Stangata di DUECENTOMILA Euro alla Bocconi di Milano - Parte 3

Rispondi
Giancarlo Favero
Messaggi: 226
Iscritto il: dom gen 24, 2021 6:45 am

Stangata di DUECENTOMILA Euro alla Bocconi di Milano - Parte 3

Messaggio da Giancarlo Favero »

In conseguenza della citata sentenza della Corte di Giustizia dell’Unione Europea del 16 luglio 2020 (Data Protection Commissioner contro Facebook Ireland Limited e Maximillian Schrems, Causa C-311/18), con la quale è stata invalidata la predetta Decisione di esecuzione (UE) 2016/1250, l’Ateneo ha stipulato con Respondus, Inc., in data 18 agosto 2020, un atto aggiuntivo all’accordo sulla protezione dei dati, denominato “Amendment to Appointment of an External Data Processor under Regulation (EU) 2016/679”. Tale atto riporta, in allegato, le clausole tipo di protezione dei dati di cui alla Decisione della Commissione del 5 febbraio 2010 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi, recanti la data del 20 agosto 2020.

L’Appendice n. 2 alle clausole contrattuali tipo (Appendix 2) prevede che “l’importatore dei dati dovrà mettere in atto misure amministrative, fisiche e tecniche per la protezione della sicurezza, la confidenzialità e l’integrità dei Dati Personali caricati per l’utilizzo dei prodotti concessi in licenza” e che “i dettagli relativi a tali misure sono disponibili sul modulo Monitor Hecvat di Respondus, che è consultabile su richiesta al seguente indirizzo: https://web.respondus.com/hecvat/” (“details regarding these safeguards are available on the Respondus Monitor HECVAT form, which is available upon request via URL: https://web.respondus.com/hecvat”).

Al riguardo, si osserva che la descrizione delle misure tecniche e organizzative di sicurezza, effettuata con tali modalità, non risulta tuttavia idonea a soddisfare quanto previsto dall’art. 4, par. 1, lett. c) delle clausole contrattuali tipo, ai sensi del quale, “l’esportatore dichiara e garantisce […] che l’importatore fornirà sufficienti garanzie per quanto riguarda le misure tecniche e organizzative di sicurezza indicate nell’appendice 2”, specificandosi, alla successiva lett. d), che “alla luce della normativa sulla protezione dei dati, le misure di sicurezza sono atte a garantire la protezione dei dati personali […]” (specularmente, l’art. 5, lett. c), delle clausole standard prevede che “l’importatore dichiara e garantisce quanto segue: […] c) di aver applicato le misure tecniche e organizzative di sicurezza indicate nell’appendice 2 prima di procedere al trattamento dei dati personali trasferiti”). Ciò in particolare tenuto conto che tali misure tecniche e organizzative non risultano allegate al contratto sottoscritto, essendo rese disponibili, solo su richiesta attraverso un modulo di richiesta online, e non essendovi alcuna certezza in merito a quali misure siano effettivamente adottate dall’importatore, con riguardo allo specifico trasferimento, potendo le stesse variare nel tempo (peraltro senza che l’esportatore ne abbia necessariamente contezza), e non essendo chiaramente individuato l’obbligo contrattualmente assunto dall’importatore in materia di sicurezza.

Non può, peraltro, accogliersi la tesi difensiva dell’Ateneo, secondo la quale l’Università era comunque “ben consapevole delle misure approntate dal fornitore” e che tali misure erano “allegate alla stessa DPIA [ovvero alla valutazione d’impatto sulla protezione dei dati]”, sussistendo una “relatio solo formale […] perché la determinazione delle misure fa riferimento ad un elemento che, seppur esterno all’accordo, è noto ad entrambe le parti”. Deve, infatti, considerarsi che gli artt. 4, par. 1, lett. c) e 5, lett. c) delle clausole standard, sopra richiamati, prevedono espressamente che le misure di sicurezza debbano essere “indicate nell’appendice 2” e che nella stessa appendice 2 si specifica che essa “costituisce parte integrante delle clausole contrattuali e deve essere compilata e sottoscritta dalle parti”, contemplando una specifica sezione, denominata “Descrizione delle misure tecniche e organizzative di sicurezza attuate dall’importatore in conformità della clausola 4, lettera d), e della clausola 5, lettera c) (o del documento/atto legislativo all.)”.

