La recente sanzione del Garante privacy a un asilo nido di Rho ha sollevato un caso esemplare sulle regole di gestione dei dati sensibili dei minori. Il provvedimento mette in luce pratiche scorrette che rappresentano un campanello d’allarme per scuole e famiglie.
Per i genitori, anche alla luce di questo provvedimento, diventa allora fondamentale conoscere i propri diritti e saper riconoscere le situazioni problematiche: dall’imposizione di consensi obbligatori per la diffusione di foto dei bambini alla presenza di sistemi di videosorveglianza non conformi.
Comprendere questi aspetti permette alle famiglie di tutelare efficacemente la privacy dei propri figli e di valutare con consapevolezza le strutture educative a cui affidarli.
Indice degli argomenti
Il provvedimento del Garante
Con provvedimento del 10 luglio 2025, n. 410 del 10 luglio 2025, l’Autorità Garante per il Trattamento dei dati personali ha sanzionato un Asilo Nido di Rho per 10.000,00 euro, oltre alla pubblicazione dell’ordinanza.
Questo perché l’asilo richiedeva obbligatoriamente di prestare il consenso alla raccolta e all’utilizzo delle immagini dei bambini e per la presenza un sistema di videosorveglianza in funzione anche durante lo svolgimento dell’attività scolastico-educativa.
Vediamo le ragioni che hanno determinato la sanzione e cosa fare per tutelarsi, offrendo una veloce anteprima: la gestione della privacy dell’asilo era del tutto fuori norma.
Le violazioni riscontrate durante l’istruttoria
Come si legge dal comunicato stampa rilasciato dall’Autorità Garante, quest’ultima “ha fatto seguito al reclamo di un genitore che, per poter iscrivere la figlia, ha dovuto prestare il consenso alla raccolta e all’utilizzo delle immagini della bambina. Il genitore, inoltre, aveva segnalato la presenza, all’interno dell’asilo, di un sistema di videosorveglianza in funzione anche durante lo svolgimento dell’attività scolastico-educativa.
Nel corso dell’istruttoria è emerso che l’asilo aveva pubblicato sia sul sito web sia sul proprio profilo di “Google Maps” numerose immagini dei minori in diversi momenti della “giornata tipo”, anche in contesti particolarmente delicati (sonno, mensa, utilizzo dei servizi igienici, cambio pannolino, massaggi infantili). In situazioni e attività, dunque, caratterizzate da una particolare delicatezza o destinate a rimanere riservate. Ciò senza considerare i rischi connessi alla maggiore esposizione delle immagini sul web e alla loro eventuale riutilizzabilità da parte di malintenzionati per fini illeciti o reati a danno dei minori”.
In sintesi: un asilo pubblico ha imposto ai genitori la prestazione del consenso per attività di diffusione di immagini dei minori online senza lasciare alternative (senza consenso prestato, non si poteva accedere all’asilo) e aveva un sistema di videosorveglianza “che raccoglieva immagini dei minori, del personale educativo, nonché di genitori, fornitori e visitatori, era stato utilizzato senza rispettare lo Statuto dei lavoratori e la normativa privacy”.
In altri termini: una situazione del tutto indifendibile sotto ogni aspetto, e gestita in modo no professionale (di seguito vedremo perché).
L’istruttoria ha visto l’asilo difendersi ammettendo ogni addebito e cercando di mitigare ogni situazione già in essere, ma non è stato sufficiente a evitare la – più che giustificata – sanzione pecuniaria di 10.000,00 applicata.
