Stangata di DUECENTOMILA EURO alla Bocconi di Milano - Parte 1

Rispondi
Giancarlo Favero
Messaggi: 226
Iscritto il: dom gen 24, 2021 6:45 am

Stangata di DUECENTOMILA EURO alla Bocconi di Milano - Parte 1

Messaggio da Giancarlo Favero »

Complimenti all'Università Bocconi di Milano che ha violato tutto quello che era possibile violare, in materia di protezione dei dati personali:

TUTTO CIÒ PREMESSO IL GARANTE

rileva l’illiceità del trattamento effettuato dall’Università Commerciale “Luigi Bocconi” di Milano per violazione degli artt. 5, par. 1, lett. a), c) ed e), 6, 9, 13, 25, 35, 44 e 46 del Regolamento, nonché 2-sexies del Codice, nei termini di cui in motivazione, e dichiara, ai sensi dell'art. 2-decies del Codice, l’inutilizzabilità dei dati trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali


Di seguito trovate il testo integrale del provvedimento, consultabile anche al seguente link:

https://www.garanteprivacy.it/web/guest ... eb/9703988

Ordinanza ingiunzione nei confronti di Università Commerciale “Luigi Bocconi” di Milano - 16 settembre 2021

Registro dei provvedimenti
n. 317 del 16 settembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Introduzione.

Con reclamo del XX, come successivamente integrato in data XX, uno studente dell’Università Commerciale “Luigi Bocconi” di Milano (di seguito, l’”Università” o l’”Ateneo”) ha lamentato possibili violazioni della disciplina sulla protezione dei dati personali in relazione all’impiego di un sistema di supervisione (proctoring) nell’ambito dello svolgimento delle prove scritte d’esame degli studenti, al fine di identificare questi ultimi e/o di verificarne il corretto comportamento durante lo svolgimento della prova d’esame. In particolare è stato rappresentato che l’Ateneo avrebbe richiesto il consenso degli studenti al trattamento “delle categorie particolari di dati personali (dati biometrici […]), [in mancanza del quale gli studenti] non sarebbero in grado di svolgere esami online” con ciò comportando un “pregiudizio estremo […]”.

Con lo stesso reclamo, è stato evidenziato che il responsabile della protezione dei dati dell’Ateneo, in risposta alla richiesta di chiarimenti dell’interessato, ha chiarito che, nel contesto dell’emergenza epidemiologica da SARS-CoV-2, è stata individuta una modalità alternativa di svolgimento degli esami universitari a distanza, che l’obiettivo di assicurare le medesime garanzie previste per gli esami in presenza poteva essere raggiunto attraverso il trattamento di categorie particolari di dati, come i dati biometrici e che, dopo un’attenta analisi, l’Ateneo ha individuato nell’azienda Respondus il migliore fornitore per rispondere alle proprie esigenze, anche tenuto conto della necessità di effettuare circa 60.000/70.000 prove scritte, dovendo assicurare la parità delle condizioni di accesso alle prove per tutti gli studenti.

2. L’attività istruttoria.

Con nota del XX (prot. del Garante n. XX del XX), in risposta alla richiesta d’informazioni del Garante, l’Ateneo ha dichiarato, in particolare, che:

- “l’Università Bocconi è un’università internazionale, non statale, legalmente riconosciuta e autorizzata al rilascio di titoli di studio d’istruzione superiore, aventi valore legale”;

- “il recente orientamento del Consiglio di Stato nella controversia tra ANAC/università non statali (per Bocconi sentenza CdS n. 3041/2016; n. 3042/2016; n. 3040/2016) che qualifica quest’ultime come soggetti di diritto privato, […] ritiene che la sola facoltà riconosciuta alle università libere di rilasciare titoli aventi valore legale non è di per sé sufficiente a determinarne l’appartenenza alla categoria degli enti pubblici. […]” e, su tali basi, l’Ateneo avrebbe individuato i presupposti di liceità del trattamento in questione tenuto conto della propria “qualificazione di soggetto di natura privatistica”;

- nell’ambito della situazione di emergenza causata dall’epidemia da SARS-CoV-2, “al fine di assicurare il normale svolgimento delle sessioni d’esame, stante l’impossibilità di sostenere le prove come di consueto dal vivo e in presenza, la Bocconi ha deciso di dotarsi di un software ([…] “Respondus”) fornito dalla società Respondus Inc. ([…] il “Fornitore”) - debitamente nominato responsabile del trattamento ai sensi e per gli effetti dell’art. 28 del [Regolamento] […] che consentisse al docente di poter verificare la genuinità della prova scritta resa dagli Studenti, senza che la stessa potesse esser alterata, attraverso sostituzioni di persona e/o contraffazioni, o altri interventi distorsivi della misura e valutazione dell’apprendimento personale”;

- “l’Università ha l’onere di prevedere tutte le misure idonee per poter considerare pienamente validi gli esami sostenuti dai propri studenti […], al fine di garantire il pieno valore legale del titolo di studio dagli stessi conseguito”;

