Stangata di DUECENTOMILA EURO alla Bocconi di Milano - Parte 2

Rispondi
Giancarlo Favero
Messaggi: 226
Iscritto il: dom gen 24, 2021 6:45 am

Stangata di DUECENTOMILA EURO alla Bocconi di Milano - Parte 2

Messaggio da Giancarlo Favero »

Con riguardo ai rischi per gli interessati derivanti, sotto il profilo della protezione dei dati, dall’impiego di sistemi di supervisione del comportamento degli studenti durante le prove d’esame a distanza, il Garante ha di recente evidenziato che tali sistemi “non devono essere indebitamente invasivi e comportare un monitoraggio dello studente eccedente le effettive necessità”, in quanto, sebbene il necessario rispetto delle regole di svolgimento delle prove vada garantito anche online, non possono considerarsi accettabili sistemi che comportano “una sorveglianza elettronica priva dei necessari limiti e garanzie” (cfr., Memoria del Presidente del Garante del 27 aprile 2021 presso le Commissioni riunite 7a e 12a del Senato in tema di “Impatto della didattica digitale integrata (DDI) sui processi di apprendimento e sul benessere psicofisico degli studenti”, doc. web n. 9581498, spec. par. 2).

In tale quadro, pertanto, le università, nello svolgimento dei propri compiti istituzionali, che implicano anche la verifica sul corretto svolgimento delle prove d’esame, anche quando siano svolte a distanza, devono rispettare i principi di protezione dei dati, verificando, in primo luogo, la sussistenza dei presupposti di liceità con riguardo agli specifici trattamenti derivanti dall’impiego dai sistemi di supervisione e assolvendo, prima dell’inizio del trattamento agli obblighi di correttezza e trasparenza nei confronti degli interessati. Ciò anche in considerazione della particolare invasività che l’impiego di tali soluzioni tecnologiche può, in taluni casi, comportare (trattamento di categorie particolari di dati; profilazione; trasferimenti internazionali dei dati).

3.3 La correttezza e la trasparenza del trattamento: l’informativa.

Nel rispetto del principio di “liceità, correttezza e trasparenza”, il titolare del trattamento deve adottare misure appropriate per fornire all'interessato, prima di iniziare il trattamento, tutte le informazioni richieste dal Regolamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (artt. 5, par. 1, lett. a), 12 e 13 del Regolamento).

Dall’esame della documentazione in atti risulta che l’informativa sul trattamento dei dati personali fornita agli studenti (cfr. all. 5 alla nota del XX), non riporta tutte le informazioni richieste dal Regolamento per assicurare un trattamento corretto e trasparente. Il documento, che fa riferimento al trattamento dei dati biometrici e di alcuni altri dati degli studenti (nome, cognome e data di nascita), solo “a titolo esemplificativo e non esaustivo”, non menziona invece gli ulteriori specifici trattamenti posti in essere mediante il sistema “Respondus”, quali il tracciamento del comportamento dello studente durante la prova (posizione del viso; disconnessioni dalla rete Internet; tentativi di utilizzare il mouse o il trackpad per passare da un’applicazione all'altra o per uscire dal sistema; applicazioni in uso), le successive elaborazioni mediante profilazione, la registrazione audio-video della prova. Né vi è menzione della fotografia scattata dal sistema all’inizio della prova allo studente, cui viene chiesto di esibire un documento di identità e di effettuare una ripresa panoramica dell’ambiente circostante (cfr. all. n. 16 alla memoria difensiva, riportante la relazione tecnica del sistema).

Sul punto l’Ateneo ha dichiarato che l’informativa originariamente resa agli studenti conteneva un rinvio “attraverso specifico link ipertestuale” al testo della “informativa completa sul trattamento dei dati degli studenti” (cfr., memoria difensiva), non fornendone tuttavia evidenza nel corso dell’istruttoria.

Da verifiche puntuali (cfr. relazione di servizio dell’XX, in atti) è emerso tuttavia che il predetto collegamento ipertestuale rinvia a pagine web (https://www.unibocconi.it/privacy, che a sua volta reca un collegamento alla pagina “Informativa Studenti, Partecipanti, Alumni e Donor”) che in realtà recano informazioni generiche ai trattamenti dell’Università legati alla “esperienza scolastica, accademica o professionale, al titolo della tesi, al titolo del progetto finale, alla durata degli studi e ai risultati degli esami [, nonché alla] documentazione sulla valutazione del vostro lavoro, […]”, senza alcuno specifico riferimento ai trattamenti effettuati mediante il sistema “Respondus”. Peraltro, anche l’informativa aggiornata in data 7 ottobre 2020, a seguito delle interlocuzioni con l’Ufficio (cfr. all. 10 alla memoria difensiva), non contiene comunque tutti gli elementi necessari per rappresentare compiutamente il trattamento.

Il testo dell’informativa originariamente resa agli interessati non indica, inoltre, gli specifici tempi di conservazione dei dati personali, limitandosi a prevedere, in modo generico, che “i dati verranno conservati per il periodo strettamente necessario al perseguimento delle finalità indicate […e] per un periodo ulteriore in caso emergano necessità di gestire eventuali contestazioni o contenziosi” (v. informativa del XX sub all. 5 alla nota del XX). Analoga generica formulazione è contenuta anche nella versione dell’informativa del XX, sebbene contenga qualche precisazione in merito al fatto che “i […] dati personali biometrici, che non sono trattati e conservati dall'università, saranno cancellati immediatamente da Respondus Inc al termine di ogni prova di esame” (v. all. 10 alla memoria difensiva).

A tal riguardo, si evidenzia che "non è sufficiente che il titolare del trattamento affermi in maniera generica che i dati personali saranno conservati finché sarà necessario per le finalità legittime del trattamento”, dovendosi fissare “periodi di conservazione diversi per le diverse categorie di dati personali e/o finalità del trattamento, inclusi, se del caso, i periodi di archiviazione” (“Linee guida sulla trasparenza ai sensi del regolamento 2016/679” dell’11 aprile 2018, WP260 rev.01, fatte successivamente proprie dal Comitato europeo per la protezione dei dati). Sul punto il titolare del trattamento ha, infatti, dichiarato che “per ciò che attiene al periodo di conservazione, in effetti, la Bocconi riconosce che l’informativa potrebbe potenzialmente difettare di trasparenza, non essendo indicato un periodo di conservazione specifico” (cfr. memoria difensiva in atti).

Sempre sotto il profilo della correttezza e trasparenza del trattamento, l’informativa non menziona che i dati personali sono oggetto di trasferimento negli Stati Uniti d’America, limitandosi genericamente a prevedere che “i […] dati personali saranno trattati dal Titolare all'interno e all'esterno del territorio dell'Unione Europea”, né è specificato il presupposto del trasferimento, ovvero – al tempo – la Decisione di esecuzione (UE) 2016/1250 della Commissione, del 12 luglio 2016 sull'adeguatezza della protezione offerta dallo scudo UE-USA per la privacy (Privacy Shield), non essendo gli studenti edotti né dello specifico Paese terzo di destinazione dei dati né delle particolari garanzie adottate per tale trasferimento, essendo tali garanzie elencate solo a tiolo esemplificativo. Peraltro anche nella successiva versione dell’informativa del XX (cfr. all. 10 alla memoria difensiva), non viene indicato lo specifico Paese terzo di destinazione dei dati (gli Stati Uniti d’America). A tal riguardo, le Linee guida sopra citate chiariscono che “dovrebbe essere specificato l’articolo del regolamento che consente il trasferimento e il meccanismo corrispondente […] [, anche fornendo] informazioni su dove e come accedere al documento pertinente od ottenerlo, ad es. fornendo un collegamento al meccanismo utilizzato. Conformemente al principio di correttezza, le informazioni fornite sui trasferimenti a paesi terzi dovrebbero essere il più pregnanti possibile per gli interessati. In genere, ciò significa indicare il nome dei paesi terzi”.

Si rileva, inoltre, che, sebbene il trattamento in questione non si risolva in un processo decisionale interamente automatizzato (cfr. art. 22 del Regolamento), l’informativa resa agli interessati non esplicita la logica su cui si basa il funzionamento del sistema di supervisione (cfr. art. 5, par. 1, lett. a), del Regolamento). non essendo chiarite le diverse funzionalità del sistema e i meccanismi che comportano la generazione dei segnali di allarme/anomalia, né sono rese note l’importanza e le conseguenze per l'interessato nel caso in cui vengano posti in essere determinati comportamenti nel corso dello svolgimento della prova.

La necessità di assicurare la correttezza e la trasparenza del trattamento impone che l’interessato sia “informato della esistenza di una profilazione e delle conseguenze della stessa” (cons. 60 del Regolamento) e che, indipendentemente dagli specifici obblighi di trasparenza applicabili al processo decisionale automatizzato (artt. 13, par. 2, lett. f), e 14, par. 2, lett. g) del Regolamento), “l’importanza d’informare gli interessati delle conseguenze del trattamento […] e il principio generale secondo cui questo trattamento non dovrebbe cogliere di sorpresa l’interessato si applicano parimenti alla profilazione in generale, non solo a quella descritta all’articolo 22” (v., “Linee guida sulla trasparenza ai sensi del regolamento 2016/679” dell’11 aprile 2018, WP260 rev.01; in generale, sulla necessità che gli interessati vengano debitamente informati in merito allo “schema esecutivo dell’algoritmo e gli elementi di cui si compone”, v. Cass. civ. Sez. I, Ord., 25 maggio 2021, n. 14381, che ha confermato un precedente provvedimento del Garante).

