Provvedimento del 10 luglio 2025 [10162731]

Ascolta

Stampa Stampa

Trasforma contenuto in PDF

VEDI ANCHE Newsletter del 10 settembre 2025

[doc. web n. 10162731]

Provvedimento del 10 luglio 2025

Registro dei provvedimenti
n. 410 del 10 luglio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il dott. Claudio Filippi, segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale reggente ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l'avv. Guido Scorza;

PREMESSO

1. Introduzione

Con reclamo presentato ai sensi dell’art. 77 del Regolamento, il sig. XX ha lamentato che l’Asilo nido “La Combricola Dei Birichini Di Betty” di Rho (di seguito, l’”Asilo"), in fase d’iscrizione della propria figlia, avrebbe richiesto la presa visione e accettazione di un’informativa sul trattamento dei dati personali, recante la richiesta di un consenso riguardante la raccolta e l’utilizzo delle immagini della minore. Tale trattamento si intenderebbe “integralmente accettato dalla firma dell’informativa” e “il rifiuto di fornire i dati” comporterebbe “l’impossibilità per l’Asilo Nido di accogliere la richiesta di somministrazione del servizio”.

L’Asilo utilizzerebbe, inoltre, un sistema di videosorveglianza idoneo a riprendere il personale scolastico e i bambini durante lo svolgimento dell’attività scolastico-educativa.

2. L’attività istruttoria

In risposta ad una richiesta di informazioni dell’Autorità (prot. n. XX del XX), formulata ai sensi dell’art. 157 del Codice, l’Asilo, con nota del XX, cui si rinvia integralmente, ha dichiarato, in particolare, che:

- “non sussist[e] alcuna condizione che lega l'iscrizione all'utilizzo delle immagini dei minori. Infatti, è capitato che alcuni genitori abbiano negato il proprio consenso a qualsivoglia utilizzo dell'immagine del minore e tale diniego risulta espressamente dalle informative della privacy da loro firmate […] In tutti questi casi il minore è stato comunque ammesso e ciò comprova, dunque, la facoltatività del consenso all'utilizzo delle immagini del minore non costituendo in alcun modo motivo di non ammissione”;

- “quanto alla base giuridica, nel rispetto dell'art. 6 del [R]egolamento […], ricorre il consenso dell'interessato. In particolare, l'informativa della privacy che viene sottoposta ai genitori reca al punto 1) le finalità per cui viene richiesto il consenso all'utilizzo delle immagini dei bambini. Nello specifico si tratta di finalità didattiche, di divulgazione delle attività dell'asilo nido, con esposizione nei locali del nido, riunioni con i genitori, con pubblicazione/divulgazione su stampa/portale web e applicazioni per smartphone. Dunque i genitori, esprimendo il loro consenso liberamente (e si ribadisce che il diniego non costituisce motivo di non ammissione del minore dalla somministrazione dei servizi dell'Istituto), autorizzano l'utilizzo delle immagini dei bambini sul sito dell'asilo nido a fini pubblicitari e divulgativi dell'attività ivi svolta. Tutti i bambini ritratti nelle immagini pubblicate sono unicamente quelli i cui genitori hanno prestato il consenso”;

- “i bambini vengono divisi in gruppi di 8 componenti a seconda della fascia di età. Ogni genitore riceve un link attraverso il quale può connettersi a uno spazio virtuale appositamente creato su google photo e così prendere visione delle foto che ritraggono il proprio figlio intento nelle attività didattiche e ricreative. Pertanto le foto dei minori sono visibili unicamente ai genitori dei bambini appartenenti alla stessa bubble, ciò significa che, ad esempio, un genitore non può prendere visione delle foto concernenti una bubble in cui non è presente suo figlio. Non è dunque possibile l'accesso allo spazio virtuale da parte di altri soggetti non legittimati, nel caso in cui ciò avvenisse il sistema predisposto lo bloccherebbe immediatamente”;

- “[l’impianto di videosorveglianza è stato installato] grazie a fondi pubblici disposti con legge regionale della Regione Lombardia di cui al bando previsto con decreto n. 8788/19 […] La finalità primaria, pertanto, è quella di prevenire abusi, maltrattamenti e qualsiasi altro reato in danno di minori. Più latamente, la videosorveglianza permette altresì una miglior tutela della sicurezza dei luoghi di lavoro e del patrimonio aziendale. Le telecamere installate consentono un angolo di ripresa che inquadra esclusivamente le parti dei locali più esposte a uno dei rischi succitati. Il sistema permette sia una registrazione h24, sia un controllo da remoto in tempo reale, controllo previsto solo in casi eccezionali e motivati. Gli unici soggetti legittimati ad accedere alle immagini di videosorveglianza e quindi in possesso della relativa password di accesso sono la sottoscritta, in qualità di responsabile del trattamento dei dati, e la signora […] quale rappresentante sindacale. Le immagini sono conservate per un massimo di 72 ore, scadute le quali il sistema provvede alla cancellazione automatica”.

In risposta a una richiesta di ulteriori informazioni inviata dall’Autorità (prot. n. XX del XX), l’Asilo, con nota del XX, cui si rinvia integralmente, ha dichiarato, in particolare, che:

- “si ammette come la formulazione dell'informativa privacy fornita ai genitori intenzionati a iscrivere i propri figli all'asilo nido de quo sia equivoca o, meglio, esprima una condizione di accesso che, in realtà, non è tale nella comprovata prassi dell'asilo. […] Si sta, pertanto, predisponendo un nuovo modello”;

- “nella planimetria allegata alla precedente memoria le telecamere sono segnate con un vistoso punto nero. Nello specifico, ve ne sono due nelle aree 9 e 10, ossia nei bagni dei bambini. Al riguardo si precisa che viene ripresa esclusivamente la zona dove ci sono i lavandini e in alcun modo la parte dedicata all'espletamento dei bisogni fisiologici degli stessi. Altre quattro sono posizionate nel refettorio e nella "zona riposo e morbido" (area 11), una è nella zona del guardaroba (sempre area 11) mentre una riprende l'esterno dell'asilo. Pertanto, esse sono state installate esclusivamente nei luoghi ove i bambini passano le loro giornate e dove quindi si rende necessario tutelarli da possibili reati ai loro danni. Nessuna telecamera riprende spazi riservati esclusivamente ai dipendenti. la finalità stessa dell'impianto è quella di garantire la tutela e il benessere dei bambini iscritti all'asilo nido ed è perciò inevitabilmente consequenziale che le apparecchiature siano presenti nei refettori, nel guardaroba e nell'anticamera del bagno, atteso che in tali zone i minori sono spesso in presenza del personale della struttura e quindi potenzialmente esposti a pericoli”;

- “[…] l'intero impianto è stato installato mediante fondi pubblici regionali stanzianti con il Decreto 8788 del 18.6.2019 della Regione Lombardia e secondo le regole ivi previste. L'oggetto del Decreto è proprio "iniziative a favore dei minori che frequentano i nidi e i micro nidi" ed è applicativo della Legge Regionale n. 18 del 6.12.2018 il cui art. […] 3 […] stabiliva proprio che la Regione Lombardia prevede […] la […] erogazione di fondi per installare un sistema di videosorveglianza a circuito chiuso negli asili nido e micro nido previo accordo con le rappresentanze sindacali. […]; è irrilevante, dunque, che [le telecamere] siano presenti in aree caratterizzate da maggiore o minore aspettativa di privacy, atteso che le finalità dell'impianto e della stessa Legge Regionale così come del Decreto applicativo sono preminenti rispetto a qualsiasi altro interesse e tale valutazione è stata compiuta direttamente dalla Legge sicché è superflua qualsiasi valutazione di necessità o proporzionalità che in questa sede il Garante sta richiedendo […]";

- “si allegano foto dei cartelli affissi nei pressi delle telecamere, specificando che la data di affissione coincide con la consegna e messa in funzione dell'impianto, ossia il XX come da certificazione di cui già si è detto […]. Copia dell'informativa completa è detenuta dalla [Dirigente e legale rappresentante dell’Asilo] […] i cui recapiti sono inseriti nell'informativa privacy di primo livello, pertanto, chiunque avesse necessità di visionarla può contattare la medesima e gli verrà fornita […]. [È stata fornita una] informativa […] ai dipendenti […]. Come si evince, si esclude qualsivoglia utilizzo delle immagini riprese dalle telecamere in eventuali procedimenti disciplinari e tale regola è stata, ad oggi, sempre rispettata”;