analisi dettagliata delle problematiche rilevate
Dal provvedimento, si legge, testualmente, che le problematiche rilevate erano: “Con riferimento alla condotta dell’Asilo, l’Ufficio, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, ha notificato allo stesso, in data XX (prot. n. XX), ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento per aver agito:
a) con riferimento al trattamento dei dati personali relativo alle foto dei minori:
– in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di un idoneo presupposto di liceità, in violazione degli artt. 5, par. 1, lett. a), 6, parr. 1-3 e 7, par. 2 del Regolamento nonché dell’art. 2-ter del Codice;
– fornendo agli interessati un’inidonea informativa sul trattamento dei dati personali, in maniera non conforme al principio di “liceità, corretta e trasparenza” e in violazione degli artt. 5, par. 1, lett. a), 12 e 13 del Regolamento;
b) in relazione al trattamento di dati personali dei minori e dei lavoratori mediante dispositivi
video:
– in maniera non conforme ai principi di “liceità, correttezza e trasparenza” e in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento;
– omettendo di fornire un’idonea informativa sul trattamento dei dati personali, in violazione degli artt. 5, par. 1, lett. a), 12 e 13 del Regolamento;
– omettendo di redigere una valutazione d’impatto sulla protezione dei dati prima di dare avvio al trattamento, in violazione dell’art. 35 del Regolamento;
c) avendo designato quale Responsabile della protezione dei dati (RPD) il Dirigente scolastico dell’Asilo e non avendo provveduto a effettuare la comunicazione dei dati di contatto del RPD all’Autorità e a rendere noti i dati di contatto dello stesso agli interessati, in violazione degli artt. 37, par. 7, e 38, par. 6, del Regolamento”.
In altri termini, questo provvedimento rileva tutti gli errori che possono essere commessi nella gestione di una situazione del genere, quasi a livello di manuale.
L’informativa era, semplicemente, errata nelle premesse e il trattamento era sfornito di ogni presupposto di liceità del trattamento, peraltro con riferimento alle immagini dei minori, dati notoriamente delicatissimi.
La videosorveglianza era, semplicemente, illegale per modalità e per assenza di informative e conformità allo Statuto dei lavoratori (cosa che esone ad ulteriori, diverse, sanzioni).
Dulcis in fundo, l’incomprensibile nomina a DPO della Dirigente scolastica, priva di qualifiche, con omessa comunicazione al Garante della nomina.
Un museo dell’orrore della privacy, insomma.
Come i genitori possono tutelarsi
Non c’è nessuna norma che imponga di prestare il consenso per l’uso dell’immagine dei propri figli, anzi: le immagini dei bambini non andrebbero mai diffuse sui social e via web, secondo canoni di ordinaria prudenza.
Ovviamente è necessario leggere l’informativa ed avere un’adeguata alfabetizzazione in materia di trattamento dei dati personali per capire cosa viene sottoposto e cosa si richiede di firmare, per capire con esattezza come vengono trattati i dati dei bimbi.
La videosorveglianza è sempre problematica: anche in questo caso è necessario leggere l’informativa; se manca, c’è, probabilmente, un problema.
Le informative, in particolare quelle legate al trattamento dei dati del minore, devono essere scritte in odo comprensibile e facilmente accessibile: anche per mezzo di icone e simboli.
Riflessioni sul provvedimento e le sue implicazioni
Provvedimento by the book emesso dal Garante, che si è visto costretto, quasi suo malgrado, a sanzionare un asilo, la cui gestione privacy era, però, indifendibile.
Incomprensibile, in particolare, la nomina a RDP della Dirigente scolastica, ossia della legale rappresentante dell’asilo, in totale assenza di qualunque requisito di professionalità e senza aver avuto nemmeno l’accortezza di aver effettuato la nomina al portale del Garante.
La procedura richiederà, circa, quindici minuti di tempo, ma la mancata effettuazione della procedura denota l’assoluta mancanza di professionalità e di conoscenza minima del modo di gestire i dati personali e il loro trattamento.
La notizia, in sé, quindi, non sussisterebbe, se non si trattasse della diffusione di immagini di bambini piccoli; va dato atto che aver pubblicato l’ordinanza consente di accendere un focus su una questione che merita attenzione, perché vi possono essere fasce di popolazione ignare dei propri diritti.
