
Durante i mesi più critici dell’emergenza epidemiologica, tutti gli atenei italiani sono ricorsi agli strumenti digitali per poter garantire continuità didattica nelle aree in cui non era consentito svolgere lezioni ed esami in presenza. Le Università negli ultimi due anni hanno quindi utilizzato le piattaforme online per le lezioni e diversi software proctoring per gli esami a distanza finalizzati ad assicurare un corretto svolgimento delle prove orali o scritte.
Le preoccupazioni sul trattamento dei dati personali hanno però sollevato diverse incertezze sulla loro effettiva protezione, tanto da indurre Joseph Donat Bolton, uno studente inglese laureato in Scienze Politiche, a segnalare al Garante della Privacy i software utilizzati dall’Università Bocconi di Milano.
Dalle indagini effettuate dal Garante, è emerso un trattamento illecito dei dati personali che è costato all’Università una sanzione molto salata: con il provvedimento numero 317 del 21 Settembre, il Garante della Privacy ha imposto all'ateneo meneghino una sanzione di ben 200mila euro .
Guarda anche:
- Green Pass all'Università, gli studenti rischiano la multa
- Decreto Green Pass Bis, Dad solo in zona rossa: cosa cambia a scuola e all'università
- Università, senza Green Pass torna la Dad: a confermarlo è la ministra Messa
- Vuole fare l'esame senza Green Pass, studente occupa l'aula
I due software incriminati in uso presso la Bocconi di Milano
Nel corso delle analisi eseguite dal Garante, sono stati due i software ritenuti non affidabili per il trattamento dei dati, entrambi rilasciati dalla società americana “Respondus Inc”: si tratta di due programmi di proctoring, utilizzati per controllare le prove scritte a distanza. Il primo si chiama “Lockdown browser” ed è servito all’Università per bloccare ulteriori attività sul computer in uso, ed evitare così possibili aiuti dal web. Il secondo è invece “Respondus monitor” ed utilizza la videocamera del pc per controllare costantemente l’ambiente circostante agli studenti, il loro sguardo e la corrispondenza fra la foto scattata all’inizio della sessione e le immagini registrate dalla fotocamera stessa.
La sentenza del Garante della Privacy contro l’Università Bocconi
Nella sentenza emessa dal Garante della Privacy, sono state rilevate diverse infrazioni nell’informativa che gli studenti hanno accettato per poter accedere alle prove online e sono state evidenziate attività di monitoraggio eccessivo rispetto alle effettive necessità.Il testo della sentenza, riportato da Milano Today, chiarisce che “Tali sistemi non devono essere indebitamente invasivi e comportare un monitoraggio dello studente eccedente le effettive necessità. […] Non c’è menzione della fotografia scattata dal sistema all'inizio della prova allo studente, cui viene chiesto di esibire un documento d'identità e di effettuare una ripresa panoramica dell'ambiente circostante”.
Le violazioni dei dati hanno riguardato inoltre anche i tempi della loro conservazione e la destinazione a cui sono stati inviati, senza che gli studenti ne fossero a conoscenza: “Il testo non indica gli specifici tempi di conservazione dei dati personali. […] L’informativa non menziona che i dati personali sono oggetto di trasferimento negli Stati Uniti d'America”. Per rimarcare la gravità di questa mancanza di trasparenza, il Garante ha inoltre sottolineato che nei Paesi oltreoceano, come gli Usa, l’attenzione sulla protezione dei dati personali è nettamente inferiore rispetto a quella che si presta in Italia.
Alla luce delle gravi violazioni riscontrate, il giudizio pronunciato dal Garante ha ritenuto che “il trattamento posto in essere dall'ateneo non può ritenersi conforme al principio di liceità, trasparenza e correttezza non essendo stati forniti tutti gli elementi informativi”.
Il trattamento dei dati biometrici
Del resto, il semplice consenso iniziale da parte degli studenti è stato ritenuto un mezzo insufficiente e inadeguato per la raccolta di dati biometrici: “È possibile affermare che Respondus monitor effettua un trattamento tecnico specifico di una caratteristica fisica degli interessati per confermare la presenza e la coincidenza dell'interessato per tutta la durata della prova. Seppur il sistema non comporta l'identificazione del candidato, effettua comunque un trattamento di dati biometrici che consiste nella raccolta, elaborazione e analisi del video prodotto dal software tramite un algoritmo di intelligenza artificiale al fine di produrre i flag. Per tale motivo, il consenso dello studente non può essere la base giuridica per autorizzare il trattamento dei dati biometrici né può ritenersi una manifestazione di volontà libera in ragione dello squilibrio della posizione degli studenti rispetto al titolare del trattamento”.Sembra infatti che nell’ordinamento giuridico vigente, la raccolta dei dati biometrici non è considerata come un sistema autorizzato per il controllo delle prove di esame a distanza. Come si legge nella sentenza, infatti, “nell'ordinamento vigente non si rinviene una disposizione normativa che espressamente autorizzi il trattamento dei dati biometrici per le finalità della verifica della regolarità delle prove d'esame. […] Il trattamento dei dati biometrici in questione risulta avvenuto in assenza di idonea base giuridica”.
L’autorità della Privacy ha infine imposto all’ateneo il divieto di utilizzare ancora questi software, e il pagamento di una multa di 200mila euro.