Né può ritenersi sufficiente che “i rappresentati degli Studenti […], già prima dell’implementazione di Respondus, [fossero stati] informati del nuovo processo e delle funzionalità dello stesso” (par. 3.3 della memoria difensiva), atteso che le informazioni sul trattamento dei dati personali devono essere “fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici” individualmente a ciascun interessato. L’aver illustrato le funzionalità del sistema ai soli rappresentati degli studenti non risulta, invece, idoneo a rendere edotti individualmente gli interessati con riguardo a tutte le operazioni di trattamento effettuate. Peraltro, l’informativa può essere resa oralmente solo se richiesto dall’interessato (cfr. art. 12 del Regolamento). Anche la “procedura interna per lo svolgimento delle prove d’esame online, diffusa tra gli Studenti e il corpo docente” (par. 3.3 della memoria difensiva e all. 13 denominato “Linee guida esami online scritti” che, peraltro, nella versione in atti, riporta la data del XX), comunque non idonea ad assolvere l’obbligo di informare gli interessati ai sensi dell’art. 13 del Regolamento, si limita a illustrare aspetti tecnici e procedurali relativi allo svolgimento delle prove ad esame a distanza, senza illustrare la logica su cui si basa il sistema di supervisione “Respondus”.

In ogni caso, in relazione all’affermazione che gli studenti avrebbero “ricevuto, per tempo, diverse istruzioni e chiarimenti ben prima dell’avvio del trattamento, con informazioni multilayer”, si osserva che l’approccio di fornire agli interessati informative stratificate è utile ai fini del rispetto del principio di trasparenza solo se le informazioni di primo e di secondo livello sono presentate tra loro in maniera coerente e strutturata, consentendo agli interessati di conoscere gli elementi essenziali del trattamento nella prima informativa di primo livello, potendo poi scegliere di approfondire determinati aspetti nelle informative di dettaglio (sul punto, “Linee guida sulla trasparenza ai sensi del regolamento 2016/67” adottate l’11 aprile 2018, WP260 rev.01, par. 35, successivamente fatte proprie dal Comitato europeo per la protezione dei dati con “Endorsement 1/2018” del 25 maggio 2018: “le dichiarazioni/informative sulla privacy non sono mere pagine annidiate in altre che richiedono diversi clic per arrivare all’informazione voluta: il design e il layout del primo strato della dichiarazione/informativa sulla privacy dovrebbe essere tale da offrire all’interessato una panoramica chiara delle informazioni a sua disposizione sul trattamento dei dati personali e del luogo e del modo in cui può trovarle fra i diversi strati”). Nel caso di specie, invece, le diverse informazioni agli studenti - che sono in ogni caso carenti con riguardo alla logica sottostante allo strumento utilizzato - sono state presentate in maniera frammentaria e disorganica (e talvolta, come nel caso delle indicazioni impartite oralmente, non documentabile), senza coerenti rimandi tra i diversi documenti (ad esempio, l’informativa sul trattamento dei dati personali non menziona affatto la procedura “Linee guida esami online scritti”).

Per tutte le ragioni sopra rappresentate, il trattamento posto in essere dall’Ateneo non può ritenersi conforme al principio di liceità, trasparenza e correttezza non essendo stati forniti tutti gli elementi informativi previsti dal Regolamento (art. 5, par. 1, lett. a), e 13 del Regolamento).

3.4 L’assenza di base giuridica per il trattamento di dati biometrici degli studenti.

In risposta all’iniziale richiesta d’informazioni del Garante, l’Ateneo ha dichiarato di aver strutturato “un processo che […] unicamente per le prove d’esame scritte, fosse in grado di identificare gli Studenti attraverso l’utilizzo temporaneo del loro dato biometrico e, dunque, elaborando automaticamente le immagini digitali che raffigurano il volto degli stessi a fini di identificazione, autenticazione e verifica”, con ciò, pertanto, confermando che l’utilizzo del sistema implicasse il trattamento di “dati biometrici” (art. 4, par. 1, n. 14), del Regolamento).

In seguito, l’Ateneo ha rettificato le proprie dichiarazioni, affermando, nella memoria difensiva, nonché in sede di audizione, che a seguito di approfondimenti con il fornitore il sistema non comporta il trattamento di dati biometrici degli interessati. Nella relazione tecnica allegata alla memoria difensiva (all. 16), inoltre, si afferma che “il video della webcam viene analizzato utilizzando la tecnologia di Respondus, senza estrazione di campione biometrico” e che “diversi eventi segnalati dipendono in larga misura dalla tecnologia di rilevamento facciale, che non comporta in alcun caso l’estrazione di un campione biometrico”.

Si rileva, anzitutto, che, contrariamente a quanto sostenuto dall’Ateneo, Respondus, Inc. ha affermato che un template biometrico viene comunque generato, avendo precisato che “non c'è corrispondenza del template biometrico temporaneo con nessuna persona identificata in nessun database interno o esterno” (cfr. nota di Respondus all’Ateneo del XX, sub all. 12 alla memoria difensiva).

Da quanto emerge dagli atti, in merito al funzionamento dell’applicativo, è possibile affermare che il software Respondus Monitor effettua un trattamento tecnico specifico di una caratteristica fisica degli interessati per confermare la presenza e la coincidenza dell’interessato per tutta la durata della prova. Seppur il sistema non comporta l’identificazione del candidato – nonostante fra le azioni preliminari di LockDown Browser sia previsto che lo studente scatti una propria foto con le funzionalità interne a LockDown Browser ed esibisca un documento identificativo (cfr. relazione tecnica sub all. 16 alla memoria difensiva) – e non confronti l’immagine del volto con altre immagini presenti in propri database e in database esterni, ovvero non effettui una identificazione (1 a molti) o verifica biometrica (uno a uno), il sistema effettua comunque un trattamento di dati biometrici che consiste nella raccolta, elaborazione e analisi del video prodotto dal software tramite un algoritmo di intelligenza artificiale al fine di produrre i “flag”.

