Archivio rubriche 2021

Garante per la protezione dei dati personali (3/2021)

Aggiornato al 31/9/2021

 Nel periodo di riferimento considerato (luglio 2021 – settembre 2021), non si segnalano provvedimenti di carattere generale del Garante per la protezione dei dati personali (di seguito ‘Garante’).

Si ritiene comunque utile dare conto dei casi che si segnalano per i profili di novità della fattispecie trattata e sfociata nella comminazione di sanzione di importi particolarmente elevati nei confronti dell’autore della condotta, in quanto utili anche per orientare gli altri titolari del trattamento in casi analoghi.

 

Al riguardo, è interessante ricordare – anche per la complessità della questione e la molteplicità delle disposizioni violate – il caso riguardante il trattento dei dati personali effettuato dall’Università Commerciale “Luigi Bocconi” di Milano, avente a oggetto dati biometrici degli studenti nell’effettuazione degli esami a distanza durante il periodo di emergenza epidemiologica da Covid-19[1].

Il Garante è intervenuto a seguito della segnalazione di uno studente dell’Ateneo in ordine a «possibili violazioni della disciplina sulla protezione dei dati personali in relazione all’impiego di un sistema di supervisione (proctoring) nell’ambito dello svolgimento delle prove scritte d’esame degli studenti».

Il sistema cui lo studente faceva riferimento era relativo a «una modalità alternativa di svolgimento degli esami universitari a distanza» (sistema di supervisione a distanza denominato “Respondus”), che avrebbe riguardato un numero di circa 60.000/70.000 prove scritte, con «l’obiettivo di assicurare le medesime garanzie previste per gli esami in presenza» tramite il trattamento di dati biometrici effettuato da una società esterna (Respondus) individuata dall’Ateneo. Ciò in modo da consentire «al docente di poter verificare la genuinità della prova scritta resa dagli Studenti, senza che la stessa potesse esser alterata, attraverso sostituzioni di persona e/o contraffazioni, o altri interventi distorsivi della misura e valutazione dell’apprendimento personale».

Dall’istruttoria aperta dall’Autorità di protezione dei dati è emerso che il software utilizzato «cattura le immagini video e lo schermo dello studente identificando e contrassegnando con un flag i momenti in cui sono rilevati comportamenti insoliti e/o sospetti mediante registrazione video e istantanee scattate a intervalli casuali per tenere traccia di comportamenti anomali quali: sguardo non rivolto verso il monitor, volto parzialmente assente dalla foto, volto mancante». Inoltre, al «termine della prova, il sistema elabora il video, inserendo segnali di allerta in merito a possibili indici di comportamenti scorretti (c.d. “flag”) e attribuendo, fra l’altro, una c.d. “Review Priority”, affinché il docente (utente supervisore) possa poi valutare se effettivamente sia stata commessa un’azione non consentita nel corso della prova».

Il Garante ha evidenziato che – contrariamente a quanto affermato dalla società che ha messo a disposizione il software – il sistema effettuava sia trattamenti di dati biometrici degli studenti che operazioni di trattamento automatizzato degli stessi (profilazione), in assenza di una idonea base giuridica, dell’informativa e delle garanzie per gli interessati necessarie al riguardo, sottovalutando i rischi del trattamento dei dati personali, che, peraltro, venivano anche inviati negli Stati Uniti d’America e, dunque, in un paese situato al di fuori dell’Unione europea che non rispetta analoghi standard di protezione dei dati. Tutto ciò, quindi, in violazione delle regole sulla protezione dei dati personali contenute nel Regolamento (UE) 2016/679 (Regolamento generale sulla protezione dei dati).