Nella documentazione fornita, invece, le misure tecniche e organizzative non stato state specificamente descritte, essendo soltanto indicato che esse possono essere ottenute dal titolare su richiesta. Occorre, altresì, considerare che, ai sensi dell’art. 3, par. 1, delle clausole contrattuali tipo allegate alla decisione della Commissione Europea 2010/87/UE, “l’interessato può far valere, nei confronti dell’esportatore, […] la clausola 4, lettere da b) a i), la clausola 5, lettere da a) ad e) […] in qualità di terzo beneficiario”, inclusi, dunque, gli artt. art. 4, par. 1, lett. c) e 5, lett. c) sopra richiamati.

È pertanto evidente che, non avendo le parti indicato con certezza, nell’appendice 2 alle clausole standard, le specifiche misure di sicurezza da adottare, gli interessati, in quanto terzi beneficiari, non possono far valere gli impegni assunti contrattualmente in materia di sicurezza nei confronti dell’esportatore, in violazione di quanto previsto dall’art. 3, par. 1, sopra richiamato, essendo a tal fine irrilevante che le misure di sicurezza da adottare fossero comunque note alle parti stipulanti le clausole standard.

Sotto altro profilo, con riferimento a quanto considerato dalla Corte di giustizia nella citata sentenza del 16 luglio 2020, non risulta dalla documentazione in atti che l’esportatore abbia effettuato una valutazione circa l’effettiva capacità delle misure adottate a garantire il rispetto degli obblighi assunti dall’importatore con la sottoscrizione delle predette clausole, alla luce della legislazione del paese terzo in cui i dati devono essere trasferiti.

In particolare, considerato che i dati personali sono oggetto di trasferimento verso gli Stati Uniti d’America, un Paese terzo il cui diritto interno, come stabilito nella predetta sentenza della Corte di Giustizia, non garantisce un livello di tutela sostanzialmente equivalente a quello riconosciuto dal diritto europeo e non accorda ai soggetti interessati diritti azionabili, in sede giudiziaria nei confronti delle autorità statunitensi, l’Ateneo, nell’ambito della stipula delle clausole contrattuali tipo, avrebbe dovuto espressamente valutare e prevedere, se del caso, “l’adozione di misure supplementari da parte del titolare del trattamento al fine di garantire il rispetto di tale livello di protezione” (par. 133 della sentenza), valutazione di cui non vi è alcuna evidenza nella documentazione contrattuale stipulata con Respondus, Inc. e fornita al Garante.

Al riguardo si rappresenta che, come chiarito nelle “Raccomandazioni 01/2020 sulle misure che integrano gli strumenti di trasferimento per assicurare il rispetto con il livello di protezione dei dati personali dell’Unione europea”, adottate dal Comitato europeo per la protezione dei dati personali in data 10 novembre 2020, nel caso in cui il diritto interno del Paese in cui è stabilito l’importatore (nel caso di specie gli Stati Uniti d’America) imponga a quest’ultimo degli obblighi che sono in contrasto con quelli previsti a suo carico dalle clausole contrattuali tipo( e non sia possibile porre in essere misure supplementari capaci di assicurare il rispetto di tali obblighi), il titolare è tenuto a sospendere il trasferimento dei dati personali in questione verso il Paese terzo in questione e/o risolvere le clausole contrattuali tipo stipulate con l’importatore, così come previsto dall’art. 5, lett. a) e b), delle clausole contrattuali stesse.

Le medesime considerazioni valgono anche per quanto concerne il trasferimento dei dati personali in questione al sub-responsabile del trattamento, indicato nell’Appendice n. 2 alle clausole contrattuali tipo, ovvero Amazon Web Services Inc., anch’essa stabilita negli Stati Uniti d’America.