Per tale motivo, tenuto anche conto di quanto già affermato dall’Autorità in casi analoghi, “nel caso del riconoscimento facciale, il presupposto perché il trattamento delle immagini possa essere qualificato come trattamento biometrico è che i confronti finalizzati al riconoscimento dell’individuo (verifica dell’identità, nel caso in esame) siano automatizzati mediante l’ausilio di appositi strumenti software o hardware” (provv. 26 luglio 2017, n. 345, doc. web n. 6826368). Per tali ragioni, stante la definizione di dati biometrici (art. 4, par. 1, n. 14, del Regolamento: “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”), si ritiene che l’utilizzo effettuato dall’Università Bocconi tramite il software Respondus comporti il trattamento di dati biometrici relativi all’immagine del volto degli studenti. Tale circostanza trova conferma dell’informativa sul trattamento dei dati personali, nella versione del XX (v. all. 10 alla memoria difensiva “i […] dati personali biometrici, che non sono trattati e conservati dall'università, saranno cancellati immediatamente da Respondus Inc al termine di ogni prova di esame”).

Ciò chiarito, il rafforzamento delle tutele dei dati biometrici previste dal Regolamento e dal Codice, come modificato dal d.lgs. n. 101/2018 - in ragione della loro delicatezza, derivante dalla stretta e stabile relazione con l’individuo e la sua identità - mediante l’inclusione degli stessi nelle categorie di dati particolari e, al pari dei dati sulla salute e genetici, tra quelle assistite da un più elevato livello di garanzie (art. 9, par. 1, 2 e 4, del Regolamento; l’art. 2-septies del Codice), ha riguardato anzitutto i presupposti giuridici che rendono leciti i trattamenti di tali categorie di dati (cfr. provv. n. 16 del 14 gennaio 2021, doc. web n. 9542071). In tale quadro il trattamento dei dati biometrici è di regola vietato, salvo che sussista una delle condizioni di cui all’art. 9 del Regolamento “ed in conformità alle misure di garanzia disposte dal Garante”.

Nel caso di specie, l’Ateneo aveva identificato nel consenso dello studente la base giuridica del trattamento dei dati biometrici trattati mediante il sistema “Respondus”. Tuttavia, come già precisato al precedente par. 3.1, considerato che il trattamento è stato effettuato dall’Ateneo ai fini del rilascio di titoli di studio aventi valore legale, contrariamente a quanto sostenuto dall’Ateneo (cfr. parere del RPD e punto 2.4., 3.1 e 5.1 della valutazione d’impatto sulla protezione dei dati, in atti), il consenso non costituisce la base giuridica del trattamento né può ritenersi una “manifestazione di volontà libera” (art. 4, par. 1, n. 11) del Regolamento), in ragione dello squilibrio della posizione degli studenti rispetto al titolare del trattamento (cfr. considerando n. 43 del Regolamento).

Sebbene, infatti, solo in sede di audizione, l’Ateneo abbia dichiarato che“la direzione Academic Services, consultato il docente, ha […] trovato delle soluzioni alternative [allo svolgimento della prova mediante il sistema in questione] pur in costanza dello stato di emergenza (orale o scritto con videoconferenza e proctoring individuale)”, con il comunicato del XX, allegato al reclamo, gli studenti sono stati avvertiti che “in assenza del rilascio del […] consenso, non sarà possibile sostenere le prove d'esame online”, prospettando come unica alternativa l’effettuazione dell’esame in presenza con modalità da concordare con il docente (v anche par. 5 dell’informativa del 24 aprile 2020: “l'eventuale rifiuto di prestare il consenso per il trattamento dei dai biometrici […] comporterà l'impossibilità di sostenere l'esame in modalità online e a distanza. Potrai, pertanto, sostenere la prova d'esame unicamente dal vivo, alla presenza reale e non virtuale del docente di riferimento, presso le sedi dell'Università”). Ciò, tenuto conto del contesto emergenziale derivante dalla diffusione del virus SARS-CoV-2 può, da un lato, esporre docenti e studenti a un più elevato rischio per la salute nel contesto epidemiologico e, dell’altro, può ingenerare nello studente il timore di subire ripercussioni negative, anche indirette, da parte dei docenti come conseguenza del rifiuto (cfr. punto 3.1 delle “Linee guida 5/2020 sul consenso ai sensi del regolamento(UE) 2016/679” adottate dal Comitato europeo per la protezione dei dati il 4 maggio 2020).