- “a tal proposito, giustamente il Garante ha rilevato una incongruenza fra il tempo di conservazione dichiarato in memoria (72 h) e quello contenuto nell'informativa privacy (48h). […] [I]l tempo di conservazione delle immagini è di 24 h, trascorse le quali le immagini vengono cancellate e sovrascritte”;

- “non si è proceduto a effettuare una valutazione di impatto sia perché la [Dirigente e legale rappresentante] è l'unica autorizzata ad accedere all'impianto di videosorveglianza disponendo, lei sola, delle chiavi informatiche di accesso, sia perché si ritiene superfluo operare una valutazione che è già stata operata in principio dalla normativa applicabile che ha ritenuto preminente la tutela del benessere psicofisico del minore rispetto a qualsiasi altro interesse, tutela da attuarsi proprio tramite l'installazione delle telecamere de quibus con le caratteristiche di cui alla relazione tecnica allegata alla precedente memoria”;

- “non si vede la necessità né l'utilità di valutare l'impatto sulla protezione dei datti quando il bilanciamento dei diversi interessi in gioco è già stato effettuato dalla legge e con esiti conformi alla misura adottata dall'asilo (e da tantissimi altri asili nido e micro nido in tutta la Regione Lombardia)”;

- “[…] il responsabile della protezione dei dati è la [Dirigente e legale rappresentate dell’Asilo] […]”.

Inoltre, da verifiche effettuate d’ufficio dall’Autorità (cfr. relazione di servizio del XX, prot. n. XX della medesima data, in atti), è stato accertato che sul sito web dell’Asilo (XX) sono pubblicate numerose immagini di minori ritratti in diversi momenti e fasi della “giornata tipo”, anche in contesti particolarmente delicati (sonno, mensa, utilizzo dei servizi igienici, cambio pannolino, massaggi, etc.).

Con riferimento alla condotta dell’Asilo, l’Ufficio, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, ha notificato allo stesso, in data XX (prot. n. XX), ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento per aver agito:

a) con riferimento al trattamento dei dati personali relativo alle foto dei minori:

- in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di un idoneo presupposto di liceità, in violazione degli artt. 5, par. 1, lett. a), 6, parr. 1-3 e 7, par. 2 del Regolamento nonché dell’art. 2-ter del Codice;

- fornendo agli interessati un’inidonea informativa sul trattamento dei dati personali, in maniera non conforme al principio di “liceità, corretta e trasparenza” e in violazione degli artt. 5, par. 1, lett. a), 12 e 13 del Regolamento;

b) in relazione al trattamento di dati personali dei minori e dei lavoratori mediante dispositivi video:

- in maniera non conforme ai principi di “liceità, correttezza e trasparenza” e in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento;

- omettendo di fornire un’idonea informativa sul trattamento dei dati personali, in violazione degli artt. 5, par. 1, lett. a), 12 e 13 del Regolamento;

- omettendo di redigere una valutazione d’impatto sulla protezione dei dati prima di dare avvio al trattamento, in violazione dell’art. 35 del Regolamento;

c) avendo designato quale Responsabile della protezione dei dati (RPD) il Dirigente scolastico dell’Asilo e non avendo provveduto a effettuare la comunicazione dei dati di contatto del RPD all’Autorità e a rendere noti i dati di contatto dello stesso agli interessati, in violazione degli artt. 37, par. 7, e 38, par. 6, del Regolamento.

L’Asilo, con l’atto sopra citato, è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla legge 24 novembre 1981, n. 689).

Con nota del XX, cui si rinvia integralmente, l’Asilo ha dichiarato, in particolare, di aver “compreso le violazioni notificate e adottato le seguenti urgenti iniziative: Con riferimento ai trattamenti dei dati personali relativo alle foto dei minori, l'Asilo si è attivato per eliminare le foto attualmente pubblicate sul proprio sito web […] Compatibilmente con la disponibilità dei fornitori di servizi IT che è necessario coinvolgere per le attività tecniche e il contestuale periodo di vacanze pasquali che non permette la massima tempestività, l'obiettivo è di interrompere la diffusione non conforme delle immagini nel più breve tempo possibile. […] Con riferimento al trattamento dei dati personali dei minori e dei lavoratori mediante dispositivi video, si è provveduto in data 16 aprile scorso allo spegnimento totale dell'impianto di videosorveglianza e alla disabilitazione dei due profili di accesso alle immagini fino a quella data esistenti. […] Con riferimento alla designazione del […] RPD […], tema sul quale sono stati commessi in precedenza alcuni errori di interpretazione e comunicazione, l'Asilo si è rivolto ad un professionista con comprovata esperienza nel settore, che potesse supportare l'ente in modo più adeguato sia nella gestione del presente reclamo, sia nelle successive azioni di miglioramento da intraprendere e portare a termine. Tale professionista sarà designato entro il 24 aprile p.v. quale [RPD] […]. Si anticipa infine che l'Asilo ha avviato tutte le attività necessarie per revisionare e adeguare le proprie procedure e la relativa documentazione ai principi del Regolamento […]”.

Nel corso dell’audizione tenutasi in data XX (v. verbale prot. n. XX della medesima data, in atti), l’Asilo ha dichiarato, in particolare, che “è stato temporaneamente sospeso il sito web dell’Asilo, cessando la pubblicazione online delle foto di minori identificabili; […]; sono, inoltre, state redatte delle linee guida per valutare le fotografie dei minori sotto il profilo della protezione dei dati prima dell’eventuale autorizzazione alla loro pubblicazione sul sito web dell’Asilo o su altre pagine online; quanto alla videosorveglianza, l’Asilo ha ritenuto in buona fede che un impianto finanziato dalla Regione potesse considerarsi a norma; in ogni caso, l’Asilo ha provveduto alla disattivazione di tale impianto, in attesa di riconfigurare lo stesso, anche per quanto riguarda le aree che potranno essere effettivamente sottoposte a videosorveglianza e gli orari in cui le telecamere potranno essere attivate, nel rispetto della disciplina applicabile a tutela sia dei minori sia dei lavoratori”.

In data XX l’Asilo ha fatto pervenire ulteriori memorie integrative specificando, in particolare, che:

- “È stato intrapreso un processo di revisione e rimozione sistematica di tutte le immagini pubblicate sul sito istituzionale e sulla scheda Google Business che possano consentire l'identificazione di minori. Attualmente, una parte significativa è già stata rimossa e il completamento è previsto entro tempi tecnici compatibili con le attività in corso, incluso l’affidamento a professionisti per la ristrutturazione del sito web”;

- “Per le immagini online, al fine di adottare la massima precauzione e tutela, è in corso la realizzazione all’oscuramento dei volti dei minori mediante tecniche conformi ai principi di anonimizzazione e minimizzazione di cui all’art. 5, par. 1, lett. c) [del Regolamento]”;

- “Sono in fase di individuazione professionisti incaricati della richiesta di rimozione e aggiornamento delle anteprime nei risultati dei motori di ricerca, ai fini dell’applicazione del diritto all’oblio e della tutela dell’interesse superiore del minore”;

- [con riferimento al sistema di videosorveglianza …] A titolo prudenziale, l’intero impianto è stato disattivato per evitare ulteriori trattamenti potenzialmente illeciti. Contestualmente, è stata avviata una DPIA ai sensi dell’art. 35 [del Regolamento] per valutare i rischi e definire misure tecniche e organizzative adeguate”;

- […con riferimento alla] valutazione del rischio (DPIA): [la stessa è] in corso: • mappatura completa dei dispositivi; • rimozione di telecamere non indispensabili o collocate in aree sensibili (es. spogliatoi); • verifica della proporzionalità del trattamento rispetto alle finalità dichiarate, in aderenza ai principi di necessità, proporzionalità e liceità”;

- “[l’Asilo ha provveduto alla] apposizione di nuove informative sintetiche in prossimità delle telecamere e di informativa estesa presso la bacheca delle comunicazioni”;

- “il Titolare sta procedendo ad una revisione integrale della documentazione privacy, tra cui: […] informative ex artt. 13 e 14 [del Regolamento], con esplicitazione delle basi giuridiche […]”.

