La Datainspektionen commina la sua prima sanzione GDPR

La Datainspektionen, autorità di controllo svedese, ha sanzionato un istituto scolastico della città di Skellefteå per 200mila SEK (circa 20mila Euro) per l’utilizzo non conforme al GDPR di un sistema di riconoscimento facciale installato all’inizio dell’anno scolastico 2018/2019.

Più in particolare, oggetto di accertamento è stato un progetto pilota concepito per la rilevazione della presenza degli studenti che, in tale fase sperimentale, ha coinvolto una sola classe di 22 studenti.
 
Alla base delle ragioni della sanzione, l’autorità di controllo svedese ha rilevato essenzialmente che il trattamento di dati personali di tipo biometrico sarebbe stato effettuato con modalità non conformi al GDPR, in quanto il titolare del trattamento: (i) avrebbe individuato erroneamente il consenso quale idonea base giuridica ex art. 6 GDPR; (ii) non avrebbe svolto un’adeguata valutazione d’impatto ex art. 35 GDPR; (iii) non avrebbe, infine, effettuato alcuna consultazione preventiva al Garante medesimo.
A margine delle motivazioni dedotte dalla Datainspektionen nel proprio provvedimento, appare degna di nota l’individuazione, da parte della stessa, di un limite massimo delle sanzioni comminabili nei confronti di autorità pubbliche, pari a 10 milioni di SEK (circa 1milione di Euro).
Di seguito i link al comunicato stampa, in lingua inglese, dell’EDPB ed al provvedimento integrale della Datainspektionen, al momento disponibile solo in lingua originale.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *