İtalyan Veri Koruma Kurumu, eCampus Üniversitesi’nin çevrim içi eğitim süreçlerinde öğrencilerin kimliğini doğrulamak amacıyla kullandığı yüz tanıma sisteminin Avrupa Veri Koruma Tüzüğü’ne aykırı olduğuna hükmederek kuruma 50 bin Euro para cezası kesmiştir. Söz konusu teknolojik altyapının, öğrencilerin kayıt aşamasındaki biyometrik verileri ile ders esnasında web kamerası üzerinden alınan anlık görüntülerini eşleştirerek bir denetim mekanizması kurduğu saptanmıştır. Üniversite yönetimi, bu yöntemin uzaktan eğitimde katılımı doğrulamak için vazgeçilmez olduğunu savunmuşsa da yetkili otorite, sunulan gerekçeleri temel hak ve özgürlüklerin korunması noktasında yetersiz bulmuştur.

Yapılan hukuki incelemelerde, yüksek riskli veri işleme faaliyeti kategorisinde yer alan bu uygulama için kritik önemdeki “Veri Koruma Etki Değerlendirmesi” raporunun usulüne uygun şekilde hazırlanmadığı ortaya çıkmıştır. Ayrıca kurum, üniversite ve öğrenci arasındaki hiyerarşik güç dengesizliği nedeniyle, sınavlara giriş şartı olarak sunulan öğrenci rızasının “özgür irade” unsurunu taşımadığını ve dolayısıyla hukuken geçersiz olduğunu belirtmiştir. Veri sorumlusunun, veri minimizasyonu ilkesini göz ardı ederek ihtiyaç duyulandan fazla kişisel veriyi işlediği ve saklama sürelerine ilişkin sınırları ihlal ettiği de kararda açıkça vurgulanmıştır.

Soruşturma aşamasında üniversitenin ilgili veri işleme yöntemini değiştirmiş ve nihayetinde sonlandırmış olması, mevcut ihlallerin ağırlığı sebebiyle idari yaptırım uygulanmasına engel teşkil etmemiştir.