Nell’ambito della protezione dei dati personali, il consenso riveste un’importanza centrale, ma non è sempre la “base giuridica” appropriata.
Trattasi di un aspetto che è stato ribadito di recente dal Garante privacy, sanzionando una nota libera università che impiegava un sistema di riconoscimento facciale per scopi di identificazione e verifica della frequenza di un corso erogato agli studenti a distanza.
L’Autorità ha ritenuto questo trattamento illecito, nonostante l’ateneo avesse raccolto il consenso degli studenti.
Come da orientamento consolidato del Garante, infatti, nell’esercizio di attività volte al perseguimento di interessi pubblici, anche quando svolte da enti di diritto privato, è possibile trattare dati personali solo quando ciò sia necessario per dare esecuzione ai compiti di interesse pubblico affidati al titolare oppure agli obblighi di legge cui questo è soggetto.
Nel caso in esame, d’altra parte, il consenso raccolto sarebbe stato comunque invalido, considerato che il rapporto tra studenti e ateneo non è simmetrico e, pertanto, non consente ai primi di esprimere un consenso realmente libero, costituente un'idonea base giuridica.