- “la Bocconi ha inteso adottare il sistema di proctoring unicamente per i corsi di studi “core”, finalizzati al conseguimento di un titolo con valore legale, quale metodo per garantire terzietà, imparzialità ed eguale trattamento. Per tutti gli altri programmi formativi, invece, l’Università ha preferito sostenere prove a distanza utilizzando sistemi differenti”;

- “l’impossibilità di svolgere le sessioni d’esame secondo la consueta procedura, ha portato l’Università […] a strutturare un processo che, nel rispetto del [Regolamento] e del Codice Privacy, unicamente per le prove d’esame scritte, fosse in grado di identificare gli Studenti attraverso l’utilizzo temporaneo del loro dato biometrico e, dunque, elaborando automaticamente le immagini digitali che raffigurano il volto degli stessi a fini di identificazione, autenticazione e verifica” in particolare la “fotografia del tesserino” e “l’immagine fotografica scattata da Respondus;

- con riguardo alle basi giuridiche del trattamento, l’Università ha dichiarato che “per i dati comuni il fondamento giuridico è stato individuato nell’art. 6 lett. b) del [Regolamento]; per i dati biometrici il fondamento giuridico è stato individuato nell’art. 9 lett. a) del [Regolamento]”;

- nonostante “il provvedimento del Garante del 26 marzo 2020 e il d.p.c.m. del 27.4.2020 art. 1 lett. n)”, l’Ateneo, “ha scelto di considerare per i propri Studenti l’opzione dell’esame scritto online e da remoto tramite sistema di proctoring come strada preferita, per ragioni di coerenza con il modello didattico adottato, basandosi sul consenso. Ciò risulta anche in linea con la natura privatistica dell’Università”;

- il sistema di proctoring è stato impiegato per la prima volta nella sessione estiva “che […] è cominciata dopo la promulgazione del d.p.c.m. del 27.4.2020 ed in particolare, per tutti gli ordinamenti di studio attivi, nel periodo compreso tra il 13.5.2020 e il 21.7.2020”;

- l’Ateneo, “al fine di garantire il diritto allo studio dello Studente, tutelandone la libera autodeterminazione, ha posto in essere immediatamente misure organizzative idonee per consentire agli esaminandi, che avessero eventualmente deciso di non concedere il consenso al trattamento del dato biometrico, di avvalersi di modalità alternative da concordarsi con l’unità Academic Services che gestisce il calendario delle prove d’esame”, senza subire “alcun nocumento né ritardo nella carriera universitaria”;

- è stata resa agli studenti l’informativa “ai sensi e per gli effetti dell’art. 13 del [Regolamento]”;

- “il dato biometrico dello Studente non viene trattato direttamente dall’Università, ma solo dal Fornitore che lo tratta temporaneamente per la durata della sessione d’esame per poi cancellarlo senza conservarlo”;

- “il Trattamento non importa un processo decisionale automatizzato. Infatti, nell’ipotesi in cui Respondus rilevi un evento anomalo potenzialmente idoneo ad invalidare la prova d’esame, il software segnala al docente l’anomalia […] che, nell’esercizio del proprio potere discrezionale di valutazione, deciderà sull’eventuale annullamento”;

- "il Trattamento comporta un trasferimento dei dati extra UE da parte del Fornitore” che ha dichiarato di essere “conforme al Privacy Shield Framework EU -U.S.”;

- “l’Università, ai sensi dell’art 35 par. 11 del [Regolamento], in considerazione della sentenza resa il 16.7.2020 e alla conseguente decisione della Corte di Giustizia Europea di invalidare la Decisione 2016/1250 sull’adeguatezza della tutela approntata per i diritti e le libertà degli interessati dal Privacy Shield, ha ritenuto necessario rivedere l’Accordo di nomina sottoscritto da Respondus”.

Con successiva nota del XX, l’Ateneo ha integrato il proprio riscontro, fornendo, in particolare, copia di un atto aggiuntivo, datato XX, all’accordo sul trattamento dei dati personali stipulato con Respondus, Inc. ai sensi dell’art. 28 del Regolamento, che reca in allegato le clausole contrattuali tipo, di cui alla Decisione della Commissione europea del 5 febbraio 2010, stipulate tra l’Ateneo e Respondus, Inc..

