Con Nota 15 settembre 2017, n. 432, il Garante della privacy fornisce le prime indicazioni sulla scelta del Responsabile della protezione dei dati personali (RPD) e sull'uso di dati biometrici per la verifica dell'identità dei partecipanti ai corsi online.

In merito alla nomina del Responsabile della protezione dei dati personali (RPD) - introdotta dal Regolamento UE 2016/679 - che tutti gli enti pubblici e anche molteplici soggetti privati dovranno designare non più tardi del prossimo maggio 2018, il Garante chiarische che le pubbliche amministrazioni, così come i soggetti privati, dovranno scegliere la figura in questione con particolare attenzione, verificando la presenza di competenze ed esperienze specifiche. Non sono richieste attestazioni formali sul possesso delle conoscenze o l'iscrizione ad appositi albi professionali.
Tra le competenze richieste tuttavia è necessaria un'approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Nella selezione sarà poi opportuno privilegiare soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte, la partecipazione a master e corsi di studio/professionali.
Non esistendo al momento un albo dei "Responsabili della protezione dei dati" che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto, Enti pubblici e società private dovranno procedere alla selezione del RPD, valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti da assegnati.

Nella newsletter, il Garante della provacy si sofferma anche sull'uso di dati biometrici per la verifica dell'identità dei partecipanti ai corsi online. Legittimo risulta l’impiego di un sistema informatico che consente di verificare l'effettiva corrispondenza tra l'identità degli avvocati iscritti a corsi di formazione professionali, erogati in streaming, a quella delle persone effettivamente connesse. Il sistema, sottoposto a verifica preliminare dell'Autorità, è finalizzato a evitare che alcuni partecipanti pongano in essere comportamenti sleali per farsi attribuire crediti formativi simulando la partecipazione ai corsi a distanza.Il controllo dell'identità, nel caso di specie, avverrà acquisendo, a intervalli casuali durante lo svolgimento del corso, la fotografia dei partecipanti collegati in diretta streaming, mediante la webcam del pc di ciascun professionista. Al termine dell'evento le immagini acquisite verranno inserite nelle schede personali insieme al diagramma di connessione.Successivamente un operatore confronterà le fotografie con quelle dei documenti di identità raccolti in fase di iscrizione. Il Garante ha richiamato a tale proposito la definizione di riconoscimento facciale elaborata dal Gruppo Art. 29 secondo cui "il riconoscimento facciale è il trattamento automatizzato di immagini digitali contenenti i volti degli individui allo scopo di identificarli, verificarne l'identità o categorizzarli".
Necessaria sarà una specifica e articolata informativa che consenta agli interessati di eesser messi a conoscenza delle finalità e modalità del trattamento.
Il Garante ha prescritto inoltre alla società di raccogliere dagli interessati uno specifico consenso informato al trattamento delle immagini e di configurare il sistema in modo da trattare i dati nel rispetto dei principi di proporzionalità, necessità e correttezza. La società dovrà consentire l'accesso ai dati personali acquisiti solo a soggetti adeguatamente formati, designati "responsabili" e "incaricati" del trattamento, e dovrà adottare idonee misure di sicurezza a tutela della privacy degli interessati.