Proctoring e GDPR. Perché il garante ha bocciato l’esame a distanza dell’Università Bocconi

Tastiera trasparente vista dal basso

Il Garante per la Protezione dei Dati Personali con provvedimento del 28 settembre 2021 ha ingiunto all’Università Commerciale Luigi Bocconi di Milano il pagamento di 200.000,00 euro a titolo di sanzione amministrativa per le ripetute violazioni delle disposizioni del Regolamento (UE) 2016/679.

La condotta illecita è stata portata all’attenzione dell’Autorità da uno studente inglese, il quale alla fine di aprile 2020 si è trovato a sostenere gli esami scritti con l’uso da parte dell’Università di un software di monitoraggio e controllo a distanza rilevandone dei profili di presunta illiceità sottoposti al vaglio dell’Autorità garante. 

Respondus e il sistema di “proctoring”  

Nel contesto dell’emergenza epidemiologica da SARS-CoV-2, è stata predisposta dall’Università Bocconi una modalità alternativa di svolgimento degli esami scritti, idonea a mantenere le medesime garanzie previste dagli esami in presenza, avvalendosi di un servizio software erogato dall’azienda statunitense Respondus Inc. il quale, attraverso un sistema di cd. proctoring, come accertato dall’Autorità, è in grado di acquisire e trattare dati biometrici.

L’accertamento della sussistenza di un illecito nella condotta dell’Università concretizzatasi nella conduzione degli esami ricorrendo all’ausilio del suddetto servizio software ha richiesto un’approfondita disamina delle caratteristiche tecnico-funzionali del servizio software, dell’informativa sul trattamento dei dati degli esaminati quale resa dall’Università Bocconi agli studenti, dei chiarimenti e delle precisazioni fornite nel corso dell’istruttoria dall’Università Bocconi.  

Oltre a inibire specifiche funzionalità dei dispositivi in uso agli studenti durante lo svolgimento della prova scritta, attraverso la funzione cd. “LockDown Browser”, il Garante ha accertato che Respondus attraverso la webcam acquisisce immagini ritraenti lo studente ed ha, altresì, visione del suo schermo indentificando e contrassegnando con un flag i comportamenti insoliti o sospetti dello stesso studente (quali: sguardo non rivolto verso il monitor, volto parzialmente assente, volto mancante) mediante registrazioni video e istantanee scattate a intervalli casuali.  

Al termine della prova d’esame, il sistema elabora una Review Priority, affinché il docente esaminatore possa rilevare condotte invalidanti o meno la prova d’esame nell’esercizio dei suoi poteri discrezionali. 

A seguito della segnalazione, compiuta l’attività istruttoria, il Garante ha notificato all’Ateneo l’avvio del procedimento per l’adozione dei provvedimenti aventi ad oggetto diverse presunte violazioni. 

Nel ravvisare in capo all’Università Bocconi – nella sua qualità di titolare del trattamento dei dati degli studenti esaminati – un trattamento dei dati non conforme ai principi di limitazione della conservazione e minimizzazione, nonché un’omessa valutazione sugli impatti derivanti dall’utilizzo del software, il Garante ha accertato nella propria Ordinanza diversi comportamenti illeciti dell’Università forieri di diverse violazioni del Regolamento. 

Il difetto di informativa 

In primis, la violazione degli artt. 5, par.1, lett. a) e 13 del Regolamento. 

È noto che il titolare del trattamento di dati personali debba fornire all’interessato l’informativa “in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato.”

Dall’attività istruttoria compiuta è emerso che l’informativa sul trattamento dei dati fornita agli studenti non riportasse tutte le informazioni richieste dal Regolamento per assicurare un trattamento corretto e trasparente.  

È stato rilevato che la stessa facesse riferimento “a titolo esemplificativo e non esaustivo” solo al trattamento di alcuni dati dello studente, omettendo di informarlo sul tracciamento del comportamento durante la prova e le successive profilazioni. Inoltre, non vi era menzione né della fotografia al documento di identità fornito all’inizio della prova né, tantomeno, alle riprese all’ambiente circostante che veniva chiesto allo studente prima dell’inizio della prova.

Nessuna informazione veniva fornita in ordine ai tempi di conservazione dei dati, limitandosi a prevedere “per un tempo strettamente necessario al perseguimento delle finalità indicate”, mancando di fissare i diversi periodi in ordine alle diverse finalità. 

Altresì, la correttezza e la trasparenza risultano lese nella misura in cui, sebbene il sistema Respondus non sia assimilabile ai sistemi di intelligenza artificiale, i quali si distinguono in relazione al processo decisionale totalmente automatizzato, pur non rilevando alcuna violazione legata alla comprensione all’algoritmo di funzionamento dell’IA, al pari non si conoscono (e non venivano esplicitati) i meccanismi del sistema di supervisione, i quali portavano alla profilazione dell’interessato. 