Non trova, infatti, riscontro nella documentazione quanto dichiarato dall’Ateneo nelle proprie memorie, in relazione alla circostanza che “le misure predisposte sono da considerarsi sufficienti, ed idonee, anche e soprattutto alla luce dell’uso di sistemi di crittografia dei dati personali e alla concreta inaccessibilità degli stessi da parte di soggetti terzi, ivi compreso il responsabile e l’autorità statunitensi”. Come precisato dall’Ateneo in sede di audizione, infatti, i dati personali “sono cifrati in transito” e poi, “terminata l’elaborazione da parte del fornitore”, essi “vengono cifrati dal fornitore, fermo restando che la chiave di cifratura privata è nella disponibilità della sola Università”. Ne consegue che la cifratura dei dati con la chiave dell’Università avviene soltanto dopo l’elaborazione degli stessi da parte del fornitore, il quale, al fine di poter esaminare i video relativi agli esami e determinarne l’indice di rischio (anche mediante il trattamento di dati biometrici degli interessati), deve quindi necessariamente accedere ai dati in chiaro, essendo gli stessi cifrati solo al termine di detto processo. Ciò trova conferma anche nella a relazione tecnica prodotta dall’Ateneo in allegato alla memoria difensiva (“il sistema sotteso al funzionamento di Respondus Monitor impiega circa 8/12 ore per predisporre il video alla visione del docente, perché l’algoritmo che elabora il video è molto accurato. Terminata l’elaborazione dei video relativi all’esame sostenuto dagli studenti, nella dashboard di Respondus Monitor verrà abilitata la funzione “Class Results”, dove i docenti potranno accedere alle informazioni sulle sessioni d’esame”).

Né può essere ritenuta sufficiente la mera pseudonimizzazione dei dati oggetto di trasferimento all’estero (cfr. la relazione tecnica allegata: “i file video, relativi alla prova di ciascuno studente, vengono veicolati dalle API connesse all’LMS al sistema in SaaS che Respondus detiene su AWS” e che “vengono quindi generati degli identificativi di sessione contenenti dati pseudonimizzati e che non contengono dati personali”), in quanto, anche ipotizzando che la pseudonimizzazione potesse essere efficacemente realizzata nel caso di specie, tenuto conto degli specifici dati trattati (es. registrazione delle prove d’esame), essa è, in ogni caso, da considerarsi “un trattamento dei dati personali” (art. 4, n. 5, del Regolamento) volto ad assicurare la sicurezza del trattamento (cfr. art. 32, par. 1, lett. a) del Codice, ove si cita la “pseudonimizzazione” tra le possibili misure tecniche adeguate a garantire un livello di sicurezza adeguato al rischio). La pseudonimizzazione non equivale all’anonimizzazione dei dati.

In considerazione di quanto sopra, l’Ateneo ha dunque trasferito dati personali verso un Paese terzo, ovvero gli Stati Uniti d’America, senza aver comprovato di aver verificato e assicurato che il trasferimento in questione fosse posto in essere nell’effettivo rispetto delle condizioni di cui al Capo V del Regolamento, in violazione degli artt. 44 e 46 del Regolamento. Tale circostanza assume particolare rilevanza tenuto conto che, tra i dati oggetto di trasferimento internazionale, figurano anche dati relativi a categorie particolari, quali i dati biometrici.

3.8 La valutazione di impatto sulla protezione dei dati

In attuazione del principio di responsabilizzazione (cfr. art. 5, par. 2, e 24 del Regolamento), spetta al titolare valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche - in ragione delle tecnologie impiegate e considerata la natura, l'oggetto, il contesto e le finalità perseguite - che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (cfr. cons. 90 e art. 35 del Regolamento).