3. Esito dell’attività istruttoria

3.1. Il trattamento delle foto dei minori

Nel corso dell’istruttoria è emerso che l’Asilo ha raccolto le immagini dei minori iscritti sulla base del consenso prestato dai genitori, che i minori vengono divisi in gruppi di n. otto componenti a seconda della fascia di età e che ciascun genitore riceve un link attraverso il quale può connettersi a uno spazio virtuale appositamente creato su “Google Photo” e prendere visione delle foto che ritraggono il proprio figlio intento nelle attività didattiche e ricreative. Pertanto le foto dei minori sono visibili a tutti i genitori dei bambini appartenenti allo stesso gruppo (c.d. “bubble”).

È stato, inoltre, accertato che sul sito istituzionale dell’Asilo sono state pubblicate numerose immagini di minori in diversi momenti e fasi della “giornata tipo”, anche in contesti particolarmente delicati (sonno, mensa, utilizzo dei servizi igienici, cambio pannolino, massaggi infantili) e che sul profilo di “Google Maps” dell’Asilo risultano pubblicate numerose immagini di minori accessibili a chiunque e senza alcuna limitazione nell’utilizzo (https:/...).

3.1.1 La liceità del trattamento

Il quadro normativo in materia di protezione dei dati personali non prevede un diverso regime applicabile in ambito educativo ai soggetti pubblici e a quelli privati, ma tiene conto del solo profilo funzionale nel trattamento dei dati, per cui, stante il perseguimento di un interesse pubblico sotteso all’offerta dei servizi educativi che possono essere gestiti direttamente dagli enti locali o da soggetti privati accreditati o autorizzati (v. artt. 2, 3, 30, 31, 33 e 34 Cost., nonché artt. 1 e 7 del d. lgs. 13 aprile 2017, n. 65), i trattamenti di dati personali, posti in essere nell’ambito dell’erogazione dei servizi educativi, possono considerarsi leciti se necessari “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri”, dovendo i relativi trattamenti - incluse le operazioni di “comunicazione” o “diffusione” di dati personali - essere previsti dal diritto dell’Unione o dello Stato membro (art. 6, par. 1, lett. c) ed e), parr. 2 e 3 del Regolamento; art. 2-ter del Codice); tale base giuridica, perimetrando l’ambito del trattamento consentito, stabilisce presupposti, limiti e condizioni dello stesso, e deve essere idonea in termini di qualità di fonte, contenuto essenziale del diritto e di proporzionalità dell’“obiettivo di interesse pubblico [perseguito]” (art. 6, par. 3, del Regolamento).

Gli asili nido e i micronidi “che accolgono utenti di età compresa tra i tre e i trentasei mesi e che collaborano con le famiglie alla cura e all’educazione, operando in continuità con la scuola dell’infanzia” (art. 2, c. 1 del d.lgs. 65/17) rientrano, infatti, nei servizi educativi per l’infanzia costituenti il “sistema integrato di educazione e di istruzione”, sul quale il “Ministero dell'istruzione, dell’università e della ricerca, nel rispetto delle funzioni e dei compiti delle Regioni, delle Province autonome di Trento e di Bolzano e degli Enti locali” ha funzione di indirizzo, coordinamento e promozione su tutto il territorio nazionale (art. 1, cc. 2 e 4 del d.lgs. 65/17).

In tale quadro, i minori, in considerazione della loro particolare “vulnerabilità”, meritano una specifica protezione allorquando siano trattati loro dati personali, stante la mancata o ridotta consapevolezza in merito ai rischi, alle conseguenze, nonché ai loro diritti in relazione al trattamento dei dati (cfr. cons. 38 e 75 del Regolamento). In particolare, la diffusione online delle immagini di minori, in special modo quando si tratta di neonati o infanti e, quindi, di soggetti particolarmente vulnerabili, può esporre gli interessati a rischi significativi, derivanti, in particolare, dal possibile uso illecito dei dati da parte di terzi nonché dalle possibili ripercussioni nella futura vita sociale e sfera relazionale.

Come già recentemente sostenuto dall’Autorità, il titolare del trattamento, prima di porre in essere una diffusione di dati personali, dovrebbe attentamente ponderare i rischi per la libertà e i diritti degli interessati giacché, una volta pubblicati, i dati rischiano di rimanere in rete per un tempo indefinito e possono essere utilizzati, anche incrociandoli con altre informazioni presenti sul web, da chiunque, potendo comportare effetti pregiudizievoli per gli interessati, con conseguenze talvolta irreparabili (cfr. provv. 13 marzo 2025 n. 134 doc. web n. 10127792; provv. 26 settembre 2024, doc. web n. 10076453; cfr. “Working Document 1/2008 on the protection of children's personal data”, adottato dal Gruppo di Lavoro Art. 29 il 18 febbraio 2018, WP 147, sez. III, par. 2, punto d), ove si evidenzia che le scuole devono prestare particolare attenzione alla pubblicazione di foto di alunni su Internet, valutando volta per volta il tipo di foto, la pertinenza della pubblicazione e lo scopo che si intende raggiungere).

Pertanto, la pubblicazione sul sito web istituzionale dell’Asilo di numerosissime immagini di minori, anche ritratti in situazioni, momenti e attività caratterizzati da una particolare delicatezza o per propria natura destinati a rimanere riservati a tutela della dignità dei bambini, si pone in contrasto non solo con la disciplina in materia di protezione dei dati personali, ma più radicalmente con l’assetto, anche a livello costituzionale, dei diritti fondamentali della persona. La lesività della condotta in questione è, peraltro, ulteriormente amplificata dagli elevati rischi connessi alla maggiore esposizione delle immagini sul web e della riutilizzabilità delle stesse da parte di terzi, anche per possibili fini illeciti o reati a danno di minori. Ciò non consente, pertanto, di ricondurre il trattamento posto in essere nel caso di specie alle finalità di interesse pubblico che l’Asilo è chiamato a perseguire.

Il trattamento in questione non può, come sostenuto dall’Asilo nel corso dell’istruttoria, trovare fondamento neanche nel consenso reso dai soggetti esercenti la responsabilità genitoriale. Il potere-dovere di questi ultimi di prestare o negare il consenso al trattamento dei dati personali del minore, infatti, incontra il limite del perseguimento del superiore interesse del minore medesimo, superiore interesse certamente incompatibile con la pubblicazione delle immagini oggetto del presente procedimento per finalità qualificate dal titolare del trattamento come “didattiche” ma, più verosimilmente, da considerarsi promozionali.

Non corrisponde, infatti, al superiore interesse del minore che fotografie che lo ritraggono in momenti particolarmente intimi della sua esperienza scolastica siano pubblicate su piattaforme a accesso incondizionato allo scopo di promuovere l’attività del titolare del trattamento.
In tale contesto neppure l’eventuale consenso di entrambi i genitori può considerarsi condizione legittimante il trattamento di cui si discute.

Impregiudicate le valutazioni sopra espresse, l’Asilo non ha, peraltro, nemmeno soddisfatto le condizioni di validità del consenso previste dalla normativa in materia di protezione dei dati (cfr. art. 7, par. 1, del Regolamento, ai sensi del quale, “qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali”). Affinché possa considerarsi valido, il consenso dell’interessato deve, infatti, consistere in una “manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento” (art. 4, par. 1, n. 11) del Regolamento).

Nel caso di specie, la manifestazione di volontà degli esercenti la responsabilità genitoriale risulta, invece, viziata dalla circostanza che, come sopra evidenziato, nel modulo di informativa e consenso si afferma che, ancorché “il conferimento dei dati è di natura facoltativa, “il rifiuto di fornire i dati previsti al punto 1”, tra cui figurano “le foto del bambino(a)”, “comporta l’impossibilità per l’Asilo Nido di accogliere la richiesta di somministrazione del servizio”. La circostanza che l’Asilo abbia prospettato il conferimento delle immagini dei minori e conseguentemente il consenso al trattamento degli stessi quale condizione per poter usufruire dei propri servizi costituisce un ulteriore elemento che preclude la possibilità di considerare il consenso dei genitori come liberamente prestato.