Da quanto è emerso, infatti, il sistema utilizzato anche se non comportava l’identificazione del candidato e non confrontava «l’immagine del volto con altre immagini presenti in propri database e in database esterni, ovvero non effettu[ava] una identificazione (1 a molti) o verifica biometrica (uno a uno)», realizzava in ogni caso un trattamento di dati biometrici considerando che consentiva la «raccolta, elaborazione e analisi del video prodotto dal software tramite un algoritmo di intelligenza artificiale al fine di produrre i “flag”» e quindi effettuava «un trattamento tecnico specifico di una caratteristica fisica degli interessati per confermare la presenza e la coincidenza dell’interessato per tutta la durata della prova»[2].

In tale quadro, è stato ribadito che «le università, nello svolgimento dei propri compiti istituzionali, che implicano anche la verifica sul corretto svolgimento delle prove d’esame, anche quando siano svolte a distanza, devono rispettare i principi di protezione dei dati, verificando, in primo luogo, la sussistenza dei presupposti di liceità con riguardo agli specifici trattamenti derivanti dall’impiego dai sistemi di supervisione e assolvendo, prima dell’inizio del trattamento agli obblighi di correttezza e trasparenza nei confronti degli interessati».

Nel caso di specie, non è stata rinvenuta alcuna disposizione normativa che avesse «le caratteristiche richieste dalla disciplina di protezione dei dati in termini di qualità della fonte, contenuti necessari e rispetto del principio di proporzionalità» (art. 6, par. 3, del Regolamento UE 2016/679) che potesse legittimare il trattamento dei dati biometrici degli studenti da parte dell’Università per le finalità di verifica della regolarità delle prove d’esame. Al riguardo, è stato anche evidenziato che il consenso al trattamento dei dati prestato dagli studenti – identificato dall’Ateneo come idonea base giuridica del trattamento dei dati biometrici tramite il sistema “Respondus” – non poteva essere ritenuto un idoneo presupposto di legittimità, tenendo anche conto che non poteva essere considerato «una “manifestazione di volontà libera” (art. 4, par. 1, n. 11, del Regolamento), in ragione dello squilibrio della posizione degli studenti rispetto al titolare del trattamento (cfr. considerando n. 43 del Regolamento)».

Peraltro, il sistema utilizzato era altresì «dotato di funzionalità e meccanismi che comporta[va]no la generazione di segnali di allarme (c.d. “flag”) al fine di rilevare anomalie del comportamento dello studente durante la prova per verificarne la correttezza e la conseguente regolarità», attraverso l’«analisi del comportamento dello studente durante [la] prova (es. posizione dello studente rispetto alla web cam, disconnessioni dalla rete Internet, applicazioni in uso, e movimenti del mouse per passare da un’applicazione all’altra o per uscire dal sistema), consentendo al docente di visualizzare i fotogrammi rispetto ai quali il sistema [avesse] evidenziato una presunta anomalia». Per tali motivi, è stato ritenuto «che le funzionalità della componente “Respondus Monitor”, che determina[va]no un trattamento parzialmente automatizzato per l’analisi del comportamento degli interessati, in funzione della successiva valutazione del docente, d[essero] comunque luogo a una “profilazione” degli studenti (art. 4, par. 1, n. 4, del Regolamento), intesa come l’operazione di trattamento automatizzato di dati personali “per valutare aspetti personali relativi a una persona fisica” e, in particolare, come nel caso in esame, per analizzare aspetti riguardanti il comportamento o l’affidabilità dell’interessato (art. 4, n. 4, del Regolamento)».

Inoltre, è stato anche evidenziato che, poiché il sistema teneva anche «traccia del comportamento dello studente durante la prova (disconnessioni dalla rete Internet; tentativi di utilizzare il mouse o il trackpad per passare da un’applicazione all’altra o per uscire dal sistema; applicazioni in uso; posizione del viso dello studente)», venivano generate «pluralità di informazioni e dati personali relativi allo studente e alla sua condotta, il cui trattamento non risulta[va] strettamente necessario per assicurare il regolare svolgimento e la validità della prova».