Stante l’impossibilità di far ricorso al consenso, il trattamento dei dati biometrici effettuati dall’Ateneo, riconducibili allo svolgimento di compiti di interesse pubblico, è consentito solo nella misura in cui sia “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato” (art. 9, par. 2, lett. g), del Regolamento; art. 2-sexies, comma 2, lett. bb) del Codice ha definito “rilevante” l’interesse pubblico per il trattamento effettuato per finalità di “istruzione e formazione in ambito scolastico, professionale, superiore o universitario”). Nel margine di flessibilità concesso al legislatore nazionale, l'art. 2-sexies del Codice ha specificato le condizioni, richieste dall'art. 9, par. 1, lett. g), del Regolamento, delimitando i presupposti di legittimità del trattamento, quando sono necessari per motivi di interesse pubblico rilevante, alla sussistenza di una previsione normativa che deve specificare, oltre al motivo di interesse pubblico rilevante, tra l’altro, i tipi di dati, le operazioni eseguibili, le misure appropriate per tutelare i diritti degli interessati.

In tale quadro, quindi, affinché uno specifico trattamento avente a oggetto dati biometrici possa essere lecitamente iniziato è necessario che lo stesso trovi il proprio fondamento in una disposizione normativa che abbia le caratteristiche richieste dalla disciplina di protezione dei dati in termini di qualità della fonte, contenuti necessari e rispetto del principio di proporzionalità (art. 6, par. 3, del Regolamento; sul punto, ancorché con riguardo a un diverso contesto di trattamento cfr. provv. n. 16 del 14 gennaio 2021, doc. web n. 9542071). Tali elementi, allo stato, non sono stati individuati da alcuna legge o regolamento di settore né dalle diposizioni dell’emergenza.

Per tali ragioni, atteso che nell’ordinamento vigente non si rinviene – né l’Ateneo ha, invero, individuato - una disposizione normativa che espressamente autorizzi il trattamento dei dati biometrici per le finalità di verifica della regolarità delle prove d’esame, il trattamento dei dati biometrici in questione risulta avvenuto in assenza di idonea base giuridica, in violazione degli artt. 5, 6 e 9 del Regolamento e dell’art. 2-sexies, comma 1, del Codice.

3.5 L’analisi del comportamento degli studenti nel corso della prova d’esame.

Come risulta dall’esame della documentazione in atti, il sistema di supervisione “Respondus”, nella componente denominata “Respondus Monitor”, è dotato di funzionalità e meccanismi che comportano la generazione di segnali di allarme (c.d. “flag”) al fine di rilevare anomalie del comportamento dello studente durante la prova per verificarne la correttezza e la conseguente regolarità. In particolare, il documento denominato “RespondusFeedback” (cfr. all. alla nota del XX, cit.) illustra taluni esempi di reportistica restituita dal software sulla base dell’analisi del comportamento dello studente durante della prova (es. posizione dello studente rispetto alla web cam, disconnessioni dalla rete Internet, applicazioni in uso, e movimenti del mouse per passare da un'applicazione all'altra o per uscire dal sistema), consentendo al docente di visualizzare i fotogrammi rispetto ai quali il sistema abbia evidenziato una presunta anomalia (v. documento “Additional Privacy Information – Respondus Monitor”, pubblicato sul sito web di Respondus, all. 11 alla memoria difensiva, nella versione dell’XX, ove si legge, in particolare, che “Respondus Monitor traccia continuamente le applicazioni e i processi che sono in esecuzione sul dispositivo informatico durante una sessione di esame”; relazione tecnica sub. all. 16 alla memoria difensiva; nota di Respondus del XX, allegata alla nota dell’Ateneo del XX, con la quale sono stati precisate le tipologie di eventi anomali rilevati dal sistema).

Nel riepilogo mostrato al docente figura l’indice “Review Priority”, “che indica se la sessione d’esame di uno studente richiede attenzione maggiore da parte del docente. I risultati vengono rappresentati nelle categorie Basso (LOW), Medio (MEDIUM) e Alto (HIGH) con un grafico a barre da verde a rosso che indica il livello di rischio”; il valore “Review Priority deriva da tre fonti di dati: il video della webcam dello studente; il dispositivo informatico e la rete utilizzati per la prova; l’interazione dello studente con la prova […]” tenendo conto di vari indici di anomalia quali, ad esempio, le interruzioni del video, il riavvio automatico di una sessione della webcam, i tentativi di cambiare applicazione; diverse anomalie, inoltre, “dipendono in larga misura dalla tecnologia di rilevamento facciale” che è in grado di segnalare l’assenza del candidato o la sostituzione di persona (v. relazione tecnica cit.).

Alla luce del complesso degli elementi emersi nel corso dell’istruttoria e pur tenendo conto delle rettifiche e delle precisazioni dell’Ateneo, si ritiene che le funzionalità della componente “Respondus Monitor”, che determinano un trattamento parzialmente automatizzato per l’analisi del comportamento degli interessati, in funzione della successiva valutazione del docente, diano comunque luogo a una “profilazione” degli studenti (art. 4, par. 1, n. 4, del Regolamento), intesa come l’operazione di trattamento automatizzato di dati personali “per valutare aspetti personali relativi a una persona fisica” e, in particolare, come nel caso in esame, per analizzare aspetti riguardanti il comportamento o l’affidabilità dell’interessato (art. 4, n. 4, del Regolamento).

