Il caso di un asilo nido sanzionato per pratiche invasive di videosorveglianza e per la pubblicazione online delle immagini dei bambini rappresenta una decisione significativa negli ultimi anni nella tutela dei dati dei minori. Questo episodio non è isolato, ma si inserisce in una linea evolutiva volta a rafforzare le garanzie per i soggetti più vulnerabili di fronte all’espansione delle tecnologie digitali.
Il dato personale, secondo il Regolamento (UE) 2016/679 (GDPR), non è solo un bene giuridico, ma riflette la dignità della persona. Per i minori, la centralità di questo diritto assume un significato ancor più rilevante: il bambino, incapace di autodeterminazione, deve essere protetto da rischi che non può né valutare né prevenire. La decisione di cui si discute si concentra su tre aspetti principali: l’uso invasivo della videosorveglianza, l’imposizione di un consenso genitoriale non libero e la diffusione pubblica delle immagini dei bambini sul web.
Ogni uno di questi aspetti merita un’analisi non solo normativa, ma anche giuridica, dottrinale e comparativa, per comprendere appieno la portata sistematica del provvedimento.
Il quadro normativo e la logica del GDPR
Il GDPR rappresenta il culmine di un processo normativo europeo che ha cercato di superare una logica settoriale per abbracciare una visione unitaria e personalistica. L’articolo 5 stabilisce i principi generali del trattamento: liceità, correttezza, trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione e integrità-confidenzialità.
Nel caso specifico, il Garante ha identificato la violazione di almeno tre di questi principi. Innanzitutto, il principio di liceità non era rispettato, poiché i trattamenti non si fondavano su una base giuridica adeguata. In secondo luogo, la videosorveglianza e la diffusione delle immagini superavano le finalità dichiarate, violando il principio di minimizzazione. Infine, il principio di correttezza è stato compromesso dal fatto che i genitori si trovavano in una posizione di scelta obbligata, svuotando il concetto di consenso.
Inoltre, l’articolo 24 introduce il principio di accountability, imponendo al titolare non solo di seguire le regole, ma anche di dimostrare di aver adottato misure adeguate. L’articolo 35 richiede una valutazione d’impatto quando il trattamento comporta rischi elevati—come nel caso della videosorveglianza dei minori e della diffusione online delle loro immagini. L’assenza di tale valutazione ha evidenziato una mancanza di consapevolezza.
Videosorveglianza negli spazi educativi: tra sicurezza e controllo
Il primo nodo problematico è la videosorveglianza. Le telecamere possono svolgere una funzione legittima per la sicurezza e la prevenzione di atti illeciti, ma il principio di proporzionalità richiede di distinguere tra ciò che è strettamente necessario e ciò che trasforma l’ambiente educativo in un luogo di controllo pervasivo.
Il Garante ha criticato l’installazione di telecamere in spazi destinati al riposo e alla cura personale, poiché la registrazione continua invade la sfera più intima dei bambini, esponendoli a un monitoraggio costante in momenti vulnerabili.
La giurisprudenza europea offre spunti significativi. Nella sentenza Lopez Ribalda e altri c. Spagna (2019), la Corte EDU ha affermato che la videosorveglianza deve mantenere un equilibrio tra le esigenze del datore di lavoro e i diritti dei dipendenti, applicabile ancor più severamente ai minori, che non possono sottrarsi al controllo.
Il consenso condizionato: un consenso che non è consenso
Il secondo profilo in esame riguarda la richiesta di consenso da parte dei genitori per la pubblicazione delle immagini, subordinata all’iscrizione al servizio educativo. Il GDPR stabilisce chiaramente che il consenso deve essere libero, specifico, informato e inequivocabile (art. 4 n. 11). La libertà è un requisito fondamentale, ma viene compromessa in caso di relazioni di squilibrio tra titolare e interessato. L’EDPB ha chiarito che, nei contratti dove una parte non può realisticamente rifiutare, il consenso non è valido.
In questo caso, subordinare l’accesso all’asilo al consenso per la diffusione delle immagini equivale a una coercizione indiretta, rendendo il consenso stesso invalido.