Né il consenso può considerarsi in concreto adeguatamente informato, atteso che nel predetto modulo si fa generico riferimento alla circostanza che “le immagini del bambino(a) possono essere utilizzate per scopi didattici e di divulgazione delle attività dell’Asilo Nido, con esposizione nei locali del nido, riunioni con i genitori, con pubblicazione/divulgazione su stampa/portale web e applicazioni per smartphone”. A fronte della diffusione online da parte dell’Asilo di immagini dei minori ripresi in situazioni e contesti molto delicati, tale formulazione generica dell’informativa non può ritenersi idonea a rendere effettivamente edotti i genitori dell’utilizzo che l’Asilo ha effettivamente fatto delle immagini dei bambini, potendo ingenerare la convinzione che i propri figli sarebbero stati ritratti per documentare generiche attività di gioco o limitati momenti della vita di comunità. Nell’informativa non vi è, inoltre, cenno alla comunicazione delle immagini dei minori agli altri genitori appartenenti al medesimo gruppo, anche mediante l’utilizzo di piattaforme in cloud, nonché alla pubblicazione delle immagini sul profilo di Google Maps dell’Asilo.

Difetta, altresì, il requisito della granularità del consenso. I genitori sono stati, infatti, chiamati ad esprimere il “consenso e autorizza[re] al trattamento dei dati personali” mediante apposizione di un'unica firma, senza avere dunque la possibilità di decidere se esprimere o meno il consenso al trattamento in relazione a specifiche e distinte operazioni e finalità di trattamento (comunicazione delle immagini agli altri genitori appartenenti alla medesima cerchia, anche mediante piattaforme in cloud; diffusione, anche online, delle immagini; trattamento dei dati relativi allo stato di salute; ecc.).

Si osserva, infine, che con il modulo in questione viene raccolto il consenso al trattamento da parte di un solo genitore. In disparte dalle predette considerazioni in merito all’effettiva possibilità per gli esercenti la responsabilità genitoriale di autorizzare la diffusione online di immagini lesive della dignità dei minori e capaci di esporre gli stessi a considerevoli rischi, anche connessi a potenziali reati (cfr. gli artt. 16 e 28, comma 2, della Convenzione dell’ONU sui diritti dell’infanzia del 20 novembre 1989, ai sensi dei quali “nessun fanciullo sarà oggetto di interferenze arbitrarie o illegali nella sua vita privata, nella sua famiglia, nel suo domicilio o nella sua corrispondenza, e neppure di affronti illegali al suo onore e alla sua reputazione” e la disciplina scolastica deve essere applicata “in maniera compatibile con la dignità del fanciullo in quanto essere umano”; v. anche Gruppo di Lavoro Art. 29, “Working Document 1/2008 on the protection of children's personal data”, cit., sez. II, punto 4, ove si evidenzia che l'interesse superiore del minore può essere tale da conferirgli diritti relativi alla protezione dei dati che possono prevalere sulla volontà degli esercenti la responsabilità genitoriale), deve, in ogni caso, rilevarsi che il trattamento di dati personali che consiste nella diffusione online di immagini di minori, nei casi in cui lo stesso sia ammissibile, richiede sempre il consenso di entrambi i genitori (cfr. da ultimo, ancorché in relazione alla diffusione di immagini di minori su social networks, provv. 13 novembre 2024, n. 681, doc. web n. 10076481 e la giurisprudenza ivi richiamata; v. anche Newsletter del 3 dicembre 2024, doc. web n. 10076607).

Alla luce delle considerazioni che precedono, deve concludersi che l’Asilo ha posto in essere un trattamento dei dati personali in assenza di un idoneo presupposto di liceità, in violazione degli artt. 5, par. 1, lett. a), 6, parr. 1-3 e 7, par. 2, del Regolamento e 2-ter del Codice.

3.1.2 La trasparenza nei confronti degli interessati

Con riferimento al diverso profilo relativo alle informazioni rese agli esercenti la responsabilità genitoriale in relazione al trattamento delle immagini dei minori, risulta che, almeno fino all’epoca dei fatti oggetto di reclamo, non sono state fornite agli interessati le informazioni necessarie ad assicurare un trattamento corretto e trasparente.

Al riguardo si rappresenta che, nel rispetto del principio di “liceità, correttezza e trasparenza”, il titolare del trattamento deve adottare misure appropriate per fornire all'interessato, prima di iniziare il trattamento, tutte le informazioni richieste dal Regolamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (artt. 5, par. 1, lett. a), 12 e 13 del Regolamento).

L’informativa resa dall’Asilo agli interessati all’epoca dei fatti non risulta pienamente conforme ai requisiti previsti dal Regolamento, atteso che:

• indica, al punto 6), in maniera contraddittoria che “il Responsabile della protezione dei dati è la [Dirigente e legale rappresentate dell’Asilo]. Non è prevista la figura del Responsabile della protezione dei dati (DPO), ai sensi dell’art. 37 del Regolamento” non consentendo dunque di capire se l’Asilo abbia effettivamente designato un RPD e, in tal caso, quali siano i dati di contatto dello stesso (art. 13, par. 1, lett. b), del Regolamento);

• indica una pluralità di finalità perseguite senza specificare le relative basi giuridiche applicabili (art. 13, par. 1, lett. c), del Regolamento);

• come sopra detto, non specifica la tipologia di immagini del minore oggetto di comunicazione e diffusione, omettendo di indicare gli specifici contesti cui lo stesso potrebbe essere ripreso, e non illustra chiaramente l’ambito di comunicazione di tali immagini all’interno della cerchia dei genitori di ciascuna classe, anche mediante l’utilizzo di piattaforme di cloud;

• prevede, al punto 4) che “il rifiuto di fornire i dati previsti al punto 1 […ove è previsto l’utilizzo delle immagini del bambino], comporta l’impossibilità per l’Asilo Nido di accogliere la richiesta di somministrazione del servizio”, differentemente da quanto dichiarato da l’Asilo nel riscontro all’Autorità in merito alla facoltatività di tale consenso (art. 13, par. 1, lett. c), del Regolamento);

• non sono specificati i tempi di conservazione dei dati dei minori (es. foto, anagrafica, obblighi vaccinali) ad eccezione dei tempi di conservazione delle immagini raccolte mediante il sistema di videosorveglianza, peraltro quantificati erroneamente in 48 ore (art. 13, par. 2, lett. a), del Regolamento).

Risulta, pertanto, accertato che l’Asilo ha omesso di fornire agli interessati un’idonea informativa sul trattamento dei dati personali, agendo in maniera non conforme al principio di “liceità, corretta e trasparenza”, in violazione degli artt. 5, par. 1, lett. a), 12, par. 1, e 13, parr. 1, lett. b) e c), e 2, lett. a), del Regolamento.

3.2. Il trattamento di dati personali mediante dispositivi video nei luoghi in cui si svolge l’attività educativa, quale attività lavorativa

Nel corso dell’istruttoria è stato accertato che l’Asilo si è dotato, a partire dal XX, di un sistema di videosorveglianza che raccoglie immagini dei minori, del personale educativo, nonché di soggetti terzi (ad esempio, fornitori, genitori, visitatori).

Le telecamere erano operative durante l’orario in cui era offerto il servizio educativo e in diversi locali dell’Asilo, inclusi i bagni (limitatamente all’area in cui sono presenti i lavandini), il refettorio, la "zona riposo e morbido", il guardaroba, oltre ad una parte esterna della struttura, ritraendo, quindi, il personale dell’Asilo, inclusi gli educatori, nello svolgimento della propria attività lavorativa, connotata da una peculiare dimensione, anche relazionale, con i minori affidati alle loro cure.

L’impiego dei predetti dispositivi video da parte dell’Asilo non risulta, tuttavia, conforme alla disciplina in materia di protezione dei dati personali, come di seguito illustrato.