Dall’esame della documentazione in atti è risultato che la valutazione di impatto sulla protezione dei dati, sebbene effettuata dall’Ateneo, non è stata condotta in maniera del tutto adeguata, limitandosi a illustrare le caratteristiche del sistema di supervisione utilizzato, rappresentandolo come conforme al quadro normativo in materia di protezione dei dati, senza però una puntuale valutazione “della necessità e proporzionalità dei trattamenti in relazione alla finalità” e “dei rischi per i diritti e le libertà degli interessati” (art. 35, par. 7, lett. b) e c)), anche in termini di possibile condizionamento o pressioni indirette nei confronti degli studenti, riportando giudizi di adeguatezza estremamente sintetici, privi di idonea motivazione (cfr., in particolare, parr. 3 e 4 della valutazione di impatto in atti), non essendo state, pertanto, individuate, in relazione a taluni profili, appropriate misure “per affrontare i rischi” e per attenuare gli stessi (art. 35, par. 7, lett. d) del Regolamento). In particolare, nella valutazione d’impatto sulla protezione dei dati redatta dall’Ateneo:

al par. 3.3, relativo al rispetto del principio di minimizzazione, si dà conto genericamente che “l’Università ritiene che i dati trattati siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità perseguite, non raccogliendo dati ultronei a quelli necessari per lo svolgimento della prova d’esame scritta. valutazione di conformità: positiva”, non riportando una puntuale valutazione in merito all’adeguatezza, alla pertinenza e alla proporzionalità di ciascuna categoria di dati oggetto di trattamento mediante il sistema di supervisione, con particolare riguardo ai dati relativi all’analisi del comportamento dello studente durante la prova, e, dunque, senza fornire idonea giustificazione in merito al giudizio di positività;

al par. 3.4, relativo al rispetto del principio di esattezza, si afferma genericamente che “i dati personali – comuni e biometrici – dello Studente devono essere esatti altrimenti non potrebbero essere perseguite le finalità indicate. valutazione di conformità: positiva”, non dettagliando un’adeguata valutazione in merito all’effettiva affidabilità dello strumento di supervisione, con riguardo sia alle funzioni di riconoscimento facciale (ad esempio per appurare che non si verifichino malfunzionamenti in ragione del colore della pelle o di tratti somatici legati all’origine etnica degli interessati), sia ai meccanismi con i quali vengono definiti gli indici di rischio, non essendo state, pertanto, valutate le possibili ripercussioni per gli interessati in caso di errori o falsi positivi/negativi. Peraltro, al par. 7 della valutazione d’impatto, il rischio relativo alla discriminazione è stato valutato come “poco probabile”, con potenziale danno “medio”, in quanto “non si potrebbe determinare discriminazione alcuna”, senza, tuttavia, una previa valutazione sull’affidabilità degli algoritmi utilizzati dal sistema di supervisione. Vengono, peraltro, indicate misure inconferenti per la mitigazione del rischio di discriminazione (“il sistema è costruito in modo da non permettere la conservazione del dato biometrico. Protezione da intrusioni tramite firewall, assenza di esposizione sulla rete e crittografia sul traffico di transito”).

Per quanto riguarda l’”affidabilità in tema di protezione dei dati personali”, l’Ateneo ha dichiarato, nella propria memoria difensiva, che “l’Università ha effettuato una serie di approfondimenti tecnici in merito alle misure di sicurezza utilizzate dalla società Respondus Inc. – leader di mercato scelto da oltre mille Università - che sono illustrate nella relazione tecnica [allegata alle memorie]”; tale relazione tecnica, che è priva di data, è stata, in ogni caso, fornita dall’Ateneo successivamente alla data di notifica della violazione, in ciò trovando implicita conferma il fatto che la valutazione d’impatto sulla protezione dei dati non avesse affrontato adeguatamente tale aspetto.