Specialmente nel contesto dell’esercizio di compiti di interesse pubblico, come nel caso in esame, occorre tenere conto degli specifici rischi derivanti dalla profilazione, che, generando informazioni nuove e ulteriori da quelle fornite dall’interessato o altrove acquisite, può talvolta comportare conseguenze pregiudizievoli per l’interessato, quali, in generale, l’esclusione da benefici, il mancato accesso a beni e servizi o, come in questo caso, l’annullamento di una prova d’esame, in violazione del principio di non discriminazione. Pertanto, il trattamento in questione, per essere lecito, oltre a dover essere chiaramente rappresentato agli interessati, deve essere, in questo contesto, necessario per l'esecuzione di un compito di interesse pubblico e deve quindi essere previsto da una norma di legge o di regolamento (art. 6, par. 1, lett. e), e par. 3, e cons. 72 del Regolamento, art. 2-ter del Codice) che, nel caso di specie però non sussiste.

Per tali ragioni, si ritiene che i descritti trattamenti consistenti nell’analisi del comportamento degli studenti nel corso della prova d’esame il trattamento dei dati personali degli studenti è stato effettuato in violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento.

3.6 Protezione dei dati fin dalla progettazione e per impostazione predefinita, minimizzazione e limitazione della conservazione.

In disparte dal rilevo dell’assenza della base giuridica del trattamento, dalla documentazione in atti si evince che il sistema di supervisione “Respondus” non si limita a inibire specifiche funzionalità dei dispositivi in uso agli studenti nel corso dello svolgimento dell’esame (mediante l’utilizzo della sola funzione c.d. “LockDown Browser”). Attraverso l’estensione “Respondus Monitor”, il sistema tiene traccia del comportamento dello studente durante la prova (disconnessioni dalla rete Internet; tentativi di utilizzare il mouse o il trackpad per passare da un'applicazione all'altra o per uscire dal sistema; applicazioni in uso; posizione del viso dello studente), generando una pluralità di informazioni e dati personali relativi allo studente e alla sua condotta, il cui trattamento non risulta strettamente necessario per assicurare il regolare svolgimento e la validità della prova. Peraltro, talune di tali informazioni, come nel caso delle applicazioni in uso sul terminale dello studente, sono potenzialmente idonee a rivelare aspetti relativi alla sua vita privata.

Anche in considerazione del rischio che incombe sui diritti e le libertà degli interessati, il titolare del trattamento, anche avvalendosi del supporto del responsabile della protezione dei dati, deve ”fin dalla progettazione” e “per impostazione predefinita” (art. 25 del Regolamento) adottare misure tecniche e organizzative adeguate ad attuare i principi di protezione dei dati (art. 5 del Regolamento), quali i principi di minimizzazione e di limitazione della conservazione di cui agli artt. 5, par. 1, lett. c) e e), del Regolamento) e integrando nel trattamento le necessarie garanzie per soddisfare i requisiti del Regolamento e tutelare i diritti e le libertà degli interessati (cfr. “Linee guida 4/2019 sull’articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita”, adottate il 20 ottobre 2020 dal Comitato europeo per la protezione dei dati, spec. punti 42, 44 e 49). Ciò anche quando il titolare del trattamento utilizza prodotti o servizi realizzati da terzi, impartendo se del caso le necessarie istruzioni al fornitore del servizio e assicurandosi che siano, ad esempio, disattivate le funzioni che non abbiano una base giuridica ovvero non siano compatibili con le finalità del trattamento (cfr., in particolare, con riguardo al trattamento di dati di utenti e dipendenti mediante un sistema di prenotazione di servizi allo sportello, provv. 17 dicembre 2020, n. 282, doc. web n. 9525337, ma già provv. 7 marzo 2019, n. 81, doc. web n. 9121890).

Considerato inoltre che i dati personali devono essere “conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5, par. 1, lett. e), del Regolamento), si osserva che, con riguardo ai tempi di conservazione delle registrazioni audio-video delle prove d’esame (ovvero cinque anni dalla data della prova - cfr. par. 3.5 della valutazione d’impatto sub all. 3 alla nota del XX –, poi riformulati dall’Ateneo in dodici mesi successivamente alla contestazione amministrativa - cfr. memoria difensiva), il titolare non ha fornito le specifiche motivazioni sulla cui base si renderebbe necessaria la conservazione dei dati per un così esteso lasso temporale. Sul punto si fa presente, in ogni caso, che tale periodo di conservazione non risulta proporzionato rispetto alla finalità di assicurare la regolarità delle prove d’esame. Né tale ampio arco temporale può essere giustificato per l’ulteriore finalità legata all’utilizzo dei medesimi dati in caso di eventuali contestazioni da parte degli interessati, considerati i termini previsti dalla legge per impugnare l’esito della prova (reclamo alla commissione esaminatrice ovvero ricorso al TAR).