3.2.1 La liceità del trattamento

Come costantemente ribadito nei provvedimenti del Garante, i trattamenti conseguenti all’impiego degli strumenti tecnologici nei luoghi ove si svolge anche l’attività lavorativa, come nel caso di specie, trovano la propria base giuridica nella disciplina di settore di cui all’art. 4 della l. n. 300/1970. Tale disposizione perimetra, infatti, in modo uniforme a livello nazionale, l’ambito del trattamento consentito in ogni contesto lavorativo (pubblico e privato) e costituisce nell’ordinamento interno una disposizione più specifica e di maggiore garanzia di cui all’art. 88 del Regolamento, la cui osservanza - per effetto del rinvio contenuto nel Codice alle preesistenti disposizioni nazionali di settore che tutelano la dignità delle persone sul luogo di lavoro, con particolare riferimento ai possibili controlli da parte del datore di lavoro (art. 114 “Garanzie in materia di controllo a distanza”) - è condizione di liceità del trattamento (v. art. 5, par.1, lett. a) e 6, par. 1, lett. c) del Regolamento; cfr. provv.ti 12 dicembre 2024, n. 772, doc. web n. 10107146; 1° dicembre 2022, n. 409, doc. web n. 9833530; v. anche par. 4.1 del “Provvedimento in materia di videosorveglianza” dell’8 aprile 2010, doc. web n. 1712680 e, da ultimo, la FAQ n. 9 del Garante in materia di videosorveglianza, del 3 dicembre 2020, doc. web n. 9496574 e le numerose decisioni del Garante riferite a casi concreti).

L’art. 4, comma 1, dello Statuto dei Lavoratori stabilisce, infatti, che “gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali […]. In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell'Ispettorato nazionale del lavoro o, in alternativa, […] della sede centrale dell'Ispettorato nazionale del lavoro”.

Anche la giurisprudenza della Corte europea dei diritti dell’uomo, nel caso Antovic e Mirković v. Montenegro (Application n. 70838/13 del 28.11.2017), ha stabilito che il rispetto della “vita privata” deve essere esteso anche ai luoghi di lavoro pubblici (nel caso di specie, le aule universitarie), evidenziando che la videosorveglianza sul posto di lavoro pubblico può essere giustificata solo nel rispetto delle garanzie previste dalla legge nazionale applicabile, in mancanza delle quali costituisce un'interferenza illecita nella vita privata del dipendente, ai sensi dell'art. 8, par. 2, della CEDU.

Pertanto, il rispetto del citato art. 4, comma 1, dello Statuto dei Lavoratori anche per effetto del rinvio ad esso contenuto nell’art. 114 del Codice, costituisce condizione di liceità del trattamento dei dati personali (cfr., da ultimo, con riguardo al ricorso alla videosorveglianza sui luoghi di lavoro, provv.ti 11 aprile 2024, n. 234, doc. web n. 10013356; 16 novembre 2023, n. 578, doc. web n. 9963486; 16 settembre 2021, n. 331, doc. web n. 9719768; 11 marzo 2021, n. 90, doc. web n. 9582791; 5 marzo 2020, n. 53, doc. web n. 9433080; 19 settembre 2019, n. 167, doc. web n. 9147290; v., a livello europeo, le indicazioni contenute nelle citate “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, cit., spec. par. 11, nonché le precedenti indicazioni del Gruppo di Lavoro Articolo 29 nel “Parere 2/2017 sul trattamento dei dati sul posto di lavoro”, WP 249).

Ciò premesso, si osserva che l’Asilo ha rappresentato che il sistema di videosorveglianza in questione è stata installato e attivato sulla base di una normativa regionale che prevede finanziamenti destinati agli asili nido e ai micro nidi in tale ambito. Tale normativa regionale si limita, tuttavia, a prevedere l’erogazione di finanziamenti, ma non costituisce di per sé la base giuridica del trattamento, non disciplinando lo stesso e non avendo i requisiti di cui agli artt. 6, par. 1, lett. e), e parr. 2 e 3 del Regolamento, nonché 2-ter del Codice. La base giuridica del trattamento deve, infatti, essere “idonea” anche alla luce dell’assetto delle fonti dell’“ordinamento costituzionale” dello Stato membro (v. cons. 41 del Regolamento; v. Corte Cost. sent. n. 271/2005, in base alla quale la disciplina di protezione dei dati personali rientra fra la materia di competenza esclusiva statale riferita all’“ordinamento civile”). Più di recente, la Corte Cost., in linea di continuità con i propri precedenti, ha evidenziato, in particolare, l’invasività dell’impiego di sistemi di videosorveglianza in contesti particolarmente delicati - vale a dire le strutture socio assistenziali - che possono comportare, non diversamente che negli asili nido, “inevitabili ricadute sulla riservatezza e sulla dignità di persone fragili”, nonché “un controllo sull’attività lavorativa del personale operante all’interno delle strutture […] e di eventuali lavoratori esterni, la cui attività si svolge, in tutto o in parte, presso le strutture medesime”, evidenziando, altresì, come in tali contesti “[…]la complessità e ampiezza dei profili implicati nel trattamento dei dati personali […] richied[e] delicati bilanciamenti fra diritti spesso di rango inviolabile” (sent. n. 69/2024, relativa a una legge regionale che intendeva prevenire e contrastare condotte di maltrattamento o di abuso, anche di natura psicologica, in danno di anziani e persone con disabilità nell’ambito delle strutture socio-sanitarie e socio-assistenziali a carattere residenziale, semi-residenziale o diurno, mediante l’installazione di sistemi di videosorveglianza).

Alla luce di tali considerazioni, i trattamenti posti in essere dall’Asilo non possono essere ricondotti alle finalità richiamate nella disciplina di settore in materia di impiego di strumenti tecnologici sul luogo di lavoro, concretizzandosi, nel caso di specie, un monitoraggio diretto delle modalità con le quali il personale svolge l’attività lavorativa, al fine di prevenire e accertare la commissione di eventuali reati.

Tale obiettivo non risulta, infatti, riconducibile ad alcuna delle tassative finalità selezionate dal legislatore e sopra richiamate (“organizzative e produttive", "di sicurezza del lavoro" e "di tutela del patrimonio aziendale”), atteso che il controllo a distanza dell’attività lavorativa è consentito dalla legge, nel rispetto delle condizioni di garanzia ivi previste, solo incidentalmente, ossia in occasione del perseguimento di tali legittime finalità, così assumendo un carattere tipicamente indiretto e preterintenzionale. Tale principio risulta peraltro confermato dalla giurisprudenza della Corte di Cassazione (cfr. Cassazione penale, III sez., n. 22148/2017, nella parte in cui richiama l’orientamento, “pienamente valido anche a seguito della novella di cui al d.lg. 14 settembre 2015, n. 151, art. 23”, in base al quale “le apparecchiature finalizzate al mero controllo a distanza della prestazione lavorativa [debbano essere] assolutamente vietate […per] contrasto con i principi della Costituzione”). Ciò comporta che il perseguimento della predetta finalità di controllo diretto sulle modalità di esecuzione della prestazione lavorativa, nella prospettiva di prevenire e accertare la commissione di possibili reati, non è ammissibile nell’ordinamento neppure in presenza di un accordo con le organizzazioni sindacali, trattandosi di una finalità che si colloca al di fuori della cornice di garanzia delineata dalle disposizioni di settore e, più radicalmente, dall’assetto costituzionale interno, come evidenziato dalla giurisprudenza di legittimità sopra richiamata (cfr., al riguardo, per analoghe considerazioni, provv. 13 marzo 2025, n. 135, doc. web n. 10128005; cfr. Newsletter dell’8 maggio 2025, doc. web n. 10129281; v. anche le circolari dell’Ispettorato Nazionale del Lavoro n. 4/2017 e 25 settembre 2024, prot. n. 7020, ove si ribadisce che l’impiego di sistemi tecnologici può comportare solo un controllo indiretto e preterintenzionale nel perseguimento delle tassative finalità previste dall’art. 4, comma 1, della l. n. 300/1970).

Peraltro, nella cornice dell’ordinamento interno, anche sul piano costituzionale, le finalità perseguite dall’Asilo attraverso il predetto impianto di videosorveglianza sono attribuite in via esclusiva a specifiche autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali (cfr., in relazione ai trattamenti di dati che ne conseguono, il d.lgs. 18 maggio 2018, n. 51), e non, invece, al datore di lavoro, che non può, pertanto, avviare siffatte iniziative all’interno della propria realtà organizzativa.