Sebbene nella relazione tecnica sia previsto che “anche se la sessione d’esame di uno studente riceve una “High Review Priority”, non significa che si sia realizzata un’azione illecita. Molti dati contribuiscono ad una classificazione di priorità e alcuni, come un’interruzione del servizio Internet o video di bassa qualità, non sono necessariamente indicatori di un comportamento vietato. A causa dell’elevato traffico sulla rete, specialmente in questo periodo storico, è probabile che gli studenti possano subire questo tipo di interruzioni”, con ciò confermando che è previsto l’intervento umano per assumere decisioni nei confronti dell’interessato, non risulta, tuttavia, che l’Ateneo abbia individuato i criteri in base ai quali i docenti, rivedendo il video della prova d’esame, possano valutare e decidere in concreto se l’interruzione o la degradazione del video sia dipesa da un problema tecnico o da un comportamento scorretto dello studente. Né risulta che siano state fornite specifiche istruzioni sul punto ai docenti, al fine di assicurare la parità di trattamento degli studenti, nonché l’esattezza e l’omogeneità delle valutazioni degli eventi segnalati, con possibili ricadute sulla validità della prova.

In relazione al rispetto del principio di limitazione della conservazione, l’Ateneo si è limitato a riportare i tempi di conservazione dei dati dichiarati dal fornitore nel “nella scheda presente nel Privacy Shield Framework” e nella “Checklist Respondus”, senza alcuna puntuale valutazione, dalla prospettiva del titolare, in merito alla congruità di tali tempi di conservazione rispetto alle finalità del trattamento perseguite;

al par. 4, relativo alla “necessità e proporzionalità del trattamento”, si riporta genericamente che “il trattamento è necessario per il perseguimento delle finalità enucleate. I dati raccolti sono, infatti, adeguati, pertinenti e limitati a quanto è necessario in relazione alle finalità per cui sono trattati”, senza illustrare le valutazioni effettuate dal titolare in merito alle ragioni per le quali si è reso necessario adottare uno strumento di supervisione degli esami a distanza dotato di funzioni di riconoscimento facciale e in grado di profilare il comportamento degli studenti durante la prova, nonché i motivi per i quali non fosse possibile fare ricorso a strumenti di supervisione alternativi, ma meno invasivi per i diritti e le libertà degli stessi;

al par. 7, con riguardo ai potenziali “danni fisici o psichici”, l’analisi dell’Ateneo si è concentrata unicamente sui possibili danni psichici derivanti dalla “divulgazione delle registrazioni degli esami”, valutando il rischio come “improbabile” e il potenziale danno come “medio”, senza, tuttavia, considerare che, indipendentemente da un’eventuale divulgazione delle registrazioni, l’impatto sulla sfera emotiva e psicologica degli interessati può derivare anche dalle specifiche funzionalità del sistema di supervisione, quali, nel caso di specie, il riconoscimento facciale e la profilazione del comportamento, con possibili ripercussioni sull’esattezza delle anomalie rilevate dall’algoritmo e quindi, indirettamente, anche sul complessivo esito della prova.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Ateneo, per aver, in violazione degli artt. 5, par. 1, lett. a), c) ed e), 6, 9, 13, 25, 35, 44 e 46 del Regolamento, nonché 2-sexies del Codice.

La violazione delle predette disposizioni comporta, ai sensi dell’art. 2-decies del Codice e “salvo quanto previsto dall’articolo 160-bis”, l’inutilizzabilità dei dati personali trattati.
La violazione delle predette disposizioni rende, altresì, applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo e art. 166, comma 2, del Codice.

5. Misure correttive (art. 58, par. 2, lett. d), del Regolamento).

L’art. 58, par. 2, lett. f), del Regolamento prevede che il Garante ha i poteri correttivi di “imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento”.

Prendendo atto di quanto emerso in fase di istruttoria e tenendo conto della circostanza che il sistema “Respondus” non risulta dismesso dall’Ateneo, si rende necessario, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, disporre la limitazione del trattamento, vietando all’Università ogni ulteriore operazione di trattamento, con riguardo ai dati biometrici degli studenti e ai dati sulla cui base viene effettuata la profilazione degli interessati mediante il sistema “Respondus”, e vietare il trasferimento dei dati personali degli interessati negli Stati Uniti d’America, in assenza di adeguate garanzie per gli stessi.

Ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, l’Ateneo dovrà, inoltre, provvedere a comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. f), nonché le eventuali misure poste in essere per assicurare la conformità del trattamento alla normativa in materia di protezione dei dati personali.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento

In relazione ai predetti elementi è stato considerato che il trattamento ha avuto ad oggetto anche dati appartenenti a categorie particolari, rispetto ai quali il quadro normativo in materia di protezione dei dati personali prevede un livello più alto di tutela, e ha riguardato un numero elevato di interessati, in considerazione del fatto che l’Ateneo conta, stando a quanto dichiarato, “oltre 14.000 studenti”

Di contro, è stato considerato che l’Ateneo, nel fronteggiare inedite problematiche derivanti dal contesto emergenziale determinato dalla pandemia da Sar-Cov-2, ha dovuto operare scelte e adottare misure tecniche e organizzative in tempi rapidi al fine di assicurare la continuità dell’attività didattica e lo svolgimento delle sessioni d’esame. Inoltre, con riguardo alla violazione degli artt. 44 e 46 del Regolamento, si è considerato che la sentenza del 16 luglio 2020 della Corte di Giustizia Europea (Data Protection Commissioner contro Facebook Ireland Limited e Maximillian Schrems, Causa C-311/18) è stata emessa quando i trattamenti in questione erano già in essere, che le conseguenze dei principi di diritto in essa formalizzati possono, in taluni casi, essere di complessa attuazione, nonché, più in generale, che il quadro giuridico in materia di trasferimenti internazionali è ancora in evoluzione (v. le “Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE” del Comitato europeo per la protezione dei dati del 10 novembre 2020, che al tempo in cui è stato posta in essere la condotta non erano state definitivamente adottate; v. anche la recente decisione di esecuzione (UE) 2021/914 della Commissione europea del 4 giugno 2021 relativa alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, efficace a partire dal 27 giugno 2021). Infine, si è preso favorevolmente atto che, nonostante la contraddittorietà delle dichiarazioni rese su taluni profili, l’Ateneo si è sostanzialmente dimostrato collaborativo e ben disposto a recepire i rilievi dell’Autorità.

Non risultano, inoltre, precedenti violazioni commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 200.000,00 (duecentomila) per la violazione degli artt. 5, par. 1, lett. a), c) ed e), 6, 9, 13, 25, 35, 44 e 46 del Regolamento, nonché 2-sexies del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, paragrafo 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto della particolare delicatezza dei dati trattati, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rileva l’illiceità del trattamento effettuato dall’Università Commerciale “Luigi Bocconi” di Milano per violazione degli artt. 5, par. 1, lett. a), c) ed e), 6, 9, 13, 25, 35, 44 e 46 del Regolamento, nonché 2-sexies del Codice, nei termini di cui in motivazione, e dichiara, ai sensi dell'art. 2-decies del Codice, l’inutilizzabilità dei dati trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali, salvo quanto previsto dall’art. 160-bis del Codice;

ORDINA

all’Università Commerciale “Luigi Bocconi” di Milano, in persona del legale rappresentante pro-tempore, con sede legale in Via Sarfatti, 25 - 20136 Milano (MI), C.F. 80024610158, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento, di pagare la somma di euro 200.000,00 (duecentomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Università:

a) di pagare la somma di euro 200.000,00 (duecentomila) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

b) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, la limitazione del trattamento, vietando all’Università ogni ulteriore operazione di trattamento con riguardo ai dati biometrici degli studenti e ai dati sulla cui base viene effettuata la profilazione degli interessati mediante il sistema “Respondus”, nonché vietando il trasferimento dei dati personali degli interessati negli Stati Uniti d’America in assenza di adeguate garanzie per gli stessi;

c) ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, di comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. f), nonché le eventuali misure poste in essere per assicurare la conformità del trattamento alla normativa in materia di protezione dei dati personali.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019;

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 16 settembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ginevra Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei



Scheda

Doc-Web
9703988

Data
16/09/21
Argomenti
Biometria Trasferimento dati all'estero Università Profilazione
Tipologia

Rispondi