Come tradizionalmente affermato dal Garante, il trattamento di dati effettuato per finalità di tutela dei propri diritti, anche in giudizio, come si afferma nell’informativa resa agli studenti, deve, infatti, riferirsi a contenziosi in atto o a situazioni precontenziose, e non ad astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti (tale principio generale è stato, da ultimo, ribadito dal Garante, sebbene in un contesto diverso, nel “Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101”, all. 1, par. 1.3, lett. d), doc. web n. 9124510; v. anche provv. 8 marzo 2018, n. 139, doc. web n. 8163433, par. 4.1). Anche sul piano europeo, sebbene in materia di trasferimenti internazionali di dati personali, il Comitato europeo per la protezione dei dati ha affermato che “non è ammesso il ricorso alla deroga [al generale divieto di trasferimento] per giustificare il trasferimento di dati personali sulla base della mera possibilità di eventuali procedimenti giudiziari o procedure formali in futuro” (“Linee guida 2/2018 sulle deroghe di cui all’articolo 49 del regolamento 2016/679” adottate il 25 maggio 2018), così confermando che il trattamento dei dati per finalità di tutela dei propri diritti in giudizio non può dipendere dalla possibilità di un contenzioso meramente eventuale.

Quanto alla circostanza che, come dichiarato dall’Ateneo, la valutazione d’impatto sulla protezione dei dati personali, ove è indicato il periodo di conservazione di cinque anni, debba essere letta congiuntamente con le previsioni dell’accordo sul trattamento dei dati stipulato con il fornitore, ai sensi del quale il titolare del trattamento può chiedere in qualsiasi momento al fornitore di cancellare i dati, e che, sulla base di dette previsioni, “la Bocconi, infatti, chiede che venga effettuata le descritta cancellazione non decorsi cinque anni dalla data di espletamento della prova, bensì una volta che si è formalmente chiusa la sessione d’esame e si è perfezionato […] il procedimento di valutazione delle prove sostenute dagli studenti” (cfr. memoria difensiva), si osserva che, nel rispetto del principio di responsabilizzazione, i tempi di conservazione dei dati devono essere fissati ex ante dal titolare del trattamento in maniera certa e documentabile (cfr. art. 5, par. 2, 24 e 25 del Regolamento). Diversamente, il titolare del trattamento non potrebbe informare gli interessati in merito ai tempi di conservazione dei dati prima di dar luogo al trattamento (cfr. artt. 13, par. 2, lett. a) e 14, par. 2, lett. a) del Regolamento) e, nell’ambito della valutazione d’impatto sulla protezione dei dati, come nel caso di specie, non potrebbe effettuare una compiuta “valutazione delle necessità e proporzionalità dei trattamenti in relazione alle finalità” (art. 35, par. 7, lett. b) del Regolamento), anche con riguardo alla “limitazione della conservazione (articolo 5, paragrafo 1, lettera e))” (“Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679” del Gruppo di lavoro art. 29, adottate il 4 ottobre 2017, WP 248 rev.01, fatte proprie dal Comitato europeo per la protezione dei dati con “Endorsement 1/2018” del 25 maggio 2018).

Con riguardo all’affermazione dell’Ateneo per cui “la registrazione video non viene archiviata in chiaro sui sistemi informativi dell’Università […] [, essendo il] video […], fino alla sua cancellazione, conservato in maniera completamente crittografata sui server del fornitore” (cfr. memoria difensiva), si rileva che, seppure i dati in questione risiedano sui sistemi informatici del fornitore, che quindi tratta i dati per conto e nell’interesse del titolare (cfr. cons. 81, artt. 4, punto 8), e 28 del Regolamento ), è comunque su quest’ultimo che grava la “responsabilità generale” (cons. 74 del Regolamento) connessa al trattamento (cfr. artt. 5, par. 2, e 24 del Regolamento), anche per quanto concerne la definizione certa dei tempi di conservazione dei dati (cfr. art. 5, par. 2, del Regolamento, ai sensi del quale “il titolare del trattamento è competete per il rispetto del paragrafo 1”, ovvero dei principi applicabili al trattamento di dati personali, tra i quali il principio di limitazione della conservazione).

Per le ragioni rappresentate, il trattamento dei dati personali degli studenti risulta effettuato in maniera non conforme ai principi di protezione dei dati fin dalla progettazione e per impostazione predefinita, minimizzazione e limitazione della conservazione, in violazione degli artt. 5, par. 1, lett. c) ed e) e 25 del Regolamento.

3.7 Trasferimenti internazionali di dati personali

Come emerso dall’istruttoria, il sistema di supervisione utilizzato dall’Ateneo è fornito da Respondus, Inc., società stabilita negli Stati Uniti d’America, che tratta i dati personali in qualità di responsabile del trattamento, sulla base di un accordo sul trattamento dei dati personali (“Appointment of an External Data Processor under Regulation (EU) 2016/679”), stipulato tra le parti in data XX ai sensi dell’art. 28 del Regolamento.