Il difetto di adeguata base giuridica del trattamento di dati biometrici 

Altresì, il Garante ha rilevato, a danno degli studenti, la violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento. 

Il Regolamento prevede espressamente che “è vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.” 

Bisogna precisare che, affinché il trattamento del dato di immagine possa essere qualificato come biometrico, è necessario che il confronto per il riconoscimento avvenga attraverso l’utilizzo di hardware o software, in ogni caso attraverso un trattamento tecnico specifico.  

Tale circostanza, pure se pacificamente ammessa e inserita nell’informativa, non è stata ritenuta sorretta da un’adeguata base giuridica, di cui all’art. 6 del Regolamento.

Il trattamento dei dati biometrici, finalizzato ad una profilazione dello studente, sarebbe avvenuto in assenza di un’idonea base giuridica e di una specifica esigenza giustificativa. Tali presupposti, come riportato dal Garante, sono presupposti indefettibili di liceità del trattamento di dati biometrici che, in virtù della loro stretta relazione con l’identità personale, richiedono tutele e presupposti maggiori rispetto ad altri.  

Nello specifico, la base giuridica era stata rintracciata dall’Università nel consenso preventivamente richiesto agli studenti.  

Tuttavia, laddove per consenso deve intendersi, ai sensi dell’art. 4 del Regolamento, una “manifestazione di volontà libera”, questo non potrebbe sussistere tutte le volte in cui si abbiano relazioni in disequilibrio, quali quelle intercorrenti tra Università e professore su un fronte e studente sull’altro, tale per cui possa ingenerarsi nello studente uno stato di pressione psicologica di poter essere destinatario di un trattamento sfavorevole in sede d’esame in caso di rifiuto a che lo stesso potesse svolgersi a distanza con l’ausilio del software Respondus.

Data l’impossibilità di far ricorso al consenso quale base giuridica del trattamento, il trattamento dei dati biometrici sarebbe stato concesso soltanto ove si fosse ritenuta sussistente una previsione normativa idonea a specificare oltre all’interesse pubblico rilevante, i tipi di dati, le operazioni eseguibili, nonché le misure appropriate per la tutela degli interessati.

Il trasferimento di dati all’estero 

Ulteriore elemento emerso durante l’istruttoria e che ha determinato l’ingiunzione all’Università Bocconi è stato quello relativo alla violazione degli artt. 44 e 46 del Regolamento, relativo al trasferimento internazionale dei dati personali. 

L’innovativo sistema, infatti, veniva fornito da Respondus Inc., società con sede negli Stati Uniti, responsabile del trattamento, in virtù dello specifico accordo tra le parti, ai sensi dell’art. 28 del Regolamento. 

I trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo sono consentiti a condizione che l’adeguatezza del Paese terzo sia riconosciuta da una decisione della Commissione; in assenza di detta decisione, è necessario che il titolare del trattamento fornisca garanzie adeguate ed effettive agli interessati. 

Il Garante ha cura di evidenziare che, per quanto riguarda i trasferimenti verso gli Stati Uniti d’America, la Corte di Giustizia dell’UE ha ritenuto che gli Stati Uniti non garantissero un livello di tutela equivalente a quello europeo e non riconosce agli interessati diritti azionabili nei confronti delle autorità statunitensi. 

Nonostante l’accordo intervenuto tra l’Ateneo e Respondus Inc. prevedesse espressamente tale tutela, le misure tecniche e operative non sono sembrate idonee a soddisfare il requisito di sicurezza dei trasferimenti, dal momento che non erano state puntualmente e accuratamente descritte e non potendo a queste sopperire la pseudominizzazione dei dati oggetto di trasferimento. 

Tale violazione è stata ritenuta ancor più rilevante per la natura dei dati (biometrici, come si è visto) oggetto trasferimento all’estero. 

In conclusione, sebbene il Garante abbia rilevato la prontezza dell’Ateneo nel fronteggiare le problematiche derivanti dal contesto emergenziale, avendo operato scelte e adottato misure tecniche e organizzative in tempi rapidi, nel rispetto della continuità didattica, lo stesso ha condannato l’ateneo applicando – altresì – la sanzione accessoria della pubblicità del provvedimento, pubblicità che rappresenta un contributo fondamentale in punto bilanciamento degli interessi di titolare e interessato nelle scelte di trattamento dei dati personali, anche in considerazione della peculiarità dei dati trattati e delle finalità perseguite dal titolare per alcuni versi innovative, che confermano il primato dell’adeguata informazione e del libero consenso dell’interessato sull’interesse imprenditoriale del titolare.

Coautore Camilla Lentini.