Proprio con riguardo alla videosorveglianza negli asili nido e nelle scuole dell'infanzia, nonché nelle strutture socio-sanitarie e socio-assistenziali per anziani e persone con disabilità, in occasione di un’audizione del Presidente di questa Autorità presso le Commissioni riunite I Affari costituzionali e XI Lavoro pubblico e privato della Camera dei Deputati, relativa un disegno di legge in tale ambito, ha chiarito che “il sistema di videosorveglianza proposto, […] pur realizzando un controllo, neppure preterintenzionale, dell’attività lavorativa (essendo oggetto della ripresa proprio la dinamica della relazione educativa o di cura), non persegue finalità interne al rapporto di lavoro, come nel paradigma classico dei controlli a distanza sull’attività lavorativa” e che “il carattere esterno al rapporto di lavoro della finalità perseguita da tale trattamento colloca, dunque, questa fattispecie al di fuori dell’alveo tradizionale già normato dall’articolo 4 dello Statuto dei lavoratori”; nella medesima audizione è stato, inoltre, messo in rilievo che “la garanzia della libertà di autodeterminazione del lavoratore è, peraltro, funzionale alla spontaneità che deve necessariamente caratterizzare prestazioni lavorative quali quelle di tipo formativo o assistenziale, la cui qualità potrebbe risultare pregiudicata dalla consapevolezza dell’interessato di essere sottoposto a una vigilanza costante, con implicazioni inevitabilmente negative sulla stessa relazione educativa o di cura”) (v. doc. web n. 9046262).

In tali termini si è espresso anche il Garante con propri provvedimenti (cfr., in particolare, provv.ti 1° dicembre 2022, n. 409, doc. web n.9833530; 28 ottobre 2021, n. 384, doc. web n. 9722661; e 16 novembre 2017, n. 479, doc. web n. 7355533; cfr. anche, ancorché con riguardo al differente contesto relativo all’installazione di dispositivi video in prossimità di sistemi di rilevazione delle presenze, il parere del Garante sullo schema di decreto del Presidente del Consiglio dei ministri concernente la disciplina di attuazione della disposizione di cui all’art. 2 della legge 19 giugno 2019, n. 56, provv. del 19 settembre 2019, n. 167, spec. punto 4.2, doc. web n. 9147290; cfr. anche il provvedimento in materia di videosorveglianza dell’8 aprile 2010, cit., par. 4.1, che, sebbene risalente al precedente quadro giuridico in materia di protezione dei dati, contiene indicazioni che possono ritenersi ancora valide: “nelle attività di sorveglianza occorre rispettare il divieto di controllo a distanza dell’attività lavorativa, pertanto è vietata l´installazione di apparecchiature specificatamente preordinate alla predetta finalità: non devono quindi essere effettuate riprese al fine di verificare l’osservanza dei doveri di diligenza stabiliti per il rispetto dell´orario di lavoro e la correttezza nell’esecuzione della prestazione lavorativa ad es. orientando la telecamera sul badge”).

Tale orientamento trova conferma anche nel quadro giuridico europeo e internazionale (cfr. Comitato europeo per la protezione dei dati, “Linee Guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, cit., par. 37, laddove è indicato che “nella maggior parte dei casi un dipendente sul luogo di lavoro non si aspetta di essere monitorato dal proprio datore di lavoro”; v. già Gruppo di Lavoro Art. 29, “Parere 2/2017 sul trattamento dei dati sul posto di lavoro”, adottato l’8 giugno 2017, WP 249; cfr. anche la Raccomandazione Consiglio di Europa 1° aprile 2015, CM/Rec (2015), par. 15.1, ove si afferma che “non dovrebbe essere consentito introdurre e utilizzare sistemi informativi e tecnologie aventi per scopo diretto e primario la sorveglianza dell’attività e del comportamento dei dipendenti”).

Deve poi osservarsi che, oltre a comportare un illecito controllo diretto a distanza sull’attività dei lavoratori, soggetti da considerarsi vulnerabili nel contesto lavorativo (cfr. cons. 75 e art. 88 del Regolamento e le “Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento "possa presentare un rischio elevato" ai sensi del Regolamento 2016/679”, WP 248 del 4 aprile 2017, che, tra le categorie di interessati vulnerabili, menzionano espressamente “i dipendenti”), l’impiego del sistema di videosorveglianza in questione comporta inevitabilmente, come detto, il trattamento di dati personali di altri soggetti particolarmente vulnerabili, ovvero i minori ospitati dall’Asilo., che, come già evidenziato nel par. 2.1.1, in quanto “persone fisiche vulnerabili” meritano “una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali” (cons. n. 38 del Regolamento; cfr. provv. 25 febbraio 2021, n. 74, doc. web n. 9710177; cfr. la richiamata audizione del Presidente del Garante del 2 ottobre 2018, ove si evidenzia la necessità di tutelare “il diritto alla protezione dei dati personali dei vari soggetti ripresi dal sistema di videosorveglianza. Non solo i lavoratori, dunque, ma anche gli stessi ospiti delle strutture educative o di cura […]”).

Alla luce delle considerazioni che precedono, deve ritenersi che il trattamento, posto in essere dall’Asilo mediante il sistema di videosorveglianza in questione, dei dati personali dei lavoratori e degli altri soggetti ripresi, inclusi i minori da esso ospitati, è stato posto in essere in maniera non conforme ai principi di “liceità, correttezza e trasparenza” nonché in assenza di un idoneo presupposto di liceità, in violazione degli artt. 5, par. 1, lett. a), e 6, atteso che la predetta condotta si colloca al di fuori del quadro di liceità previsto dall’art. 114 del Codice (cfr. art. 88 del Regolamento).

3.2.2 L’informativa sul trattamento dei dati con riguardo all’impiego del sistema di videosorveglianza

Allorquando siano impiegati dispositivi video, il titolare del trattamento, oltre a rendere l’informativa di primo livello mediante apposizione di segnaletica di avvertimento in prossimità della zona sottoposta a videosorveglianza, deve fornire agli interessati anche delle “informazioni di secondo livello”, che devono “contenere tutti gli elementi obbligatori a norma dell’articolo 13 del [Regolamento]” ed “essere facilmente accessibili per l’interessato, ad esempio attraverso un pagina informativa completa messa a disposizione in uno snodo centrale […] o affissa in un luogo di facile accesso” (“Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, cit., in particolare par. 7; ma si veda già il “Provvedimento in materia di videosorveglianza” del Garante dell’8 aprile 2010, cit., in particolare par. 3.1; da ultimo, v. la FAQ n. 4 del Garante in materia di videosorveglianza, cit.; cfr., altresì, provv.ti 19 dicembre 2024, n. 805, doc. web n. 10107263; 11 gennaio 2024, n. 5, doc. web n. 9977020; 20 ottobre 2022, n. 341, doc. web n. 9831369; 28 aprile 2022, n. 162, doc. web n. 9777974, 7 aprile 2022, n. 119, doc. web n. 9773950, 16 settembre 2021, n. 327, doc. web n. 9705650 e 11 marzo 2021, n. 90, doc. web n. 9582791).

Le informazioni di primo livello (cartello di avvertimento) “dovrebbero comunicare i dati più importanti, ad esempio le finalità del trattamento, l’identità del titolare del trattamento e l’esistenza dei diritti dell’interessato, unitamente alle informazioni sugli impatti più consistenti del trattamento” (Linee guida del Comitato, cit., par. 114). Inoltre, la segnaletica deve contenere anche quelle informazioni che potrebbero risultare inaspettate per l’interessato. Potrebbe trattarsi, ad esempio, della trasmissione di dati a terzi, in particolare se ubicati al di fuori dell’UE, e del periodo di conservazione dei dati. Se tali informazioni non sono indicate, l’interessato dovrebbe poter confidare nel fatto che vi sia solo una sorveglianza in tempo reale, senza alcuna registrazione di dati o trasmissione a soggetti terzi (Linee guida del Comitato, cit., par. 115). La segnaletica di avvertimento di primo livello deve contenere un chiaro riferimento al secondo livello di informazioni, ad esempio indicando un sito web sul quale è possibile consultare il testo dell’informativa estesa.

