La Agencia Sueca de Protección de Datos (Datainspektionen) ha impuesto su primera sanción tras la entrada en vigor del RGPD a un colegio del norte del país por monitorizar la asistencia de 22 estudiantes a través del reconocimiento facial, dentro de una prueba piloto centrada en una única clase y durante un período de tiempo limitado.
La multa, de casi 20.000 euros, ha sido impuesta por la autoridad de control sueca al considerar ésta que la escuela ha tratado, de manera ilícita, datos biométricos sensibles y no ha realizado una evaluación de impacto adecuada, incluida una consulta previa a dicha autoridad. Según el centro educativo, dicho tratamiento está basado en el propio consentimiento de los estudiantes, pero la Agencia sueca considera que ésta no es una base legitimadora válida, dado el claro desequilibrio entre los interesados (los estudiantes) y el responsable del tratamiento (el colegio).