Con nota del XX (prot. n. XX, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Ateneo, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni:

degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento, nonché 2-sexies del Codice, per aver trattato i dati biometrici degli studenti, nonché per aver effettuato un trattamento automatizzato finalizzato a consentire l’analisi di determinati aspetti del comportamento degli studenti, danno quindi luogo alla loro “profilazione”, in assenza di un’inidonea base giuridica;

degli artt. 5, par. 1, lett. a), e 13 del Regolamento), per non aver fornito agli interessati una completa informativa sul trattamento;

dell’art. 5, par. 1, lett. c) ed e), e 25 del Regolamento, per aver trattato i dati personali degli studenti in maniera non conforme ai principi di minimizzazione, limitazione della conservazione e protezione dei dati personali fin dalla progettazione e per impostazione predefinita;

degli artt. 44 e 46 del Regolamento, per aver trasferito dati personali verso un Paese terzo, ovvero gli Stati Uniti d’America, senza aver comprovato di aver verificato e assicurato che il trasferimento in questione fosse posto in essere nell’effettivo rispetto delle condizioni di cui al Capo V del Regolamento;

dell’art. 35 del Regolamento, per non aver effettuato un’adeguata valutazione di impatto sulla protezione dei dati con riguardo ai trattamenti di dati personali effettuati mediante “Respondus”.

Con la medesima nota, l’Ateneo è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Con nota dell’XX (prot. n. XX), l’Ateneo ha presentato la propria memoria difensiva, dichiarando, in particolare, che:

l’Ateneo ha deciso di “dotarsi di sistemi di proctoring”, così come altri “atenei che, durante il periodo pandemico correlato all’emergenza causata dal Covid 19, si sono avvalsi del sistema in discussione (o similari) […,] nell’intento di poter garantire complessivamente i diritti degli [studenti che] hanno avuto la possibilità di proseguire – senza danno alcuno – gli studi intrapresi, nonostante l’emergenza in essere”;

“il particolare contesto emergenziale […] nonché i tempi strettissimi nei quali occorreva trovare una soluzione efficace ed efficiente […] hanno portato la Bocconi a ritenere che solo un sistema di proctoring avrebbe potuto soddisfare le reali esigenze dei propri studenti - per la maggior parte fuori sede e per il 19% di nazionalità non italiana - e dei circa 2.000 studenti incoming in scambio che ogni anno raggiungono la Bocconi da ogni parte del mondo”;

“la stessa Università non ha mai smesso di interrogarsi sulla sostituibilità del software implementato, magari anche attraverso altri sistemi che fossero parimenti in grado di garantire la serietà della prova. […] Inoltre, l’Università ha continuato a intrattenere rapporti con Respondus per valutare in maniera sempre più approfondita il funzionamento del software implementato [, fermo restando che] né la Bocconi né Respondus, infatti, trattano il dato biometrico degli studenti”;

“Respondus blocca l’utilizzabilità del browser, inibendo di fatto la possibilità che lo studente durante il periodo della prova d’esame possa avvalersi di strumenti d’ausilio presenti sul proprio dispositivo informatico – per tali intendendo tanto le ricerche effettuabili direttamente sul web quanto le consultazioni di appunti e/o dispense salvati sul dispositivo stesso sotto forma di file di diverso tipo – al fine di sostenere la prova. In altri termini, Respondus Monitor non tiene traccia dell’attività compiuta sulla rete dallo studente, delle applicazioni in uso, dei tasti digitati e dei movimenti del mouse, ma, più semplicemente, blocca lo schermo del computer e impedisce allo studente tutte quelle interazioni con il dispositivo che non siano strettamente correlate allo svolgimento della prova d’esame”;

“è […] del tutto improbabile che attraverso il sistema possano essere desunti dati personali o informazioni ulteriori attinenti agli aspetti relativi alla vita privata dello studente”;

“[…] in ogni caso, il descritto sistema opera solo ed esclusivamente per il tempo corrispondente alla durata della prova d’esame […]”;

per quanto concerne la presunta “profilazione degli interessati […] l’identificazione e la valutazione della prova sostenuta dallo studente e, dunque, il giudizio e il correlato esito dell’esame, sono rimessi completamente al docente di riferimento, al quale spetta la valutazione del comportamento tenuto dallo studente in concreto: ne consegue che il sistema si limita meramente a segnalare, non potendo certamente essere allo stesso attribuita una funzione decisoria. […] L’unico ausilio fornito dal software in esame è l’estratto di alcuni fotogrammi dalla registrazione audiovisiva, che potrebbero esser indicatori di anomalie durante la prova […]”;

