Asilo multato per l’uso delle foto dei bimbi: 5 lezioni pratiche per evitare errori

Asilo multato per l’uso delle foto dei bimbi: 5 lezioni pratiche per evitare errori I dati personali dei minori richiedono una tutela rafforzata, soprattutto quando si parla di bimbi, in un contesto delicato come quello dei nidi. Il recente provvedimento…

Read More

Responsabilità 231 e raggruppamento temporaneo d’imprese: no agli automatismi

Responsabilità 231 e raggruppamento temporaneo d’imprese: no agli automatismi Con la sentenza n. 14343/2025, la Cassazione torna a confrontarsi su uno dei temi più complessi e discussi della disciplina della responsabilità amministrativa degli enti, ed in particolare sulla responsabilità 231…

Read More

Il Modello 231 secondo la Cassazione: uno strumento che governa, non che comanda

Il Modello 231 secondo la Cassazione: uno strumento che governa, non che comanda La Corte di Cassazione, con una recente pronuncia in materia di responsabilità amministrativa degli enti dipendente da reato ex D.lgs. 231/2001, interviene per chiarire la funzione autentica…

Read More

Obblighi di notifica più stringenti: la NIS2 risponde all’ondata di cyberattacchi

Obblighi di notifica più stringenti: la NIS2 risponde all’ondata di cyberattacchi  L'ultimo report sugli incidenti informatici del NIS Cooperation Group evidenzia un trend preoccupante: crescono sia i guasti tecnici sia le violazioni di sicurezza, così come aumenta il numero di…

Read More

ACN introduce il Referente CSIRT: sicurezza informatica e governance al centro dell’azienda

ACN introduce il Referente CSIRT: sicurezza informatica e governance al centro dell’azienda Il recente incontro del V Tavolo NIS (Network and Information Security), svoltosi il 3 ottobre 2025, ha rappresentato un momento di significativa evoluzione per tutti i soggetti rientranti…

Read More

Compliance integrata: come integrare Modello 231 e Sistemi di Gestione per una governance più efficace

Compliance integrata: come integrare Modello 231 e Sistemi di Gestione per una governance più efficace Nella più ampia cornice della compliance aziendale, i Modelli 231 ed i sistemi di gestione aziendale ricoprono due ruoli ben diversi. Il Modello 231 previene…

Read More

In vigore la Legge 132/2025 sull’Intelligenza Artificiale Cosa cambia dal 10 ottobre 2025

In vigore la Legge 132/2025 sull’Intelligenza Artificiale Cosa cambia dal 10 ottobre 2025     A partire dal 10 ottobre entra in vigore la Legge 23 settembre 2025 - n. 132, primo passo concreto verso una governance nazionale dell’intelligenza artificiale.…

Read More

Dai metadati alle piattaforme digitali AI-based: nuovi strumenti di monitoraggio richiedono nuovi controlli di conformità

Dai metadati alle piattaforme digitali AI-based: nuovi strumenti di monitoraggio richiedono nuovi controlli di conformità L’evoluzione tecnologica nel contesto lavorativo, segnata dall’adozione diffusa di strumenti digitali, piattaforme intelligenti e sistemi di tracciamento avanzato, ha radicalmente trasformato le modalità di organizzazione…

Read More

Double opt-in e marketing: quando è obbligatorio e come garantire un consenso valido

Double opt-in e marketing: quando è obbligatorio e come garantire un consenso valido Il Provvedimento n. 330 del 4 giugno 2025, con cui il Garante per la protezione dei dati personali ha sanzionato la società “Noi Compriamo Auto” (NCA), riporta…

Read More

Governare la sanità digitale: strumenti operativi per DPO

Governare la sanità digitale: strumenti operativi per DPO    La sanità digitale rappresenta oggi uno dei settori più complessi da presidiare per i Data Protection Officer. Il valore altamente sensibile dei dati trattati, la pluralità dei soggetti coinvolti nel trattamento (pubblici…

Read More
Linkedin Youtube Facebook
Envelope Phone-alt Linkedin Youtube Facebook

Asilo multato per l’uso delle foto dei bimbi: 5 lezioni pratiche per evitare errori

 
 
 

I dati personali dei minori richiedono una tutela rafforzata, soprattutto quando si parla di bimbi, in un contesto delicato come quello dei nidi. Il recente provvedimento del Garante, che ha sanzionato un asilo per uso illecito delle immagini dei bambini, fornisce lezioni pratiche essenziali per tutti gli educatori e gestori di nidi. Questo articolo illustra cosa è accaduto, perché il consenso non basta e come strutturare procedure operative conformi alla normativa.

