Controllo studenti a distanza, il Garante Privacy sanziona la Bocconi: violato il GDPR - Cyber Security 360

Proctoring

Controllo studenti a distanza, il Garante Privacy sanziona la Bocconi: violato il GDPR

Nel mirino dell’Autorità, che ha sanzionato l’ateneo Bocconi per 200.000 euro, i trattamenti dati legati all’implementazione dei software “Lockdown Browser” e “Respondus monitor” usati per controllare gli studenti durante le prove. Violato il GDPR

29 Set 2021
C
Marina Rita Carbone

Consulente privacy

Un software che controlla via video gli studenti. Un altro software che impedisce di cercare risposte online durante le prove. Per questa pratica l’Università Bocconi di Milano è stata sanzionata dal Garante Privacy per 200mila euro. Un pronunciamento importante, che mette la pietra tombale – dal punto di vista privacy – su una tecnologia usatissima in tempi di covid e che forse università (e non solo) vorrebbero usare ancora di più, forti di questa esperienza.

Il proctoring vietato dal Garante Privacy

Parliamo del proctoring, uno strumento basato sull’intelligenza artificiale che consente di controllare il dispositivo dello studente agli esami o alle interrogazioni durante la didattica a distanza e acquisire tanti dati per decretare se sta copiando oppure no. Strategie ritenute poco trasparenti dal punto di vista della data protection, adottate al fine di risolvere le criticità organizzative degli esami nel corso dei periodi di lockdown.  

Tutti ricorderanno, infatti, di come l’improvvisa sospensione delle attività nelle scuole e negli atenei universitari abbia costretto le stesse a ricorrere a strumenti digitali alternativi, che permettessero in egual modo a tutti gli studenti di seguire le lezioni e sostenere regolarmente gli esami.

All’interno del provvedimento nei confronti dell’ateneo, il Garante censura molteplici aspetti legati al trattamento dei dati degli studenti, considerando il GDPR, evidenziando in primo luogo come detti sistemi informatici “non devono essere indebitamente invasivi e comportare un monitoraggio dello studente eccedente le effettive necessità”.

Proctoring, il software scova chi bara agli esami online. E gli studenti si rivoltano

Bocconi, perché il Garante privacy ha indagato

Oggetto della verifica e della relativa sanzione – mediante il provvedimento n. 317 del 21/09/2021 – sono, nello specifico, due software utilizzati dall’ateneo per provvedere alla supervisione degli studenti nel corso delle verifiche scritte, e sviluppati dalla società americana “Respondus Inc”:

  • il primo, denominato “Lockdown Browser”, serve per impedire agli esaminandi di utilizzare il computer nel corso della prova e, dunque, di ricercare la soluzione dei test ricorrendo a fonti ed informazioni esterne;
  • il secondo, denominato “Respondus monitor”, tramite la videocamera controlla gli esaminandi e segnala comportamenti ritenuti “anomali”, come lo sguardo rivolto verso un punto differente dal computer, l’assenza dal monitor, la non corrispondenza tra la foto dell’esaminando scattata all’inizio dei test e la registrazione della webcam. Il comportamento ritenuto “insolito” e/o “sospetto” viene così identificato e contrassegnato con un flag.

La mancanza del consenso

Nel provvedimento l’Autorità Garante accerta come la Bocconi sia venuta meno anche agli obblighi fondamentali di trasparenza e raccolta del consenso. Prima di svolgere l’esame, infatti, allo studente viene richiesto di fornire il consenso all’informativa presente sul sito dell’Ateneo, all’interno della quale non vi è “menzione della fotografia scattata dal sistema all’inizio della prova allo studente, cui viene chiesto di esibire un documento d’identità e di effettuare una ripresa panoramica dell’ambiente circostante”.

Inoltre, “il testo non indica gli specifici tempi di conservazione dei dati personali” (che, a seguito delle verifiche, risultano in anni cinque per il fornitore e anni 1 per la Bocconi, a seguito di formale richiesta) e “l’informativa non menziona che i dati personali sono oggetto di trasferimento negli Stati Uniti d’America”.