in merito ai tempi di conservazione dei dati, “è vero che, in astratto, la registrazione video della prova d’esame potrebbe restare nelle disponibilità dei sistemi informativi del fornitore per […] un anno sul sistema AWS S3 bucket cui si aggiungono quattro anni, di long term storage, sul sistema AWS Glacier. Tuttavia, la DPIA deve essere letta in combinato disposto con tutte le previsioni dell’accordo di nomina a responsabile [, in base alle quali] […] [a] semplice richiesta dell’Università […] il fornitore [procede] tanto alla cancellazione dei dati, quanto alla notifica dell’intervenuta cancellazione. […] La Bocconi, infatti, chiede che venga effettuata le descritta cancellazione non decorsi cinque anni dalla data di espletamento della prova, bensì una volta che si è formalmente chiusa la sessione d’esame e si è perfezionato […] il procedimento di valutazione delle prove sostenute dagli studenti”. […] [in ogni caso,] “la registrazione video non viene archiviata in chiaro sui sistemi informativi dell’Università, tanto che il docente non ha la possibilità di scaricare detto video, senza previa autorizzazione espressa del Titolare. Infatti il video è, fino alla sua cancellazione, conservato in maniera completamente crittografata sui server del fornitore; solo le persone autorizzate all’interno dell’Università, per ciascuna singola prova, detengono la chiave privata per renderlo leggibile. […] Con specifico riferimento alla conservazione delle registrazioni video, la Bocconi ha ritenuto opportuno conservare le stesse, nelle modalità sopra dettagliate, per un tempo corrispondente a 12 mesi decorrenti [dalla data di comunicazione dei risultati della prova agli studenti], salvo che sulla singola prova non siano pendenti dei procedimenti disciplinari o contenziosi di fronte alle Autorità giudiziarie competenti. […] Decorsi, quindi, i richiamati termini, l’Università distrugge l’unica chiave privata di accesso ai dati crittografati e chiede, come descritto, la cancellazione delle registrazioni anche al fornitore.”;

oltre alla possibilità dello svolgimento in presenza in caso di mancato consenso dello studente, “l’Università ha anche concretamente valutato […] di prevedere, per casi particolari, quali gli studenti all’estero, il sostenimento dell’esame orale in modalità online”;

inoltre, “si ritiene non corretto affermare che dare la possibilità di sostenere gli esami presenza avrebbe esposto i docenti e gli studenti a un più elevato rischio per la salute degli stessi [, stante quanto previsto dal] […] d.p.c.m. del 27.4.2020 art. 1 lett. n) […] [, essendo evidente] […] che, con le opportune cautele […] fosse astrattamente già possibile sostenere gli esami in presenza, ovviamente per chi non avesse voluto prestare il consenso”;

l’Ateneo “ha un continuo dialogo con il proprio corpo studentesco che […] non può essere considerato al pari di un contraente debole, la cui posizione sperequata legittimerebbe meccanismi di più forte tutela. Né certo la condizione di presunta ansia in cui versa lo studente chiamato a sostenere le prove d’esame, ovvero il metus nei confronti del docente, possono in alcun modo essere considerati come situazioni idonee a condizionare il consenso eventualmente prestato. […] Specie quando, come nel caso [di specie], l’eventuale rifiuto non sarebbe stato nemmeno manifestato nei riguardi del professore di riferimento, ma unicamente avvalendosi dei canali indicati dall’Università che prevedevano una specifica richiesta all’Academic Services. Ed infine […] nell’ipotesi in cui il docente ponga in essere “ripercussioni negative”, lo stesso non andrà esente da responsabilità disciplinari per propria condotta professionale […]”;

l’Università si è impegnata a “mutare le basi giuridiche indicate all’interno dell’informativa, lasciando impregiudicata quella individuata per il trattamento dei dati comuni e modificando quella per il trattamento dei dati biometrici, individuandola nel perseguimento di un interesse pubblico, ai sensi dell’art. 9 lett g) del GDPR e degli artt. 2 ter e 2 sexies lett. bb del Codice Privacy”;

“tuttavia, con riferimento al dato biometrico […] [che] il poco tempo a disposizione per l’implementazione del processo […] ha portato l’Università a fare affidamento su un’affermazione di Respondus successivamente dimostratasi non corrispondente alla realtà dei fatti […] a seguito di ulteriori approfondimenti […] la Bocconi ha appreso [che] l’identificazione dello studente avveniva e avviene a posteriori per il tramite di un operatore umano, senza l’utilizzo del dato biometrico per finalità identificative […] Di conseguenza, a seguito di formale richiesta da parte dell’Università […], Respondus […] ha dichiarato che il proctoring implementato non comporta alcun trattamento di categorie particolari di dati […]”;

“[…] il sistema non è in grado di confrontare in maniera univoca il volto dello studente e la fotografia del documento mostrato. In altri termini non si ha in nessun caso, per finalità identificative, la creazione di un modello biometrico del singolo studente dal quale verrà estratto successivamente un campione biometrico da conservare per le successive operazioni di confronto (c.d. match)”;“[…] anche in fase di controllo del comportamento dello studente, nessun dato biometrico viene trattato da parte dei sistemi. Il fatto che si utilizzi la locuzione “riconoscimento facciale” non implica necessariamente che i sistemi approntati per il monitoraggio del comportamento dello studente trattino il dato biometrico dello stesso”;

con riguardo alla contestazione relativa all’incompletezza dell’informativa resa agli studenti, l’Ateneo evidenzia che “lo stesso documento contestato fa rinvio all’informativa completa […] attraverso specifico link ipertestuale […]”;

“la Bocconi riconosce che l’informativa potrebbe potenzialmente difettare di trasparenza, non essendo indicato un periodo di conservazione specifico”;

