Un’università telematica è stata sanzionata per aver usato il riconoscimento facciale durante le lezioni online per identificare gli studenti e controllarne la presenza. Secondo il Garante per la Privacy, utilizzare il volto degli allievi come se fosse un badge di accesso a un’aula virtuale è una pratica eccessiva e non consentita.

Con il provvedimento n. 35 del 2026, l’Autorità ha chiarito che questo sistema viola le norme europee sulla protezione dei dati personali. L’ateneo aveva imposto agli iscritti a corsi online abilitanti di sottoporsi alla scansione del volto, raccogliendo anche le immagini dei documenti di identità. Questi dati venivano trasformati in modelli biometrici per verificare, durante le lezioni, chi fosse collegato.

Gli studenti erano obbligati a dare il consenso per poter seguire i corsi. Tuttavia, per il Garante questo consenso non era valido. Quando la partecipazione a un percorso formativo, con esami e titoli finali, dipende dall’accettazione di un trattamento così invasivo, la scelta non può essere considerata davvero libera. Non è sufficiente, inoltre, sostenere che esistono alternative in presenza offerte da altri enti.

L’Autorità ha ricordato che non esiste alcuna legge che autorizzi in modo esplicito l’uso dei dati biometrici per identificare gli studenti durante le lezioni online. Le immagini del volto rientrano tra i dati personali più sensibili e possono essere trattate solo in presenza di condizioni molto rigorose e di forti garanzie per le persone coinvolte. In questo caso, inoltre, l’università non aveva nemmeno effettuato una valutazione preventiva dei rischi per i diritti degli studenti.

È stato contestato anche il periodo di conservazione delle immagini: tenerle archiviate per mesi, o fino alla prova finale, è stato ritenuto sproporzionato, soprattutto considerando che esistono altri strumenti meno invasivi per controllare la frequenza.

Per questi motivi, il Garante ha stabilito che il trattamento dei dati era illecito e ha inflitto all’università una sanzione di 50 mila euro. L’importo ha tenuto conto del fatto che l’ateneo ha interrotto l’uso del sistema e ha collaborato durante l’indagine.