 
Il reclamo del genitore e la sanzione

Facendo seguito al reclamo di un genitore, il Garante per la protezione dei dati personali ha sanzionato un asilo nido per aver utilizzato in modo illecito le immagini dei piccoli ospiti. In particolare, il genitore segnalava:

  1. il fatto che per poter iscrivere la figlia all’asilo, aveva dovuto obbligatoriamente prestare il consenso alla raccolta e all’utilizzo delle immagini della bimba;
  2. la presenza, all’interno dell’asilo, di un sistema di videosorveglianza in funzione anche durante lo svolgimento delle attività scolastico-educativa.

Dall’istruttoria è emerso che l’asilo aveva posto in essere più condotte in violazione della disciplina. Tenuto conto dei soggetti vulnerabili direttamente coinvolti ma anche del carattere colposo delle pratiche poste in essere dall’asilo, il Garante ha comminato una sanzione amministrativa pecuniaria pari a 10.000 euro e vietato ogni ulteriore trattamento delle foto dei minori.

 

Cosa ha sbagliato l’asilo: la diffusione di immagini di minori

In primo luogo, l’istituto educativo aveva pubblicato fotografie dei minori sul proprio sito web e su piattaforme esterne, tra cui Google Maps, sulla base di un consenso (“forzato”) richiesto ad uno dei genitori in fase di iscrizione al nido. La documentazione fotografica, peraltro, riguardava anche situazioni intime e sensibili – quali i momenti del pasto, del riposo e del cambio – che avrebbero richiesto una tutela rafforzata e che non potevano in alcun modo essere considerate proporzionate allo scopo dichiarato, in quanto in contrasto con i principi fondamentali sanciti dal Regolamento (UE) 2016/679 (“GDPR”).

La diffusione di immagini dei bambini su canali pubblici avveniva sia in contrasto con la disciplina in materia di protezione dei dati personali (stante la carenza di una base giuridica idonea), ma anche con l’assetto costituzionale posto a tutela dei diritti fondamentali delle persone. La condotta, infatti, risultava aggravata dall’elevato rischio legato alla pubblicazione sul web, canale che espone i minori alla possibilità di riutilizzo delle loro foto da parte terzi, anche per scopi illeciti / criminosi.

 

Cosa ha sbagliato l’asilo: l’impianto di videosorveglianza

Nel corso dell’istruttoria è stato anche accertato che l’asilo si era dotato di un sistema di videosorveglianza che raccoglieva immagini dei minori, del personale educativo, nonché di soggetti terzi (fornitori, genitori, visitatori). Le telecamere erano attive in diversi locali dell’asilo, inclusi i bagni, il refettorio, la zona riposo, etc., ritraendo personale ed educatori nello svolgimento della loro attività lavorativa.

Il Garante ha rilevato:

  • la violazione dei principi fondamentali di proporzionalità, correttezza e di liceità del trattamento;
  • la violazione del principio di trasparenza, in considerazione della presenza di informative non adeguate;
  • la violazione della normativa in materia di controlli a distanza sul lavoro (lo statuto dei lavoratori);
  • la carenza di una preliminare valutazione d’impatto sulla protezione dei dati (DPIA).

 

Cosa ha sbagliato l’asilo: la nomina del DPO

Ulteriore non conformità accertata dal Garante riguardava l’individuazione, da parte dell’asilo, della dirigente scolastica e legale rappresentante a responsabile della protezione dei dati (DPO).

Anche in questo caso l’organizzazione aveva agito senza considerare i principali requisiti normativi:

  • innanzitutto, non aveva fatto pervenire la comunicazione dei dati di contatto del DPO all’Autorità né li aveva resi noti agli interessati;
  • in secondo luogo, la scelta della dirigente come DPO rappresentava una violazione dell’articolo 38 del GDPR, il quale prevede che il DPO “[possa] svolgere altri compiti e funzioni”, fermo restando che “il titolare del trattamento [deve assicurarsi] che tali compiti e funzioni non diano adito a un conflitto di interessi”. Le rilevanti responsabilità attribuite al dirigente scolastico non gli consentono, anche in termini di tempo e risorse disponibili nel contesto di riferimento, di svolgere in modo adeguato le funzioni che il Regolamento affida al DPO.

 

Considerazioni: perché il consenso non basta

Soffermandoci sul primo e principale errore commesso dall’asilo, il Garante ha chiarito che il consenso raccolto non poteva legittimare il trattamento delle immagini. Perché sia efficace, il consenso deve essere libero, specifico, informato e sempre revocabile: requisiti che nel caso concreto non erano rispettati, poiché l’autorizzazione risultava di fatto necessaria per l’iscrizione al nido.