In tale contesto, l’informativa sul trattamento dei dati personali resa dall’Università agli studenti, non riportava «tutte le informazioni richieste dal Regolamento [europeo] per assicurare un trattamento corretto e trasparente» (art. 13). Il testo dell’informativa esaminato, oltre a non indicare gli specifici tempi di conservazione dei dati, faceva «riferimento al trattamento dei dati biometrici e di alcuni altri dati degli studenti (nome, cognome e data di nascita), solo “a titolo esemplificativo e non esaustivo”, [ma] non menziona[va] invece gli ulteriori specifici trattamenti posti in essere mediante il sistema “Respondus”, quali il tracciamento del comportamento dello studente durante la prova (posizione del viso; disconnessioni dalla rete Internet; tentativi di utilizzare il mouse o il trackpad per passare da un’applicazione all’altra o per uscire dal sistema; applicazioni in uso), le successive elaborazioni mediante profilazione, la registrazione audio-video della prova», né menzionava la «fotografia scattata dal sistema all’inizio della prova allo studente, cui v[eniva] chiesto di esibire un documento di identità e di effettuare una ripresa panoramica dell’ambiente circostante». Inoltre, non veniva esplicitata «la logica su cui si basa[va] il funzionamento del sistema di supervisione (cfr. art. 5, par. 1, lett. a), del Regolamento). non essendo chiarite le diverse funzionalità del sistema e i meccanismi che comportano la generazione dei segnali di allarme/anomalia, né [erano] rese note l’importanza e le conseguenze per l’interessato nel caso in cui ven[ivano] posti in essere determinati comportamenti nel corso dello svolgimento della prova».

L’Ateneo, inoltre, non avrebbe nemmeno correttamente valuto i rischi derivanti ai soggetti interessati dal complesso delle operazioni di trattamento effettuato relativo «all’impiego di sistemi di supervisione del comportamento degli studenti durante le prove d’esame a distanza». Il Garante ha «evidenziato che tali sistemi “non devono essere indebitamente invasivi e comportare un monitoraggio dello studente eccedente le effettive necessità”, in quanto, sebbene il necessario rispetto delle regole di svolgimento delle prove vada garantito anche online, non possono considerarsi accettabili sistemi che comportano “una sorveglianza elettronica priva dei necessari limiti e garanzie”»[3].

Anche la valutazione di impatto sulla protezione dei dati effettuata dall’Ateneo ai sensi dell’art. 35 del Regolamento (UE) 2016/679 è stata ritenuta non «adeguata, limitandosi a illustrare le caratteristiche del sistema di supervisione utilizzato, rappresentandolo come conforme al quadro normativo in materia di protezione dei dati, senza però una puntuale valutazione “della necessità e proporzionalità dei trattamenti in relazione alla finalità” e “dei rischi per i diritti e le libertà degli interessati” (art. 35, par. 7, lett. b) e c)), anche in termini di possibile condizionamento o pressioni indirette nei confronti degli studenti, riportando giudizi di adeguatezza estremamente sintetici, privi di idonea motivazione […], non essendo state, pertanto, individuate, in relazione a taluni profili, appropriate misure “per affrontare i rischi” e per attenuare gli stessi (art. 35, par. 7, lett. d) del Regolamento)».

In relazione poi ai tempi di conservazione dei dati personali delle registrazioni audio-video delle prove d’esame individuati in cinque anni dalla data della prova (poi ridotti dall’Ateneo in dodici mesi successivamente alla contestazione amministrativa del Garante), l’Università «non ha fornito le specifiche motivazioni sulla cui base si rende[va] necessaria la conservazione dei dati per un così esteso lasso temporale» e tale periodo di conservazione non è stato in ogni caso ritenuto «proporzionato rispetto alla finalità di assicurare la regolarità delle prove d’esame», non potendo «essere giustificato per l’ulteriore finalità legata all’utilizzo dei medesimi dati in caso di eventuali contestazioni da parte degli interessati, considerati i termini previsti dalla legge per impugnare l’esito della prova (reclamo alla commissione esaminatrice ovvero ricorso al TAR)».