“[…] tenuto conto della previsione dell’art. 13 del GDPR […] gli studenti […hanno] ricevuto, per tempo, diverse istruzioni e chiarimenti ben prima dell’avvio del trattamento, con informazioni multilayer […]”;

tenuto della formula ampia della lett. f) dell’art. 13 del Regolamento “l’Università nell’informativa individua l’articolo del Regolamento che consente il trasferimento extra UE dei dati personali degli studenti, facendo specifico riferimento all’art. 46, e lascia in ogni caso la possibilità all’interessato di “richiedere maggiori dettagli al Titolare del Trattamento richiedendo evidenza delle specifiche garanzie adottate”;

l’Ateneo ha precisato di aver stipulato “con Respondus, in data XX un primo accordo di nomina a responsabile, ai sensi dell’art. 28 del Regolamento, con il quale, per ciò che attiene al trasferimento dei dati personali extra UE, faceva riferimento, ai sensi dell’art. 46 del Regolamento, al Privacy Shield e, dunque, all’allora vigente Decisione di esecuzione (UE) 2016/1250 della Commissione. A seguito della sentenza della Corte di Giustizia del 16 luglio 2020, provvedeva a modificare l’accordo di nomina e a sottoscrivere le clausole contrattuali standard già il 10 agosto 2020”;

“[…] l’Università [è] ben consapevole delle misure approntate dal fornitore, considerato che proprio le stesse, sebbene soltanto richiamate nell’appendix 2 delle clausole contrattuali tipo sottoscritte, sono state oggetto di opportune valutazioni analitiche […]. L’Università già prima della sentenza Schrems aveva posto in essere “l’adozione di misure supplementari da parte del titolare del trattamento al fine di garantire il rispetto di tale livello di protezione” (par. 133 della sentenza Schrems). Le misure di sicurezza […] sono state allegate alla stessa DPIA […]. Tutta la valutazione d’impatto è stata proprio condotta tenendo in considerazione il documento Respondus Checklist […] da dove risulta evidente che […] dati personali oggetto di trattamento sono tutti crittografati con l’algoritmo Advance Encryption Standard 256 bit29 e la chiave privata è detenuta esclusivamente dalla Bocconi, sì da esser impossibile, anche per il governo americano, accedere agli stessi. A ciò si aggiunga anche che Respondus Monitor tra l’altro i) soddisfa i requisiti di sicurezza di FERPA, GDPR, CCPA, Privacy Shield, SOC 2 ed i suoi ingegneri sono anche AWS Certified30; ii) tutti i dati sono crittografati dall’inizio alla fine del processo che vede coinvolto Respondus. Tale circostanza determina di per sé la conformità con quanto stabilito dalla Corte di Giustizia Europea nonché l’accountability dell’Università. Il fatto che si rinvii alle misure, senza allegarle a quanto sottoscritto, non implica automaticamente che la valutazione condotta dalla Bocconi, quale titolare del trattamento, sia insufficiente […] La stessa clausola tipo […] prevede proprio che l’esportatore si assuma l’obbligo di valutare – dichiarando e garantendo – che l’importatore fornisca sufficienti misure tecniche e organizzative di sicurezza, nulla prevedendo in merito alle modalità con cui tale obbligo debba essere espletato. Detto altrimenti non è normativamente previsto che il contratto indichi le misure di sicurezza per iscritto […] ad substantiam […]”;

“[…] le Raccomandazioni 01/2020 del Comitato europeo per la protezione dei dati personali - inidonee peraltro ad assumere la natura di fonte del diritto, trattandosi di soft regulation, e come tali assolutamente non vincolanti – sono successive alle violazioni oggi contestate. […] In ogni caso, [occorre] osservare che, considerate le tipologie di dati personali e le attività di trattamento concretamente poste in essere da Respondus, le misure predisposte sono da considerarsi sufficienti, ed idonee, anche e soprattutto alla luce dell’uso di sistemi di crittografia dei dati personali e alla concreta inaccessibilità degli stessi da parte di soggetti terzi, ivi compreso il responsabile e l’autorità statunitensi”;

“al tempo in cui sono state effettuate le scelte d’implementazione dei processi, si è ritenuto che non vi fossero altri sistemi che ragionevolmente potessero essere in grado di garantire, in forma digitale, la serietà di processi che fino a quel momento erano stati costruiti in modalità analogica. È apparso, quindi, che il trattamento secondo le descritte modalità fosse indispensabile, perché sistemi digitali diversi sarebbero stati inevitabilmente insoddisfacenti per almeno due ragioni: a) da un lato, perché sono troppi gli interessati che costituiscono il corpo studentesco dell’Università (oltre 14.000 studenti) […]; dall’altro, il tipo di prova – esame scritto – rende impossibile il raggiungimento delle prescritte finalità senza l’ausilio di sistemi di proctoring […]. Anche il Tribunale di Amsterdam si è recentemente pronunciato sul sistema di proctoring analogo al presente [, ritenendolo conforme alla normativa in materia di protezione dei dati]”;