Ciò premesso, in merito all’informativa di primo livello conferita mediante apposita cartellonistica allegata al riscontro del XX citato si osserva che:

• indica riferimenti non aggiornati in merito alla normativa sulla protezione dei dati personali;

• non sono specificati i tempi di conservazione delle immagini;

• non menziona compiutamente i diritti degli interessati di cui agli artt. 15 e seg. del Regolamento e le modalità di esercizio degli stessi;

• non specifica le modalità attraverso le quali gli interessati possono accedere ad un’informativa completa di “secondo livello” nella quale poter reperire gli ulteriori e completi elementi informativi.

Quanto all’informativa di secondo livello allegata al riscontro del XX, si osserva che quale base giuridica che legittima il trattamento viene richiamato genericamente il “legittimo interesse” ai sensi dell’art. 6, par. 1, lett. f) del Regolamento, in contraddizione con quanto emerso nel corso dell’istruttoria, senza alcun dettaglio delle normative di settore applicabili ai trattamenti mediante sistemi video.

Inoltre, quanto alla specifica informativa sul trattamento dei dati che deve essere fornita ai lavoratori in relazione al trattamento dei dati mediante il medesimo sistema di videosorveglianza, deve rilevarsi che, ancorché l’Asilo abbia dichiarato di aver fornito l’informativa a tali interessati, lo stesso si è limitato a produrre in atti copia di un mero modello d’informativa, sprovvisto di data certa e sottoscrizione dei lavoratori interessati, per presa visione, nel relativo campo in calce allo stesso. Non risulta, pertanto, comprovato che l’Asilo abbia fornito detta informativa ai lavoratori prima di avviare il trattamento in questione.

Pertanto, deve concludersi che l’Asilo ha effettuato un trattamento i dati personali, mediante dispositivi video, in maniera non conforme al principio di “liceità, correttezza e trasparenza” in violazione degli artt. 5, par. 1, lett. a) 12 e 13 del Regolamento.

3.3 La valutazione d’impatto sulla protezione dei dati.

Con la nota del XX, l’Asilo ha dichiarato di non aver effettuato una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35 del Regolamento.

Al riguardo, si osserva che il titolare del trattamento deve redigere una valutazione d’impatto sulla protezione dei dati, al fine di adottare, in particolare, le misure adeguate ad affrontare tali rischi, consultando preventivamente il Garante, ove ne ricorrano i presupposti (v. artt. 35 e 36, par. 1, del Regolamento).

Tenuto conto delle indicazioni fornite anche a livello europeo sul punto, si rileva, invece, che il trattamento posto in essere dall’Asilo comporta rischi specifici per i diritti e le libertà degli interessati, ovvero sia per i lavoratori sia per i minori ospitati (art. 35 del Regolamento; cfr. provv. 16 novembre 2023, n. 578, doc. web n. 9963486).

Tanto in considerazione della particolare “vulnerabilità” degli interessati (cfr. cons. 75 e art. 88 del Regolamento e le “Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento "possa presentare un rischio elevato" ai sensi del Regolamento 2016/679”, WP 248 del 4 aprile 2017, che, tra le categorie di interessati vulnerabili, menzionano espressamente “i dipendenti” e i “minori”) e del fatto che siano impiegati sistemi che comportano il “monitoraggio sistematico” in ambito lavorativo, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti” (cfr. criterio n. 3 indicato nelle Linee guida, cit., ma vedi anche criteri 4 e 7; v. artt. 35 e 88, par. 2, del Regolamento; v. anche provv. 11 ottobre 2018, n. 467, doc. web n. 9058979, all. n. 1, che espressamente menziona i “trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici […] dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti”; v., tra gli altri, provv. 1° dicembre 2022, n. 409, doc. web n. 9833530).

La mancata redazione di una valutazione d’impatto sulla protezione dei dati in relazione a sistemi di videosorveglianza impiegati nel contesto lavorativo è stata, per tali motivi, oggetto di recenti provvedimenti anche correttivi e sanzionatori del Garante (v. in particolare, provv. 16 novembre 2023, n. 578, doc. web n. 9963486; v. anche Newsletter 15 dicembre 2023, doc. web n. 9963533).

Nel caso di specie, l’Asilo ha, invece, trattato i dati personali dei propri lavoratori e dei minori ospitati, mediante il sistema di videosorveglianza in questione, in assenza di una preliminare valutazione d’impatto sulla protezione dei dati e, pertanto, in violazione dell’art. 35 del Regolamento.

3.4 Il Responsabile della protezione dei dati

Come dichiarato in atti, la dirigente scolastica e legale rappresentante dell’Asilo svolgeva all’epoca dei fatti il ruolo di RPD per conto dello stesso.

In primo luogo si osserva che, ai sensi dell’art. 37, par. 7 del Regolamento, il titolare o il responsabile del trattamento pubblica i dati di contatto del RPD e li comunica all'autorità di controllo. Nel caso di specie, l’Asilo non ha, invece, fatto pervenire la comunicazione dei dati di contatto del RPD all’Autorità né ha reso noti i dati di contatto del RPD agli interessati (cfr par. 3.1.2).

Sul punto, le “Linee guida sui responsabili della protezione dei dati” del Gruppo di Lavoro art. 29, WP 243, del 5 aprile 2017, fatte proprie dal Comitato europeo per la protezione dei dati con Endorsement 1/2018 del 25 maggio 2028, chiariscono che le disposizioni di cui all’art. 37, par. 7 “mirano a garantire che tanto gli interessati (all’interno o all’esterno dell’ente/organismo titolare o responsabile) quanto le autorità di controllo possano contattare il RPD in modo facile e diretto senza doversi rivolgere a un’altra struttura operante presso il titolare/responsabile” (par. 2.6).

Inoltre, l’art. 38, par. 6, del Regolamento prevede che il RPD “[possa] svolgere altri compiti e funzioni”, fermo restando che “il titolare del trattamento [deve assicurarsi] che tali compiti e funzioni non diano adito a un conflitto di interessi”.

Come chiarito dall’Autorità già nelle “Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico” del 15 dicembre 2017 (doc. web n. 7322110), “in ambito pubblico, oltre ai ruoli manageriali di vertice, possono sussistere situazioni di conflitto di interesse rispetto a figure apicali dell'amministrazione investite di capacità decisionali in ordine alle finalità e ai mezzi del trattamento di dati personali posto in essere dall'ente pubblico” (FAQ n. 7; v., più di recente, par. 10.1 del “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico”, allegato al provv. 29 aprile 2021, n. 186, doc. web n. 9589104). Analogamente, le “Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato”, del 26 marzo 2018 (doc. web n. 8036793), evidenziano che, “ove il RPD sia individuato in un soggetto interno all’organizzazione, appare incompatibile l’assegnazione del ruolo di RPD a soggetti con incarichi di alta direzione o aventi specifiche funzioni (es. amministratore delegato; membro del consiglio di amministrazione; direttore generale; responsabile IT, responsabile audit e/o gestione del rischio, responsabile del servizio prevenzione e protezione ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento” (FAQ n. 8) (cfr. anche par. 3.5 delle “Linee guida sui responsabili della protezione dei dati” del Gruppo di Lavoro art. 29, cit.).

Si osserva, infatti, che, in ragione delle numerose e gravose competenze attribuite dalla legge alla figura del dirigente scolastico, difficilmente quest’ultimo avrebbe potuto disporre delle risorse necessarie, in relazione al contesto di riferimento, anche sotto il profilo temporale, per poter espletare al meglio le funzioni che il Regolamento assegna al RPD, come già evidenziato precedentemente dall’Autorità in fattispecie analoghe (v. provv. 11 aprile 2024, doc. web. doc. web n. 10013391; provv. 16 settembre 2021, doc. web. n. 9718134; rel. annuale 2020 del 2 luglio 2021, doc. web. n. 9676435, par. 4.6).

