Con una decisione del 5 marzo 2020, l’UODO (Garante polacco la protezione dei dati personali) ha inflitto ad una scuola elementare una sanzione di 20.000 PLN (circa 4633,60 euro), per violazioni derivanti dal trattamento di dati biometrici degli alunni destinatari del servizio della mensa scolastica.
A seguito di un’istruttoria condotta dagli uffici della predetta Autorità, è stato accertato che la scuola utilizzava un lettore biometrico (posto all’ingresso della mensa scolastica) che, identificando gli studenti, verificava la regolarità dei loro pagamenti affinché potessero beneficiare del servizio dei pasti.
Più in particolare, la scuola otteneva i dati e li trattava sulla base del consenso scritto dei genitori o dei tutori legali degli studenti interessati.
Nell’anno scolastico 2019/2020, 680 alunni avrebbero utilizzato il lettore biometrico e quattro alunni un sistema di identificazione alternativo. La scuola, pertanto, avrebbe trattato categorie particolari di dati personali (dati biometrici) di 680 bambini senza una idonea base giuridica, in quanto – secondo quanto precisato dal Garante polacco – avrebbe potuto utilizzare altre forme di identificazione degli studenti. A riguardo, si evidenzia come l’Autorità abbia ritenuto che il trattamento dei dati biometrici non si è rivelato essenziale per perseguire l’obiettivo di adempiere al diritto degli studenti di ricevere il pranzo. La scuola avrebbe potuto realizzare tali attività con altri mezzi che non interferissero tanto con la sfera privata degli interessati. Ciò soprattutto alla luce del fatto che l’istituto rendeva possibile l’utilizzo dei servizi della mensa scolastica non solo attraverso la verifica delle impronte digitali, ma anche attraverso l’ostensione di schede elettroniche, oppure indicando verbalmente il proprio nome e il numero di contratto. Pertanto, nella scuola coesistevano forme alternative di individuazione del diritto dello studente a ricevere il pranzo.
In aggiunta a ciò, secondo il regolamento del pranzo reso dalla scuola elementare, per poter entrare nella sala mensa, gli studenti che non accedevano tramite identificazione biometrica dovevano attendere fino a quando non fossero entrati tutti gli studenti con identificazione biometrica. Secondo l’UODO, tali disposizioni – poste chiaramente a favore degli studenti con identificazione biometrica – avrebbero introdotto una disparità di trattamento degli studenti e una differenziazione ingiustificata.
Per dette violazioni, in aggiunta alla inflizione della sanzione, l’Authority ha ordinato la cancellazione dei dati personali tratti dalle impronte digitali dei bambini e la cessazione di ogni ulteriore raccolta di dati personali.
L’Autorità, infine, nella motivazione della sua decisione, ha sottolineato come i minori necessitino di una particolare protezione dei dati personali (nel caso in esame, peraltro, i dati trattati costituivano dati personali relativi alle categorie particolari di cui all’art. 9 del Regolamento UE 2016/679). Sul punto, infatti, è stato ribadito che il sistema biometrico identifica caratteristiche che non sono soggette a modifiche (come nel caso dei dati dattiloscopici) e, pertanto, tale tipologia di dati (avente i caratteri dell’unicità e della permanenza) impone un loro utilizzo cauto e coerente con effettive necessità del titolare del trattamento.