Tale aspetto appare ancor più critico alla luce del contenuto della Sentenza Schrems II, che ha fatto venir meno la validità del c.d. Privacy Shield, ritenendo non conformi al disposto normativo europeo i trattamenti svolti negli Stati Uniti (salvo che agli stessi non siano applicate le garanzie ulteriori previste dal GDPR, come Clausole Contrattuali Standard).

Già da tali mancanze si evince, secondo l’Autorità, che “il trattamento posto in essere dall’ateneo non può ritenersi conforme al principio di liceità, trasparenza e correttezza non essendo stati forniti tutti gli elementi informativi”, posto che per l’utilizzo di dati biometrici mediante i software oggetto di esame, il consenso non può ritenersi una base giuridica sufficiente.

A tal riguardo, il Garante scirve che “È possibile affermare che Respondus monitor effettua un trattamento tecnico specifico di una caratteristica fisica degli interessati per confermare la presenza e la coincidenza dell’interessato per tutta la durata della prova. Seppur il sistema non comporta l’identificazione del candidato, effettua comunque un trattamento di dati biometrici che consiste nella raccolta, elaborazione e analisi del video prodotto dal software tramite un algoritmo di intelligenza artificiale al fine di produrre i flag. Per tale motivo, il consenso dello studente non può essere la base giuridica per autorizzare il trattamento dei dati biometrici né può ritenersi una manifestazione di volontà libera in ragione dello squilibrio della posizione degli studenti rispetto al titolare del trattamento”.

La sanzione

La posizione della Bocconi è aggravata dall’esistenza di strumenti alternativi per la messa in atto del trattamento: nel periodo oggetto di esame, in particolare, si dava la possibilità di svolgere gli esami anche in presenza.

“Nell’ordinamento vigente non si rinviene una disposizione normativa che espressamente autorizzi il trattamento dei dati biometrici per le finalità delle verifica della regolarità delle prove d’esame”; ne deriva che “il trattamento dei dati biometrici in questione risulta avvenuto in assenza di idonea base giuridica”.

Sulla scorta di tali motivazioni, ritenendo insufficienti le difese prodotte dall’Ateneo nelle proprie memorie difensive (nelle quali si esplicava che l’informativa presente sul sito “conteneva un rinvio «attraverso specifico link ipertestuale» al testo dell’informativa sul trattamento dei dati) l’Autorità Garante erogava all’Università Bocconi la sanzione amministrativa di 200.000 euro, ordinando allo stesso tempo la cessazione immediata dell’utilizzo dei software oggetto di censura.

Controllo remoto degli studenti, vizio di tanti: il Garante non sanzioni solo Bocconi

I diritti fondamentali alla base dei trattamenti di dati

Il trattamento posto in essere dall’Università Bocconi appare in violazione di alcuni dei principi fondamentali che reggono l’ordinamento europeo in materia di trattamento dei dati personali.

Occorre rammentare che il legislatore europeo richiede ai titolari del trattamento il rispetto dei seguenti principi:

  • liceità, correttezza e trasparenza: il trattamento deve essere svolto in virtù di una delle basi giuridiche di cui agli artt. 6 e 9 GDPR e l’interessato deve essere adeguatamente informato sulle finalità, i mezzi e le modalità del trattamento (secondo le regole indicate agli artt. 13 e 14 GDPR);
  • limitazione delle finalità: i dati devono essere raccolti, secondo la normativa europea, per “finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità”;
  • minimizzazione dei dati, che devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
  • limitazione della conservazione: i dati devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”; periodi di conservazione più lunghi sono giustificati solamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

Nel caso che ci occupa, il trattamento posto in essere dall’Università Bocconi risulta, invece, posto in essere secondo logiche di conservazione e di modalità di trattamento non pertinenti e adeguati alle finalità perseguite, che sono limitate al solo periodo di svolgimento dell’esame (si pensi al termine di conservazione previsto per le immagini degli studenti, di ben 5 anni per il fornitore).