Tanto premesso, risulta accertata la violazione sia dell’art. 37, par. 7, del Regolamento non avendo l’Asilo provveduto ad effettuare la comunicazione dei dati di contatto dell’allora RPD all’Autorità né avendo pubblicato o comunque reso noti i dati di contatto del RPD agli interessati, sia dell’art. 38, par. 6, del Regolamento, avendo l’Asilo assegnato tale incarico a un soggetto che, in ragione del proprio ruolo di Dirigente e legale rappresentante, si trovava in posizione di conflitto d’interessi.

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dall’Asilo, in qualità di titolare del trattamento, nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare tutti i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, e risultano insufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019 non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.
Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Asilo, per aver effettuato il trattamento di dati personali in violazione degli artt. 5, par. 1, lett. a), 6, 7, 12, par. 1, 13, 35, 37, par. 7, e 38, par. 6, del Regolamento e 2-ter del Codice.

Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni più gravi, relative agli artt. 5, par. 1, lett. a), 6, 7, 12, par. 1, 13 del Regolamento e 2-ter del Codice, sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000, o, essendo il titolare del trattamento una ditta individuale, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

In tale quadro, considerando che, con riguardo ai trattamenti posti in essere mediante il predetto sistema di videosorveglianza, la condotta ha esaurito i suoi effetti - atteso che l’Asilo ha dichiarato, con assunzione di responsabilità anche ai sensi dell’art. 168 del Codice, di aver “provveduto alla disattivazione di tale impianto” (v. verbale di audizione, in atti), nonché, tenuto conto che, in relazione alla diffusione online delle foto dei minori sul sito web dell’Asilo, quest’ultimo ha dichiarato che “è stato temporaneamente sospeso il sito web dell’Asilo”, non ricorrono, limitatamente ai predetti ambiti di trattamento, i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Misure correttive (art. 58, par. 2, lett. d), f) e g) del Regolamento)

Ancorché l’Asilo abbia provveduto a sospendere la diffusione delle foto dei minori attraverso il proprio sito web, non è comprovato in atti che l’Asilo abbia provveduto a cancellare le foto dei minori dai propri archivi, nonché risulta che talune foto dei minori, ritratti in maniera riconoscibile nel contesto della vita di comunità, continuano ad essere pubblicate su “Google Maps” nella pagina web associata all’Asilo (v. relazione di servizio del XX, in atti).

L’art. 58, par. 2, del Regolamento attribuisce al Garante il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine” (lett. d), di “imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento” (lett. f), nonché di “ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento […]” (lett. g)..

In tale quadro si ritiene necessario, in ragione dell’illiceità del trattamento effettuato, disporre:

ai sensi dell’art. 58, par. 2, lett. f), la limitazione del trattamento in corso, vietando al titolare del trattamento ogni ulteriore trattamento, inclusa la diffusione online, delle foto dei minori; e

ai sensi dell’art. 58, par. 2, lett. d) e g), la cancellazione delle foto dei minori dai propri archivi.

Ai sensi dell’art. 157 del Codice, l’Asilo dovrà, inoltre, provvedere a comunicare a questa Autorità le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. f) del Regolamento entro trenta giorni dalla notifica del presente provvedimento.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice)

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto che:

l’Asilo ha raccolto e diffuso online immagini di numerosi neonati e infanti ritratti in situazioni, momenti e attività caratterizzati da una particolare delicatezza o per propria natura destinati a rimanere riservati a tutela della dignità dei bambini, esponendo gli stessi a rischi significativi, derivanti, in particolare, dal possibile uso illecito dei dati da parte di terzi, anche per possibili fini illeciti o reati a danno di minori, nonché a possibili ripercussioni nella futura vita sociale e sfera relazionale degli interessati (art. 83, par. 2, lett. a), del Regolamento);

il trattamento è stato posto in essere anche con strumenti video attivati in aree in cui si svolgeva l’attività dei bambini, degli educatori e di altro personale dell’Asilo, considerati soggetti vulnerabili, dando corso a monitoraggio continuo e diretto, nell’asserito perseguimento di finalità di prevenzione e accertamento di reati ai danni dei bambini, che non pertengono al datore di lavoro (art. 83, par. 2, lett. a), del Regolamento);

la violazione ha carattere colposo, avendo l’Asilo agito nella convinzione che il trattamento delle foto dei minori fosse legittimato da un valido consenso espresso dagli esercenti la responsabilità genitoriali e che il sistema di videosorveglianza configurato fosse lecito anche in base a quanto disposto dagli artt. 2 e 3 della Legge Regionale n. 18/18 della Regione Lombardia sull’installazione e il finanziamento di sistemi di videosorveglianza negli asili nido e micro nido al fine di individuare precocemente segnali di disagio o di maltrattamento fisico o psichico (art. 83, par. 2, lett. b), del Regolamento);

ancorché il trattamento non abbia riguardato dati particolari appartenenti alle categorie particolari di cui all’art. 9 del Regolamento, sono stati comunque trattati dati personali caratterizzati da una particolare delicatezza o per propria natura destinati a rimanere riservati a tutela della dignità dei bambini (cfr. art. 83, par. 2, lett. g), del Regolamento),

si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia alto (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, nel considerare che l’Asilo è un’azienda il cui volume d'affari nell’anno 2024 risulta essere di euro 259.032,00, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze:

l’Asilo ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria (art. 83, par. 2, lett. f), del Regolamento);

non risultano precedenti violazioni pertinenti commesse (art. 83, par. 2, lett. e), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 10.000,00 (diecimila) per la violazione degli artt. 5, par. 1, lett. a), 6, 7, 12, par. 1, 13, 35, 37, par. 7, e 38, par. 6, del Regolamento e 2-ter del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione del fatto che, come sopra evidenziato, il trattamento ha riguardato dati personali caratterizzati da un livello elevato di delicatezza e relativi a soggetti vulnerabili.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 57, par. 1, lett. f), e 83 del Regolamento, rileva l’illiceità del trattamento effettuato dall’Asilo nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a), 6, 7, 12, par. 1, 13, 35, 37, par. 7, e 38, par. 6, del Regolamento e 2-ter del Codice,

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Asilo nido “La Combricola Dei Birichini Di Betty”, con sede in XX, 20017 – Rho (MI), P. IVA 04049630967, di pagare la complessiva somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

all’Asilo nido “La Combricola Dei Birichini Di Betty”:

- di pagare la complessiva somma di euro 10.000,00 (diecimila) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

- ai sensi dell’art. 58, par. 2, lett. f), la limitazione del trattamento in corso, vietando al titolare del trattamento ogni ulteriore trattamento, inclusa la diffusione online, delle foto dei minori;

- ai sensi dell’art. 58, par. 2, lett. d) e g), la cancellazione delle predette foto dai propri archivi;

- ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, di comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ingiunto ai sensi del citato art. 58, par. 2, lett. d), g) ed f), nonché le eventuali misure poste in essere per assicurare la conformità del trattamento alla normativa in materia di protezione dei dati personali.

DISPONE

ai sensi dell'art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell'ordinanza ingiunzione sul sito internet del Garante;

ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet del Garante;

ai sensi dell’art. 17 del regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 10 luglio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE REGGENTE
Filippi

Scheda

Doc-Web
10162731

Data
10/07/25

Argomenti

Internet e social media Minori Videosorveglianza Foto e filmati Scuola Responsabile protezione dati

Tipologie

Ordinanza ingiunzione o revoca

Documenti citati

NEWSLETTER del 10 settembre 2025 - Minori: il Garante privacy sanziona un asilo nido - IT-Wallet, sì del Garante privacy alla sperimentazione - Indagini patrimoniali, il Garante privacy dice sì a CEREBRO - Scuola: ok del Garante alle Linee guida del MIM per l’IA negli istituti scolastici

Vedi anche (1)

NEWSLETTER del 10 settembre 2025 - Minori: il Garante privacy sanziona un asilo nido - IT-Wallet, sì del Garante privacy alla sperimentazione - Indagini patrimoniali, il Garante privacy dice sì a CEREBRO - Scuola: ok del Garante alle Linee guida del MIM per l’IA negli istituti scolastici

Seguici su Basic

Selettore lingua

Garante per la protezione dei dati personali

GGpdp5SearchToggleBar

I miei diritti

Imprese ed enti

Menù di navigazione

Provvedimento del 10 luglio 2025 [10162731]

g-docweb-display Portlet