GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/586/011.jpg

Dettaglio news
La Bocconi nel mirino del Garante: sanzione pecuniaria per violazione dati degli studenti durante gli esami online. Un duro colpo alla didattica a distanza?


martedì 5 ottobre 2021
di Avv. Gianni Dell'Aiuto





Ha preso le mosse dal reclamo di uno studente il provvedimento del Garante per la Protezione Dati Personali con il quale l’Università Luigi Bocconi di Milano è stata sanzionata per violazioni del GDPR. Lo studente lamentava una possibile violazione della normativa nelle modalità previste per lo svolgimento delle prove scritte di esame a fine di identificare gli studenti e verificarne il corretto comportamento. Secondo l’esposto la richiesta di utilizzare dati biometrici avrebbe cagionato un danno estremo.

Tra le prime argomentazioni addotte dall’ateneo a propria difesa è stato addotto come l’emergenza Covid abbia richiesto modalità diverse da quelle tradizionali per lo svolgimento dell’esame online, assicurando le stesse garanzie di quello in presenza per oltre sessantamila prove scritte. Detta garanzia era stata individuata nel sistema messo a disposizione da un fornitore mediante trattamento di dati biometrici e nominato responsabile esterno del trattamento previa contrattualizzazione della procedura. Base del trattamento veniva quindi individuata per i dati comuni nel contratto con gli studenti e per i dati biometrici nell’apposito consenso richiesto anche in base alla natura privatistica dell’università stessa. Misure organizzative disciplinavano l’ipotesi in cui uno studente negasse il consenso. Precisava la Bocconi che la regolarità delle prove richiedeva che, oltre alla reale identità dello studente, era necessario accertare anche la genuinità della prova per evitare aiuti esterni o altri interventi distortivi.

In un lungo e articolato provvedimento, il Garante stabilisce che università pubbliche e private perseguono un medesimo interesse pubblico e i relativi trattamenti di dati personali siano leciti se necessari “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri”. Per questo motivo i trattamenti posti in essere non possano trovare fondamento in altre basi giuridiche quali, il consenso e/o il contratto.

Venendo poi a valutare lo strumento utilizzato il Garante, pur dando atto della necessità delle necessarie cautele, ha ribadito che non possono considerarsi accettabili sistemi che comportano “una sorveglianza elettronica priva dei necessari limiti e garanzie”; pertanto le università devono rispettare i principi di protezione dei dati verificando la sussistenza dei presupposti di liceità, correttezza e trasparenza nei confronti degli interessati, anche in considerazione della particolare invasività che l’impiego di tali soluzioni tecnologiche può comportare (trattamento di categorie particolari di dati; profilazione; trasferimenti internazionali dei dati).
Nello specifico caso è stata rilevata una inadeguatezza dell’informativa in ordine al trattamento dei dati biometrici (non è possibile inserire diciture quali “a titolo esemplificativo e non esaustivo”) e non viene fatto corretto riferimento al comportamento per la rilevazione delle irregolarità nello svolgimento dell’esame. Anche durata del trattamento e trasferimento dati in server negli Stati Uniti si sono rivelati, tra gli altri, aspetti non a norma dell’informativa.

In altra parte del provvedimento, dopo un’approfondita analisi delle modalità di trattamento dei dati biometrici, il Garante, in estrema sintesi, rilevato che nell’ordinamento vigente non si rinviene una disposizione che espressamente autorizzi il trattamento dei dati biometrici per le finalità di verifica della regolarità delle prove d’esame, asserisce che la Bocconi abbia operato in assenza di idonea base giuridica.

Inoltre, in fase di esame, venivano rilevati i comportamenti anomali quali la posizione dello studente rispetto alla web cam, disconnessioni dalla rete, applicazioni in uso e movimenti del mouse per passare da un'applicazione all'altra o per uscire dal sistema per consentire al docente di visualizzare i fotogrammi che evidenziavano una presunta anomalia. Tutto ciò, secondo l’Authority, dà origine a una profilazione degli studenti generando una pluralità di informazioni e dati personali relativi allo studente e alla sua condotta, il cui trattamento non risulta strettamente necessario per assicurare il regolare svolgimento e la validità della prova e sono potenzialmente idonee a rivelare aspetti relativi alla sua vita privata.

Errata anche la valutazione d’impatto che, in realtà, si è svolta solo sul sistema e non sulle ripercussioni che avrebbero potuto avere gli studenti a seguito di questa tipologia di trattamento. In particolare, il Garante ha fatto presente che l’università si era limitata a valutare il possibile danno psichico da una improbabile messa in rete della prova di esame, ma nulla ha considerato sul possibile danno derivante dalla profilazione del comportamento durante lo svolgimento della stessa.

In conclusione, l’accertamento delle violazioni ha comportato alla declaratoria di inutilizzabilità dei dati trattati, ha disposto la limitazione del trattamento, vietando all’Università ogni ulteriore operazione di trattamento, con riguardo ai dati biometrici degli studenti, e vietato il trasferimento dei dati personali degli interessati negli Stati Uniti d’America, avvenuto in assenza di adeguate garanzie per gli stessi. L’ ateneo dovrà inoltre comunicare al Garante le iniziative intraprese al fine di dare attuazione al provvedimento e le eventuali misure realizzate per ovviare all’accaduto. Infine, in ordine alla sanzione pecuniaria, tenuto conto delle circostanze emergenziali, ma anche del gran numero di studenti, e quindi di dati trattati, il Garante ha quantificato l’importo in e 200.000,00. Non proprio una cifra irrisoria a cui aggiungere i maggiori costi di organizzazione e di revisione delle misure di protezione dati da adottare.




CONDIVIDI QUESTA PAGINA!