Cosa dice il GDPR

Lo svolgimento di un trattamento non pertinente alle finalità perseguite, può costituire anche una violazione dell’art. 25 GDPR, che sancisce il principio di “privacy by design”: ai sensi di quanto contenuto nella norma in esame, il titolare ha l’obbligo, prima di attuare il trattamento, di effettuare un attento bilanciamento degli elementi del trattamento e dei rischi connessi allo stesso.

Recita, infatti, la norma che “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”.

Nel caso di specie, il ricorso a strumenti particolarmente invasivi come il riconoscimento biometrico del volto dell’interessato e il monitoraggio costante del suo comportamento appare sproporzionato rispetto all’interesse perseguito dal titolare del trattamento ed alle finalità da raggiungere.

Tanto più che, come affermato dal Garante medesimo all’interno del provvedimento, si rendeva possibile, in via alternativa, svolgere gli esami anche in presenza, adottando modelli organizzativi e strumenti di trattamento ben diversi da quelli prescelti, che avrebbero rappresentato una minore lesione dei diritti degli interessati.

La necessità dell’informativa

Sotto il profilo dell’informativa da rendersi agli interessati, l’art 12 GDPR prevede, poi, che “Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato”.

La ratio della norma risiede nella necessità di rendere l’interessato pienamente consapevole dei trattamenti cui i suoi dati sono sottoposti, permettendogli di esercitare correttamente i diritti a lui garantiti. Il considerando 59 prevede, infatti, a corredo dell’obbligo di informativa dell’interessato, che sia “opportuno prevedere” anche “modalità volte ad agevolare l’esercizio, da parte dell’interessato, dei diritti di cui al presente regolamento, compresi i meccanismi per richiedere e, se del caso, ottenere gratuitamente, in particolare l’accesso ai dati, la loro rettifica e cancellazione e per esercitare il diritto di opposizione. Il titolare del trattamento dovrebbe predisporre anche i mezzi per inoltrare le richieste per via elettronica, in particolare qualora i dati personali siano trattati con mezzi elettronici. Il titolare del trattamento dovrebbe essere tenuto a rispondere alle richieste dell’interessato senza ingiustificato ritardo e al più tardi entro un mese e a motivare la sua eventuale intenzione di non accogliere tali richieste”.

Non solo: il considerando 60 precisa che “i principi di trattamento corretto e trasparente implicano che l’interessato sia informato dell’esistenza del trattamento e delle sue finalità. Il titolare del trattamento dovrebbe fornire all’interessato eventuali ulteriori informazioni necessarie ad assicurare un trattamento corretto e trasparente, prendendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati. Inoltre l’interessato dovrebbe essere informato dell’esistenza di una profilazione e delle conseguenze della stessa. In caso di dati personali raccolti direttamente presso l’interessato, questi dovrebbe inoltre essere informato dell’eventuale obbligo di fornire i dati personali e delle conseguenze in cui incorre se si rifiuta di fornirli. Tali informazioni possono essere fornite in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto. Se presentate elettronicamente, le icone dovrebbero essere leggibili da dispositivo automatico”.

DPIA e trattamento dati biometrici

Il trattamento di dati biometrici, peraltro, costituendo trattamento di dati particolarmente sensibili, deve essere maggiormente valutato e bilanciato, anche tramite lo svolgimento di adeguata Valutazione d’Impatto ex art. 35 GDPR, specie se svolto mediante strumenti digitali innovativi come il software in esame.

Scopo della valutazione d’impatto, da svolgersi prima della messa in atto del trattamento, è quello di verificare i rischi connessi al trattamento così come immaginato dal titolare. I rischi per i diritti e le libertà delle persone fisiche da prendere in considerazione sono molteplici, “aventi probabilità e gravità diverse”, e “possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati”.

All’interno della valutazione di impatto dovranno essere prese in considerazione anche le misure, le garanzie e i meccanismi previsti per attenuare il rischio connesso al trattamento dei dati, assicurando la protezione dei dati personali e dimostrando la conformità al GDPR.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5