Esami in era Covid-19: il Garante della privacy interviene sulla legittimità dell’uso dei sistemi di supervisione a distanza


Con un’articolata ordinanza depositata in data 16 settembre 2021, il Garante per la Protezione dei Dati Personali ha avuto il modo di esprimersi in relazione al reclamo presentato da uno studente dell’Università Commerciale “Luigi Bocconi” di Milano, che aveva lamentato possibili violazioni della disciplina sulla protezione dei dati personali in relazione all’impiego di un sistema di supervisione (proctoring) nell’ambito dello svolgimento delle prove scritte d’esame.

Nell’esaminare la questione sottoposta, in prima battuta, il Garante ha evidenziato come il quadro normativo in materia di protezione dei dati non preveda un diverso regime applicabile ai soggetti pubblici e a quelli privati, dal momento che lo stesso tiene invece conto del profilo funzionale nel trattamento. Ha quindi ricordato che, stante il perseguimento di un medesimo interesse pubblico da parte delle università pubbliche e private, i relativi trattamenti di dati personali sono da considerarsi leciti solo se necessari per adempiere un obbligo legale al quale è soggetto il titolare del trattamento, ovvero se necessari per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri. Per tali ragioni, contrariamente a quanto originariamente sostenuto dall’Ateneo, ha ritenuto che i trattamenti dei dati degli studenti, ancorché nello specifico finalizzati al rilascio di titoli di studio aventi valore legale, e comunque connessi allo svolgimento di attività soggette alla vigilanza del Ministero dell’Università e della Ricerca, non possano trovare fondamento in altre basi giuridiche quali, il consenso e o il contratto. Nel caso di specie, l’Ateneo aveva identificato nel consenso dello studente la base giuridica del trattamento dei dati biometrici trattati, tuttavia, considerato che il trattamento era svolto dall’Ateneo ai fini del rilascio di titoli di studio aventi valore legale, il Garante ha escluso che il consenso costituisse una valida base giuridica del trattamento, evidenziando inoltre che lo stesso non poteva nemmeno ritenersi una “manifestazione di volontà libera”.

Il Garante ha poi precisato che, qualora l’Università intenda avvalersi di un sistema di supervisione a distanza delle prove d’esame scritte, al fine di assicurare che lo svolgimento degli esami universitari a distanza abbia garanzie il più possibile equivalenti a quelle previste per gli esami in presenza, tali sistemi non possano comunque essere indebitamente invasivi e comportare un monitoraggio dello studente eccedente le effettive necessità.

Ha quindi ricordato che la necessità di assicurare la correttezza e la trasparenza del trattamento impone che l’interessato sia sempre informato dell’esistenza di una profilazione e delle conseguenze della stessa e che, indipendentemente dagli specifici obblighi di trasparenza applicabili al processo decisionale automatizzato, sia rispettato il principio generale secondo cui questo trattamento non dovrebbe cogliere di sorpresa l’interessato.

Quanto agli obblighi incombenti sull’Ateneo, ha ribadito che l’informativa fornita agli studenti avrebbe dovuto riportare tutte le informazioni richieste dal Regolamento per assicurare un trattamento corretto e trasparente, indicando altresì gli specifici tempi di conservazione dei dati personali, dovendo  esplicitare la logica su cui si basa il funzionamento del sistema di supervisione, chiarendo le diverse funzionalità del sistema e i meccanismi che comportano la generazione dei segnali di allarme/anomalia, ma, soprattutto, avrebbe dovuto rendere note l’importanza e le conseguenze per l’interessato nel caso in cui vengano posti in essere determinati comportamenti nel corso dello svolgimento della prova.

Secondo l’Autorità procedente, l’aver illustrato le funzionalità del sistema ai soli rappresentati degli studenti non risulterebbe, invece, idoneo a rendere edotti individualmente gli interessati con riguardo a tutte le operazioni di trattamento effettuate.
Specialmente nel contesto dell’esercizio di compiti di interesse pubblico, occorre tenere conto degli specifici rischi derivanti dalla profilazione che, generando informazioni nuove e ulteriori da quelle fornite dall’interessato o altrove acquisite, può talvolta comportare conseguenze pregiudizievoli per l’interessato, quali, in generale, l’esclusione da benefici, il mancato accesso a beni e servizi o, come nel caso di specie, l’annullamento di una prova d’esame, in violazione del principio di non discriminazione. Pertanto, il trattamento in questione, per essere lecito, oltre a dover essere chiaramente rappresentato agli interessati, deve essere, in questo contesto, necessario per l’esecuzione di un compito di interesse pubblico e deve quindi essere previsto da una norma di legge o di regolamento che, nel caso di specie però non sussiste.

Il Garante ha quindi precisato che, anche in considerazione del rischio che incombe sui diritti e le libertà degli interessati, il titolare del trattamento deve fin dalla progettazione e per impostazione predefinita adottare misure tecniche e organizzative adeguate ad attuare i principi di protezione dei dati, quali i principi di minimizzazione e di limitazione della conservazione, integrando nel trattamento le necessarie garanzie per soddisfare i requisiti del Regolamento e tutelare i diritti e le libertà degli interessati. Ciò anche quando il titolare del trattamento utilizza prodotti o servizi realizzati da terzi, impartendo se del caso le necessarie istruzioni al fornitore del servizio e assicurandosi che siano, ad esempio, disattivate le funzioni che non abbiano una base giuridica ovvero non siano compatibili con le finalità del trattamento.

Anche con riferimento ai trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo, il Garante ha dovuto specificare che gli stessi sono consentiti a condizione che l’adeguatezza del Paese terzo sia stata riconosciuta da una decisione della Commissione europea. Ha quindi ricordato che, rispetto al trasferimento dei dati personali negli Stati Uniti d’America, la Corte di Giustizia dell’Unione Europea, con sentenza del 16 luglio 2020, ha dichiarato invalida la decisione relativa al c.d. scudo per la privacy (Privacy Shield), in considerazione del fatto che il diritto interno degli Stati Uniti d’America non garantisce un livello di tutela sostanzialmente equivalente a quello riconosciuto dal diritto europeo e non accorda, ai soggetti interessati, diritti azionabili in sede giudiziaria nei confronti delle autorità statunitensi.

L’Ateneo, nell’ambito della stipula delle clausole contrattuali tipo, avrebbe perciò dovuto espressamente valutare e prevedere “l’adozione di misure supplementari da parte del titolare del trattamento al fine di garantire il rispetto di tale livello di protezione”, valutazione di cui non vi è alcuna evidenza nella documentazione contrattuale stipulata e fornita al Garante.

Ritenuto, dall’esame della documentazione in atti, che la valutazione di impatto sulla protezione dei dati  effettuata dall’Ateneo non era stata del tutto adeguata – in ragione delle molteplici criticità evidenziate rispetto a numerosi punti sviscerati nella motivazione – il Garante non ha potuto che rilevare l’illiceità del trattamento di dati personali effettuato dall’Ateneo, in violazione degli artt. 5, par. 1, lett. a), c) ed e), 6, 9, 13, 25, 35, 44 e 46 del Regolamento, nonché 2-sexies del Codice. Oltre all’adozione di idonee misure inibitorie e di adeguamento, nonché dopo aver dichiarato l’inutilizzabilità dei dati personali trattati, l’Autorità ha altresì applicato una sanzione amministrativa pecuniaria, per un importo pari a € 200.000,00.

Qui il testo completo dell’ordinanza del Garante.