“la legittimità di ciò è stato recentemente ribadita anche dal Garante spagnolo secondo cui “La situazione generata come conseguenza di Covid-19 e la dichiarazione dello stato di allarme potrebbe avere un’incidenza speciale, in cui la prevalenza del riconoscimento facciale potrebbe essere valutata rispetto ad altre misure […] [, dovendosi limitare tale opzione] a quei corsi e materie specifiche che, a causa della loro importanza, complessità o altre circostanze di particolare incidenza, non rendono consigliabile il ricorso ad altre opzioni […] o renderebbero l’adozione di altri mezzi come il controllo con videocamera o gli esami orali eccessivamente onerosi”;

quanto all’ “affidabilità della tecnologia impiegata […] l’Università ha effettuato una serie di approfondimenti tecnici in merito alle misure di sicurezza utilizzate dalla società Respondus Inc. – leader di mercato scelto da oltre mille Università - che sono illustrate nella relazione tecnica [prodotta dall’Ateneo]”.

In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data XX (verbale prot. n. XX del XX), l’Ateneo, discostandosi con riguardo a taluni profili dalle dichiarazioni rese nelle precedenti comunicazioni, ha dichiarato, in particolare, che:

“prima dell’emergenza pandemica le prove si svolgevano in aule con un rapporto 1 a 3, ovvero convocando uno studente ogni tre posti in aula, per garantire l’efficacia dei controlli effettuati dai “proctor” fisici, i quali verificavano l’identità dello studente chiedendo di esibire il tesserino, nonché vigilavano sulla correttezza della prova. […] In tale contesto, con un solo docente si riusciva a seguire l’esame effettuato da 50 persone. L’Università si è pertanto trovata, nello stato emergenziale, nella condizione di dover effettuare le medesime prove ma a distanza […] L’alternativa di utilizzare un sistema di mera videoconferenza con supervisione di un proctor fisico avrebbe, probabilmente, richiesto un proctor ogni cinque studenti da verificare. Tale alternativa non sarebbe stata percorribile, richiedendo l’impiego di personale dieci volte superiore a quello disponibile”;

“solo una decina, tra tutti gli studenti a cui è stata sottoposta la liberatoria, hanno scritto all’Università e solo un paio tra questi si sono detti contrari a questa modalità di svolgimento della prova; tuttavia, questi studenti non hanno poi dato seguito alle comunicazioni dell’Università, la quale si era resa disponibile a trovare delle alternative, e quindi non c’è stata l’esigenza di organizzare delle prove per questi due studenti con modalità diverse che non prevedessero il proctoring”;

“a partire da marzo 2020 l’Università ha cominciato a raccogliere documentazione dal fornitore e tale documentazione è risultata essere stata redatta in maniera esaustiva e conforme agli standard internazionali. Il fornitore in tale documentazione e sul suo sito citava l’utilizzo di tecnologie biometriche. Tuttavia, nel contesto dell’emergenza, l’Università non ha potuto tempestivamente verificare in cosa consistesse l’asserito trattamento di dati biometrici. L’Università ha, quindi, cautelativamente assunto che per dati biometrici si intendesse la tipologia di dati di cui alla definizione fornita nel Regolamento UE 2016/679. In realtà, è poi successivamente emerso che Respondus acquisisce l’immagine dello studente e verifica che questo volto rimanga lo stesso durante la prova, ma non mette il volto in relazione con l’identificativo della persona. Questa identificazione è effettuata dal docente solo successivamente: il docente, quando riceve il report con il filmato della prova, confronta una fotografia scattata dal sistema all’inizio della prova con la fotografia, presente negli archivi dell’Università, dello studente che avrebbe dovuto sostenere la stessa. Quindi, solo a posteriori, si è potuto concludere che non vi era l’utilizzo di un dato biometrico a norma del Regolamento UE 2016/679. Si precisa che, per quanto sopra, non si effettua alcuna estrazione del campione biometrico relativo al volto dello studente”;

“il software Respondus ha due componenti: Respondus lockdown browser e Respondus monitor. Lockdown browser si comporta come un browser web perché visualizza le pagine che vengono caricate e proibisce di aprire altre pagine o finestre; impedisce, ad esempio, che si possa fare l’operazione di copia e incolla. Inoltre, impedisce l’esecuzione della prova se prima non vengono chiuse tutte le altre applicazioni. Pertanto, quando inizia la prova d’esame è garantito che sia in esecuzione solo lockdown browser e che lo studente visualizzi solo la pagina relativa alla prova d’esame. A questo punto la prova parte: durante la prova lo studente non può fare null’altro che non sia consentito dal sistema. Le altre funzioni del PC sono precluse e non viene tenuta traccia dei tentativi di effettuare attività precluse. In nessun caso viene tenuta traccia dei siti web eventualmente visitati. È possibile, peraltro, impostare il sistema in maniera tale da consentire di visitare determinati siti o usare determinate applicazioni utili ai soli fini del sostenimento della prova d’esame”;