La pubblicazione online delle immagini dei minori: rischi senza ritorno
Uno degli aspetti più gravi riguarda la diffusione delle immagini dei bambini sul web. La natura del web rende tale diffusione irreversibile: un’immagine può essere replicata, scaricata, manipolata e utilizzata in contesti diversi da quello originale. I rischi variano dal furto di identità digitale all’uso in contesti pedopornografici, fino allo sfruttamento commerciale.
Questa violazione non solo contraddice i principi del GDPR, ma compromette la dignità del minore, che non dovrebbe essere esposto pubblicamente senza necessità. La Corte di giustizia nella sentenza Google Spain (2014) ha osservato che la diffusione online dei dati causa lesioni gravi e permanenti ai diritti della persona. Nel caso riguardante i minori, la protezione deve essere ancor più accentuata.
La mancanza di valutazione d’impatto e il principio di accountability
Il caso analizzato mette in evidenza un ulteriore profilo: l’assenza di una valutazione d’impatto, richiesta dall’art. 35 GDPR. La DPIA è un strumento di responsabilizzazione, che obbliga il titolare a considerare le conseguenze del trattamento e a predisporre misure adeguate. La videosorveglianza dei minori e la diffusione delle loro immagini online rientrano tra i trattamenti ad alto rischio, per i quali la valutazione è obbligatoria. La sua omissione denota una violazione di un obbligo formale e una mancanza di consapevolezza culturale della struttura.
Confronto con precedenti provvedimenti e giurisprudenza europea
Il provvedimento del 2025 si inquadra in una tendenza già avviata. Nel 2020, un provvedimento del Garante aveva vietato la pubblicazione di foto degli studenti da parte di una scuola, affermando che il consenso non è sufficientemente valido se non è libero. Nel 2022, un altro provvedimento aveva censurato l’installazione di telecamere nei corridoi di una scuola primaria, affermando che la videosorveglianza deve essere limitata a aree di accesso o a rischio.
A livello europeo, la Corte EDU ha ripetutamente richiamato il principio dell'”interesse superiore del minore” come guida. La Corte di giustizia, nella sentenza Nowak (2017), ha evidenziato che i dati personali comprendono ogni informazione riguardante una persona identificata o identificabile.
Prospettive comparatistiche e sviluppi futuri
Il confronto con altri ordinamenti conferma una tendenza comune. In Francia, la CNIL ha recentemente effettuato campagne contro lo “sharenting”, mettendo in guardia genitori dal pubblicare indiscriminatamente foto dei figli. In Germania, la protezione è fornita non solo dal GDPR, ma anche da una cultura giuridica sensibile al concetto di autodeterminazione informativa.
L’Italia, attraverso il provvedimento del 2025, si allinea a questa sensibilità, ma resta il problema di un quadro normativo specifico per i contesti educativi. È auspicabile un intervento legislativo che chiarisca i limiti della videosorveglianza e della diffusione delle immagini nei nidi e nelle scuole, evitando possibili abusi.
Verso un nuovo paradigma di tutela digitale
Il provvedimento del Garante del 10 luglio 2025 non è solo una decisione amministrativa, ma rappresenta un manifesto per la tutela dei minori nell’era digitale. Tre sono i messaggi principali: la videosorveglianza non può diventare controllo ordinario della vita dei bambini; il consenso condizionato è privo di valore giuridico; e la pubblicazione online delle immagini dei minori è un rischio sproporzionato e spesso illecito.
Oltre alle regole, emerge l’esigenza di un cambio culturale. La protezione dei dati non è solo un vincolo burocratico, ma una componente essenziale della dignità della persona. Nei contesti educativi, ciò implica riconoscere che il bambino non è oggetto di osservazione, ma titolare di diritti inviolabili.
In definitiva, la decisione commentata segna un passo significativo verso la costruzione di una cultura della responsabilità digitale, in cui i diritti dei più vulnerabili non sono un ostacolo, ma il punto di partenza per creare un ambiente educativo rispettoso della persona.