A tal proposito, in generale, si osserva che i trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo sono consentiti a condizione che l’adeguatezza del Paese terzo sia stata riconosciuta da una decisione della Commissione europea (cfr. artt. 44 e 45 del Regolamento). In assenza di una tale decisione, il trasferimento è consentito a condizione che il titolare del trattamento fornisca garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (art. 46 del Regolamento). Al riguardo, possono costituire garanzie adeguate, tra le altre, le clausole tipo di protezione dei dati adottate dalla Commissione europea (art. 46, par. 2, lett. c), del Regolamento).

In assenza di ogni altro presupposto, è possibile trasferire i dati personali in base ad alcune deroghe che si verificano in talune specifiche ipotesi (art. 49 del Regolamento), che devono essere interpretate restrittivamente e che possono applicarsi solo in caso di trasferimenti occasionali e non ripetitivi (cfr. le “Linee guida 2/2018 sulle deroghe di cui all’articolo 49 del regolamento 2016/679”, adottate il 25 maggio 2018 dal Comitato europeo per la protezione dei dati).

Con riferimento al trasferimento dei dati personali negli Stati Uniti d’America, la Corte di Giustizia dell’Unione Europea, con sentenza del 16 luglio 2020 (Data Protection Commissioner contro Facebook Ireland Limited e Maximillian Schrems, Causa C-311/18), ha dichiarato invalida la decisione relativa al c.d. scudo per la privacy (Privacy Shield) (Decisione di esecuzione (UE) 2016/1250 della Commissione, del 12 luglio 2016 sull'adeguatezza della protezione offerta dallo scudo UE-USA per la privacy), in considerazione del fatto che il diritto interno degli Stati Uniti d’America (in particolare l'art. 702 del Foreign Intelligence Surveillance Act - FISA e l'Executive Order 12333) – consentendo alle autorità pubbliche, nel quadro di determinati programmi di sicurezza nazionale, di accedere senza adeguate limitazioni ai dati personali oggetto di trasferimento ai fini della sicurezza nazionale - non garantisce un livello di tutela sostanzialmente equivalente a quello riconosciuto dal diritto europeo e non accorda, ai soggetti interessati, diritti azionabili in sede giudiziaria nei confronti delle autorità statunitensi.

La Corte ha, altresì, esaminato la validità della Decisione della Commissione, del 5 febbraio 2010, relativa alle clausole contrattuali tipo per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi, e ne ha ritenuto la validità, sul presupposto che tali clausole mirano unicamente a fornire garanzie contrattuali che si applicano in modo uniforme in tutti i paesi terzi, indipendentemente dal livello di protezione garantito in ciascuno di essi. Tuttavia, poiché tali clausole, tenuto conto della loro natura, non forniscono garanzie che vadano al di là di un obbligo contrattuale di rispettare il livello di protezione richiesto dal diritto dell’Unione europea, “esse possono richiedere, in funzione della situazione esistente nell’uno o nell’altro paese terzo, l’adozione di misure supplementari da parte del titolare del trattamento al fine di garantire il rispetto di tale livello di protezione” (par. 133 della sentenza). Incombe pertanto sul titolare del trattamento l’obbligo di verificare, caso per caso, ed eventualmente in collaborazione con il destinatario del trasferimento, se il diritto del Paese terzo di destinazione garantisce una protezione adeguata, alla luce del diritto dell’Unione europea, dei dati personali che sono oggetto di trasferimento fornendo, se necessario, garanzie supplementari rispetto a quelle offerte dalle clausole tipo. Qualora non sia possibile adottare tali misure supplementari, è necessario “sospendere o mettere fine al trasferimento di dati personali verso il paese terzo interessato” (par. 135 della sentenza). Tale ipotesi ricorre, in particolare, “nel caso in cui il diritto di tale paese terzo imponga al destinatario di un trasferimento di dati personali proveniente dall’Unione obblighi in contrasto con dette clausole e, pertanto, atti a rimettere in discussione la garanzia contrattuale di un livello di protezione adeguato contro l’accesso delle autorità pubbliche di detto paese terzo a tali dati” (ibidem).

L’art. 8.2 dell’accordo sulla protezione dei dati stipulato tra l’Ateneo e Respondus, Inc. prevede che “il Titolare del Trattamento autorizza il Responsabile del Trattamento a trattare o trasferire i dati fuori dall’Unione europea, a condizione che il Responsabile del Trattamento garantisca che sussistano dei meccanismi che possano assicurare un adeguato livello di protezione e che gli interessati dispongano di diritti azionabili ed effettivi mezzi di impugnazione”.

Il trasferimento dei dati personali, relativi agli studenti e al personale dell’Ateneo, a Respondus, Inc. è stato effettuato sul presupposto che, come affermato nella nota dell’Ateneo del XX, Respondus, Inc. “dichiara e garantisce, per mezzo della propria privacy policy pubblicata al seguente indirizzo telematico https://web.respondus.com/gdpr-privacy-shield/, di aderire al Privacy Shield”, secondo quanto previsto dalla Decisione di esecuzione (UE) 2016/1250 della Commissione europea, del 12 luglio 2016 sull'adeguatezza della protezione offerta dallo scudo UE-USA per la privacy.

Rispondi