“Respondus monitor si attiva solo dopo che Lockdown browser ha garantito le condizioni necessarie per l’avvio della prova e rileva e analizza, ai fini della definizione dell’indice di correttezza della prova, dati come, ad esempio, il filmato, le modifiche del volto oggetto di ripresa o l’assenza dello stesso, il tempo di compilazione della prova e di risposta a ciascun quesito, i tasti digitati sulla tastiera, i movimenti del mouse, le applicazioni in esecuzione (al fine di eventualmente consentire talune applicazioni necessarie ai fini dell’esecuzione della prova, fermo restando che nell’esperienza dell’Ateneo non è mai stato dato accesso a siti esterni; pertanto, questa funzionalità non è stata utilizzata). Quanto all’attività della rete internet, viene misurato il traffico di rete e se questo traffico ha un quantitativo di byte anomalo, tale da far presumere un calo della banda di rete dello studente. Poiché non ci possono essere altre applicazioni in esecuzione, il sistema acquisisce solo i dati che sono necessari per determinare la correttezza della prova. Al termine della prova l’applicazione si chiude e non viene raccolta più nessuna informazione. Dopo l’elaborazione dei dati raccolti, il docente riceve un report che riporta l’immagine dello studente ai fini dell’identificazione e gli indici di eventuali anomalie, con il dettaglio della specifica motivazione dell’anomalia. La decisione sulla correttezza della prova d’esame è sempre responsabilità del docente. Il video che viene registrato non si può scaricare; il docente accede con le proprie credenziali e non può vedere i filmati di studenti che non sono propri. I dati sono cifrati in transito. Inoltre, terminata l’elaborazione da parte del fornitore, i dati vengono cifrati dal fornitore, fermo restando che la chiave di cifratura privata è nella disponibilità della sola Università”.

Con successiva nota del XX, l’Ateneo ha fatto pervenire una nota inviata dalla società “Respondus” all’Ateneo, nella quale si afferma, in particolare, che (testo tradotto dal Garante dall’originale in inglese): non vengono generate segnalazioni basate sui dati relativi alla tempistica di svolgimento della prova nonché sui dati relativi alla pressione dei tasti sulla tastiera, al movimento del mouse e del trackpad (salvo che non siano utilizzati per passare da un'applicazione all'altra (per esempio, trascinamento con tre dita) o per uscire dal sistema, questo può comportare la generazione di un’allerta); il numero delle interruzioni e la durata di ciascuna interruzione della connessione internet hanno impatto sulla c.d. Priorità della Review.

3. Esito dell’attività istruttoria.

3.1 presupposti di liceità dei trattamenti di dati personali in ambito universitario.

In via preliminare, si osserva che la libertà di insegnamento (cfr. artt. 33 Cost. e 1 della l. 30 dicembre 2010, n. 240), anche a livello universitario, può essere esercitata da soggetti pubblici o privati, indipendentemente dalla forma giuridica degli stessi (enti pubblici, fondazioni, società di capitali). La normativa vigente, infatti, non prevede espressamente quale sia la natura giuridica delle Università non statali (o anche "università libere" o "università private"), limitandosi a disciplinarne singoli aspetti di analogia o differenza rispetto a quanto disposto per le università statali. Tra i profili di analogia rispetto alla disciplina delle università statali (pubbliche), ricorre, anzitutto, il perseguimento di finalità di interesse pubblico (cfr. art. 1, comma 1, della legge n. 240 del 2010, riferito sia alle università statali sia alle università non statali). Inoltre, analogamente alle università pubbliche, anche quelle private:

a) sono assoggettate alle medesime modalità di istituzione e di soppressione (disposte con decreto del Ministro dell'istruzione, dell'università e della ricerca, nell'ambito della programmazione triennale del sistema universitario ai sensi dell'art. 2, comma 5, del decreto del Presidente della Repubblica 27 gennaio 1998, n. 25);

b) sono soggette alle medesime disposizioni, in ordine alle modalità di accreditamento delle sedi e dei corsi di studio universitari (disciplinate con decreto del Ministro dell'istruzione, dell'università e della ricerca, su conforme parere dell'ANVUR, ai sensi dell'art. 7 del d.lgs. 27 gennaio 2012, n. 19);

c) hanno il potere di attribuire il medesimo valore legale ai titoli di studio rilasciati (art. 167 del r.d. 31 agosto 1933, n. 1592; art. 4, comma 3, del d.m. 22 ottobre 2004, n. 270 e art. 7, comma 1, del d.P.R. 5 giugno 2001, n. 328);

d) utilizzano le medesime modalità di reclutamento del personale docente e ricercatore, come da ultimo normate dagli artt. 18 e 24 della l. 30 dicembre 2010, n. 240 (v. anche art. 3 del d.lgs. 165/2001);

e) riconoscono al personale docente, in servizio presso le Università statali e non statali, il medesimo status giuridico, ai sensi dell'art. 6, comma 10, della l. 30 dicembre 2010, n. 240;

