È stata desecretata ieri, e quindi pubblicata sul sito del Garante per la protezione dei dati personali, la sentenza contro l’Università Commerciale “Luigi Bocconi” di Milano, per aver trattato illecitamente i dati biometrici degli studenti in prova di esame online per la sessione estiva del 2020.

---

La sentenza era stata infatti emessa già a settembre 2021, seppur non pubblicata, generata a seguito del reclamo fatto da uno studente che lamentava possibili violazioni della protezione dei dati personali, e in particolar modo di dati particolari (ex sensibili), tramite l’uso del sistema di supervisione “proctering” durante le prove scritte di esame degli studenti, con la finalità sia di identificazione dell’utente che di verifica di corretto comportamento durante la sessione d’esame.

L’attività istruttoria del Garante ha pertanto evidenziato diverse violazioni.

Innanzitutto, un’informativa incompleta e inesatta per l’acquisizione del consenso, sia per la mancata comunicazione di trattamento di dati biometrici atti ad una profilazione dello studente, sia per non aver esplicitato il trasferimento di tali dati in un paese terzo non più soggetto ad un accordo di adeguatezza, e varie informazioni sull’uso e la conservazione dei dati stessi.

Inoltre, si è appurato uno sbilanciamento del potere a favore dell’Ateneo durante l’acquisizione del consenso, peraltro metodo non idoneo giuridicamente per consentire il trattamento di dati particolari, che possono essere raccolti ed elaborati solo secondo dedicate norme e procedure che non prevedono la base giuridica del contratto e/o consenso dell’utente, non offrendo alternative valide all’espletamento dell’esame con altre metodologie online meno invasive in caso di negazione a tale consenso da parte dello studente, se non la sola modalità in presenza, in piena pandemia, con alto rischio per la salute e la diffusione del contagio da Sars-Cov-2 (o Covid19), risultando pertanto pregiudizievole per coloro che non esprimevano il loro consenso alla raccolta di tali dati.

Infine, oltre alla mancata comunicazione di quale fosse il paese verso cui i dati venivano trasferiti, ovvero gli USA, il Garante non ha ravvisato nemmeno le basi giuridiche idonee per il trasferimento di tali dati a seguito della cassazione del Privacy Shield, avvenuto il 16 luglio 2020, pertanto non effettuando un’adeguata valutazione dell’impatto sulla protezione di tali dati in un paese che non assicura un livello di sicurezza assimilabile a quello richiesto dal Regolamento Europeo (GDPR).

Cos’è accaduto, in pratica?

L’Ateneo, con l’avvento della crisi pandemica da Covid19, in virtù del dover trovare un metodo alternativo alla presenza per poter continuare l’attività di insegnamento e di svolgimento delle prove di esame, si è avvalsa, come tante altre Università internazionali, della piattaforma “Respondus”, della Respondus Inc., USA, per poter gestire il calendario di esami senza dover subire grossi ritardi per la carriera degli studenti, almeno per quegli indirizzi “core” dell’Ateneo stesso.

Questo sistema utilizza dei protocolli per l’identificazione dell’utente e un trattamento automatizzato atto a consentire l’analisi del comportamento degli studenti (dando così luogo ad una profilazione) per permettere al docente la verifica di genuinità della prova scritta sostenuta dagli esaminandi.

La piattaforma, quindi, metteva in essere un sistema di rilevazione biometrica, seppur non estrapolando nessun dato da questa rilevazione, per consentire l’identificazione dello studente che sosteneva l’esame, e un sistema di controllo del comportamento di questo per permettere al docente di assicurarsi che non vi fossero contraffazioni da parte dell’esaminando, una sua sostituzione, o un allontanamento che potessero pregiudicare la genuinità della prova sostenuta, attraverso la registrazione di un video e l’analisi di alcuni parametri, sia biometrici che funzionali dell’attività del dispositivo usato. Un sistema automatizzato analizzava poi le informazioni raccolte dalla piattaforma, evidenziando eventuali attività critiche che erano state rilevate, segnalandole al docente che valutava poi se erano effettivamente invalidanti per la prova d’esame. Questa analisi veniva effettuata dal sistema con sede statunitense, e solo poi, una volta finita l’analisi, crittografata e resa disponibile per la consultazione da parte del docente.

Con la cassazione del Privacy Shield saltano le basi giuridiche per il trasferimento dei dati con gli USA, rendendo perciò illecito tale trasferimento, nonostante l’Ateneo avesse rivisto con la società gli accordi per il trattamento, ravvedendo nell’aggiunta delle clausole contrattuali tipo una base idonea a tale procedura. Per il Garante, però, queste non bastano per renderlo lecito, in quanto dette clausole devono essere integrate con garanzie aggiuntive da verificare caso per caso. Non essendo state individuate queste garanzie, né tantomeno integrate alle clausole, si rileva pertanto anche una mancata valutazione dell’impatto che le norme del paese extra UE possano avere sui dati particolari degli studenti.

Non solo, il Garante rileva anche una informativa incompleta, mancando diverse informazioni da rendere agli utenti, come il paese verso cui i dati venivano trasferiti, le basi giuridiche idonee a tale trasferimento, la specificazione che i dati trattati erano dati “particolari” (gli ex cosiddetti “dati sensibili”, soggetti ad una normativa molto più stringente rispetto ai dati personali “normali”), i tempi di conservazione degli stessi, l’uso che ne veniva fatto, e che il paese verso cui venivano trasferiti non era più soggetto ad un accordo di adeguatezza, quindi che necessitavano di ulteriori accortezze per essere raccolti e utilizzati. Per di più, la raccolta di tali dati viene rilevata dal Garante in quantità e qualità superiore a quella adeguata allo scopo, risultando invasiva e lesiva dei diritti degli interessati. Si aggiunge anche che tali dati non venivano raccolti in maniera conforme ai principi di minimizzazione, limitazione della conservazione (in un primo momento, alla richiesta di determinare un preciso tempo di conservazione, l’Ateneo comunicava una tempistica assolutamente abnorme per lo scopo di cinque anni, diminuendo questo poi a dodici mesi, ritenuto dal garante ancora elevato per la finalità della raccolta stessa) e protezione dei dati personali fin dalla progettazione e per impostazione predefinita (privacy by design e by default).

Alla luce di quanto emerso, il Garante ha ritenuto idoneo sanzionare la Bocconi sia con il divieto di ulteriore trattamento di tali dati biometrici, sia del divieto del loro trasferimento. Inoltre, insieme alla sanzione di pubblicazione della sentenza, commina anche una sanzione pecuniaria di duecentomila euro, tenendo conto della gravità degli illeciti commessi, del grande numero di utenti verso cui sono stati commessi (circa 14.000 studenti), ma anche delle attenuanti di circostanze improvvise ed impreviste come la necessità di individuare in tempi ristretti un sistema alternativo alla presenza durante l’emergenza scaturita dalla situazione pandemica, e il fatto che le procedure erano già in atto al momento del decadimento dell’accordo di adeguatezza USA-UE del Privacy Shield.

Per ulteriori approfondimenti potete consultare la sentenza per intero sul sito istituzionale dell’Autorità Garante al seguente link

https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9703988