L’Autorità ha inoltre ribadito che i dati personali dei minori richiedono una tutela rafforzata, soprattutto quando includono immagini che li ritraggono in contesti di particolare vulnerabilità. Il consenso, infatti, non può prevalere sul superiore interesse consistente nella tutela dei diritti fondamentali del minore: la diffusione online delle fotografie, finalità riconducibile a esigenze promozionali dell’asilo, rappresenta senza dubbio una compressione di tali diritti.

 

Cosa avrebbe dovuto fare concretamente l’asilo

Per garantire la conformità normativa, l’asilo avrebbe dovuto valutare i rischi dei trattamenti effettuati per i diritti e le libertà dei soggetti vulnerabili coinvolti, applicando i principi fondamentali del Regolamento (liceità, correttezza e trasparenza in primis). Una volta garantita la conformità dei trattamenti, avrebbe dovuto predisporre un’informativa chiara, completa e specifica, in grado di rendere realmente consapevoli i genitori circa le finalità e le modalità del trattamento delle immagini. In particolare, l’informativa avrebbe includere indicazioni precise in merito alle finalità correlate all’utilizzo dei dati, distinguendo gli usi interni (ad esempio esposizione nei locali o condivisione con i soli genitori della classe) ed eventuali diffusioni esterne (come la pubblicazione sul sito web, sui social o su Google Maps).

Il consenso doveva essere richiesto in maniera granulare (per ciascuna finalità prevista nell’informativa), libera e sempre revocabile, nel rispetto del principio di proporzionalità e del superiore interesse dei minori.

 

Regole e buone prassi da adottare subito

Il caso dell’asilo sanzionato offre importanti indicazioni per tutte le strutture educative. Ecco cinque lezioni pratiche da adottare subito:

  1. Raccogliere solo ciò che serve – Limitare la documentazione fotografica e video a finalità strettamente educative interne, evitando qualsiasi diffusione in chiaro su canali pubblici.
  2. Escludere i momenti delicati e minimizzare le informazioni raccolte – Anche limitando le riprese ad utilizzi interni, evitare di raccogliere le immagini durante i momenti più delicati che richiedono una tutela rafforzata.
  3. Informare chiaramente i genitori – Predisporre informative trasparenti e comprensibili, spiegando finalità, modalità di trattamento, tempi di conservazione e possibilità di opposizione / revoca del consenso.
  4. Garantire un consenso libero e specifico – Il consenso dei genitori deve essere volontario, informato e revocabile in qualsiasi momento, senza condizionare l’iscrizione o l’adesione del bambino ai servizi erogati dall’asilo.
  5. Gestire la compliance – In un contesto delicato come quello degli asili, assicurarsi che tutti i requisiti normativi siano soddisfatti è essenziale. Fra questi, la nomina del responsabile della protezione dei dati, oltre a rappresentare un obbligo normativo, costituisce un presidio della conformità utile a garantire l’effettiva tutela dei minori e prevenire violazioni e conseguenti sanzioni.

Applicare queste regole permette all’organizzazione non solo di rispettare le norme, ma anche di rafforzare la fiducia delle famiglie nella struttura educativa.

 

Una lezione per tutti gli asili 

La riservatezza e la dignità dei bambini vanno tutelate sin dalla primissima infanzia”. Questo il principio cardine che si ricava dal provvedimento. Il caso analizzato ci ricorda quanto sia cruciale adottare un approccio “privacy by design”, integrando la protezione dei dati fin dalla progettazione delle attività educative. Ciò significa pianificare ogni trattamento di immagini o video dei bambini tenendo conto dei principi di minimizzazione, proporzionalità e sicurezza, così da ridurre i rischi per i minori e rafforzare la fiducia delle famiglie nella struttura (a tutto vantaggio dell’attività).

Per questo è essenziale che asili e strutture educative si facciano seguire da professionisti, per ricevere supporto nella gestione dei dati dei minori, nell’adozione di procedure conformi al GDPR e nell’elaborazione di policy operative che garantiscano l’efficacia dei processi e, al contempo, la tutela delle informazioni più sensibili. Scrivici per ulteriori informazioni. 

Recent posts
Follow us on
Our Gallery

Labor Project S.r.l.
Iscrizione Ufficio Registro Imprese di Como con n. 02725120139
Cap. Soc. € 100.000 i.v.
P.I. 02725120139

CANTU’
Via Brianza, 65
22063 Cantù (CO)
Tel. +39 031 704381
info@laborproject.it

ROMA
Via Lima, 7
00198 Roma (RM)

roma@laborproject.it

MILANO
Piazza IV Novembre, 7
20124 Milano (MI)

milano@laborproject.it

LUGANO
Privacy Desk Suisse
Società controllata da Labor Project srl
Corso Elvezia, 16
6900 Lugano (Svizzera)

info@privacydesk.ch

Copyright © 2025. All rights reserved.