Infine, sotto il profilo della liceità, correttezza e trasparenza del trattamento è stato contestato il trasferimento dei dati personali negli Stati Uniti d’America (peraltro non riportato nell’informativa resa agli studenti), ossia «un Paese terzo il cui diritto interno, come stabilito nella […] sentenza della Corte di Giustizia [del 16 luglio 2020 (Data Protection Commissioner contro Facebook Ireland Limited e Maximillian Schrems, Causa C-311/18)], non garantisce un livello di tutela sostanzialmente equivalente a quello riconosciuto dal diritto europeo e non accorda ai soggetti interessati diritti azionabili, in sede giudiziaria nei confronti delle autorità statunitensi». Al riguardo, il Garante ha evidenziato che, pertanto, «l’Ateneo, nell’ambito della stipula delle clausole contrattuali tipo, avrebbe dovuto espressamente valutare e prevedere, se del caso, “l’adozione di misure supplementari da parte del titolare del trattamento al fine di garantire il rispetto di tale livello di protezione” (par. 133 della sentenza), valutazione di cui non vi è alcuna evidenza nella documentazione contrattuale stipulata con Respondus, Inc. e fornita al Garante».

Alla luce di tutto quanto considerato il Garante per la protezione dei dati personali ha vietato all’Università Bocconi (ai sensi dell’art. 58, par. 2, lett. f), del Regolamento UE 2016/679) «ogni ulteriore operazione di trattamento, con riguardo ai dati biometrici degli studenti e ai dati sulla cui base viene effettuata la profilazione degli interessati mediante il sistema “Respondus”», nonché «il trasferimento dei dati personali degli interessati negli Stati Uniti d’America, in assenza di adeguate garanzie per gli stessi». Il Garante ha, inoltre, comminato una sanzione amministrativa pecuniaria all’Ateneo – che, sulla base degli elementi rilevati, ha quantificato in euro 200.000,00 (cfr. art. 83, par. 1, del Regolamento UE 2016/679) – per la violazione degli artt. 5, par. 1, lett. a), c) ed e); 6; 9; 13; 25; 35; 44 e 46 del Regolamento (UE) 2016/679, nonché dell’art. 2-sexies del d. lgs. n. 196 del 30/6/2006 (Codice in materia di protezione dei dati personali).

 

[1] Provv. n. 317 del 16/9/2021, in www.gpdp.it, doc. web n. 9703988, https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9703988.

[2] Cfr. la definizione di “dato biometrico”, contenuta nell’art. 4, par. 1, n. 14, del Regolamento (UE) 2016/679.

[3] Nel provvedimento si richiama, al riguardo, la memoria del Presidente del Garante del 27/4/2021 presso le Commissioni riunite 7a e 12a del Senato in tema di “Impatto della didattica digitale integrata (DDI) sui processi di apprendimento e sul benessere psicofisico degli studenti”, doc. web n. 9581498, spec. par. 2.

Osservatorio sulle fonti

Rivista telematica registrata presso il Tribunale di Firenze (decreto n. 5626 del 24 dicembre 2007). ISSN 2038-5633.

L’Osservatorio sulle fonti è stato riconosciuto dall’ANVUR come rivista scientifica e collocato in Classe A.

Contatti

Per qualunque domanda o informazione, puoi utilizzare il nostro form di contatto, oppure scrivici a uno di questi indirizzi email:

Direzione scientifica: direzione@osservatoriosullefonti.it
Redazione: redazione@osservatoriosullefonti.it

Il nostro staff ti risponderà quanto prima.

© 2017 Osservatoriosullefonti.it. Registrazione presso il Tribunale di Firenze n. 5626 del 24 dicembre 2007 - ISSN 2038-5633