f) rientrano nell’ambito di applicazione del decreto del d.P.R. 27 gennaio 1998, n. 25, il quale prevede che "nel caso di soppressione di ateneo è garantito [...] al personale docente e ricercatore il mantenimento del posto, anche in altra sede universitaria";

g) sono sottoposte ai poteri di indirizzo e coordinamento da parte del Ministero dell'Università e della Ricerca, ai sensi della l. 9 maggio 1989, n. 168, poteri tra cui rientra, fra l'altro, il controllo di legittimità e di merito dello statuto e dei regolamenti di ateneo (tra cui quello generale, quello didattico e quello di amministrazione e contabilità), ai sensi dell'art. 6, commi 9 e 10, della medesima l. n. 168 del 1989;

h) applicano la medesima normativa in materia di diritto allo studio, di cui al d.lgs. n. 68 del 2012.

In merito a tali profili si è di recente espresso il Consiglio di Stato, riconoscendo “il rilevantissimo interesse generale naturalmente rivestito da siffatte attività e finalità”, indipendentemente dalla natura e dalla forma giuridica del soggetto che le persegue (Sezione Consultiva per gli Atti Normativi, Adunanza di Sezione del 9 maggio 2019, n. 1433/2019, che fa seguito a Sezione Consultiva per gli Atti Normativi, Adunanza di Sezione del 31 gennaio 2019, n. 370/2019).

Tanto premesso, considerato che il quadro normativo in materia di protezione dei dati previsto dal Regolamento, che non prevede un diverso regime applicabile ai soggetti pubblici e a quelli privati, tiene conto del solo profilo funzionale nel trattamento dei dati, si ritiene che, stante il perseguimento di un medesimo interesse pubblico, da parte delle università pubbliche e private, i relativi trattamenti di dati personali siano leciti se necessari “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri” (art. 6, par. 1, lett. c) ed e), e, con riguardo alle categorie particolari di dati, art. 9, lett. g), del Regolamento).

Per tali ragioni si ritiene che, contrariamente a quanto sostenuto originariamente dall’Ateneo, i trattamenti dei dati degli studenti finalizzati al rilascio di titoli di studio aventi valore legale o quelli connessi allo svolgimento di attività soggette alla vigilanza del Ministero dell’Università e della Ricerca non possano trovare fondamento in altre basi giuridiche quali, il consenso e/o il contratto.

In tale quadro, il titolare del trattamento è comunque tenuto a rispettare i principi in materia di protezione dei dati (art. 5 del Regolamento) e, nell’ambito della necessaria individuazione delle misure tecniche e organizzative per garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al Regolamento, tenuto altresì conto degli specifici rischi derivanti dal trattamento e in conformità ai principi della “protezione dei dati fin dalla progettazione” e della “protezione per impostazione predefinita”(artt. 24 e 25 del Regolamento), può ricorrere a un responsabile per lo svolgimento di alcune attività di trattamento cui impartisce specifiche istruzioni (cons. 81, artt. 4, punto 8), e 28 del Regolamento).

3.2 I trattamenti dei dati degli studenti effettuati mediante “Respondus” per la regolarità delle prove d’esame a distanza. Considerazioni generali.

Nel corso dell’istruttoria è emerso che l’Università si avvale di un sistema di supervisione a distanza delle prove d’esame scritte, denominato “Respondus” e fornito dalla società Respondus Inc. (stabilita negli Stati Uniti d’America), strutturato nelle componenti “LockDown Browser” e “Respondus Monitor” per consentire, nel contesto dell’emergenza epidemiologica da SARS-CoV-2, lo svolgimento degli esami universitari a distanza con l’obiettivo di assicurare garanzie il più possibile equivalenti a quelle previste per gli esami in presenza.

Il software Respondus Monitor cattura le immagini video e lo schermo dello studente identificando e contrassegnando con un flag i momenti in cui sono rilevati comportamenti insoliti e/o sospetti mediante registrazione video e istantanee scattate a intervalli casuali per tenere traccia di comportamenti anomali quali: sguardo non rivolto verso il monitor, volto parzialmente assente dalla foto, volto mancante.

Al termine della prova, il sistema elabora il video, inserendo segnali di allerta in merito a possibili indici di comportamenti scorretti (c.d. “flag”) e attribuendo, fra l’altro, una c.d. “Review Priority”, affinché il docente (utente supervisore) possa poi valutare se effettivamente sia stata commessa un’azione non consentita nel corso della prova.

A tal riguardo, si osserva, in via preliminare, che l’esigenza di verificare il corretto svolgimento delle prove d’esame ha assunto una maggiore rilevanza nel contesto dell’emergenza epidemiologica da SARS-CoV-2, in quanto, al fine di assicurare la continuità dell’attività didattica con modalità compatibili con le esigenze di salute pubblica, sono state privilegiate modalità “a distanza” per lo svolgimento di attività formativa e prove d’esame.

Rispondi