non adottare tali modifiche, ritenendo peraltro che vadano ben oltre una modifica mirata o tecnica del GDPR e non riflettano precisamente la giurisprudenza della Corte di giustizia dell'Unione europea.

Il parere considera positivamente le semplificazioni relative agli adempimenti correlati alla notifica di data breach e alla valutazione d’impatto sulla protezione dei dati, così come le precisazioni in materia di ricerca scientifica e la proposta di introdurre una nuova deroga per il trattamento di dati per l’autenticazione biometrica, ove i mezzi di verifica rimangano sotto il controllo esclusivo dell’individuo.

Pur accogliendo con favore l'obiettivo della proposta di introdurre una deroga specifica al divieto di trattare dati sensibili nell’ambito dei sistemi o modelli di intelligenza artificiale, il parere raccomanda tuttavia diversi miglioramenti, volti a chiarire l'ambito della deroga e a garantire le necessarie tutele lungo l'intero ciclo di vita dell’AI. Non pare infine necessaria una specifica norma che sancisca la ricorribilità - per i trattamenti funzionali allo sviluppo e al funzionamento di sistemi di IA – al legittimo interesse, già riconosciuto come possibile base giuridica dal Parere EDPB 28/2024.

L'ATTIVITÀ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

- Sanità: Garante privacy, sì all’uso dei recapiti telefonici per gli screening. Adottate apposite Linee guida a tutela dei pazienti – Comunicato del 18 febbraio 2026

Garante privacy, i diritti dei lavoratori nel nuovo episodio del podcast - 12 febbraio 2026

- Garante privacy e INL: Avviate ispezioni presso centri logistici Amazon. Sotto la lente l’utilizzo dei sistemi di videosorveglianza e il rispetto dei diritti dei lavoratori – Comunicato del 9 febbraio 2026

- Garlasco: Garante privacy, informare nel rispetto delle persone. A rischio la dignità della vittima, dei familiari e di chiunque sia coinvolto - Comunicato del 30 gennaio 2026

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002)
Direttore responsabile: Stefano Sabella
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751 - Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it