Il Garante per la protezione dei dati personali ha comminato una sanzione da 200 mila euro all’Università Bocconi di Milano per delle gravi violazioni in relazione ai software di IA utilizzati per controllare gli studenti durante gli esami da remoto.

Il Provvedimento

Il provvedimento n. 317 del 21/09/2021 arriva a termine di una complessa istruttoria iniziata ad aprile 2020, quando, per via della pandemia, l’Ateneo iniziò ad utilizzare i sistemi di sorveglianza per assicurare il corretto svolgimento delle prove d’esame. Sempre in quei mesi, infatti, in occasione di un’audizione al Senato sul tema della didattica digitale integrata, l’Authority aveva già evidenziato i rischi per i diritti degli interessati, dal punto di vista della protezione dei dati, derivanti dall’utilizzo di tali tecnologie. Aveva già segnalato, infatti, le idonee misure di sicurezza e le accortezze che avrebbero dovuto seguire tutti gli Atenei.

I software di Proctoring

Oggetto dell’indagine e della conseguente sanzione sono i due sistemi di “Proctoring” ossia dei software, basati sul sistema di intelligenza artificiale, che consentono di monitorare i dispositivi degli studenti durante gli esami da remoto e di raccogliere diverse tipologie di dati che permettono all’algoritmo di stabilire se gli studenti stiano diligentemente eseguendo l’esame. Nello specifico, l’ateneo di Milano utilizzava sia “Lockdown Browser”, per registrare tutta l’attività di mouse, tastiera e schermo ed impedire agli studenti di utilizzare il computer durante l’esame e, quindi, di attingere a fonti esterne; sia “Respondus Monitor” che attraverso la webcam e il microfono controllava gli studenti e inviava degli alert in caso di comportamenti ritenuti “sospetti”, quali, ad esempio, i movimenti del corpo, l’assenza dal monitor, lo sguardo distolto dal pc o la non corrispondenza tra la foto dello studente scattata a inizio esame e la registrazione video. Come si potrà immaginare, pertanto, è altamente probabile che tali tecnologie finiscano per interpretare come “anomali” comportamenti del tutto normali come il rivolgere lo sguardo altrove.

GDPR e l’uso di tecnologie invasive

L’Autorità Garante ha bloccato l’utilizzo di tali tecnologie giudicandole indebitamente invasive ed ha sanzionato la Bocconi per aver violato alcuni principi fondamentali della normativa in materia di protezione dei dati personali.

Secondo i principi di liceità, correttezza e trasparenza, infatti, il trattamento si deve basare su uno dei principi giuridici di cui all’ art. 6 (interesse legittimo, consenso o esecuzione di un contratto o un obbligo legale) e, inoltre, del GDPR l’interessato deve essere adeguatamente informato su oggetto, finalità, mezzi e modalità del trattamento.

Ciò nonostante, nell’informativa presentata agli studenti, prima dell’esame, non vi era menzione né della fotografia scattata a inizio prova, né del monitoraggio del comportamento, né della registrazione audio-video; non veniva specificato che i dati personali erano oggetto di trasferimento negli Stati Uniti, né l’esatto periodo di conservazione dei dati. Occorre, anche, tener in debito conto che trattasi di trattamenti di dati biometrici, cioè di quei dati personali relativo alle caratteristiche fisiche, fisiologiche o comportamentali di un individuo mediante il quale ne consente l’identificazione univoca.

A tal proposito, il Garante sottolinea che anche il consenso non poteva essere individuato come base giuridica del trattamento dei dati biometrici, perché – oltre a non essere informato – non poteva ritenersi liberamente prestato, dato lo squilibrio di posizione degli studenti rispetto all’Università.

I dati trattati, poi, in base al principio di minimizzazione, devono essere adeguati, pertinenti e limitati a quanto realmente necessario alla finalità perseguita. Il sistema, invece, per impedire allo studente di copiare, anziché limitarsi a bloccare alcune funzionalità del dispositivo, registrava tutti i movimenti e le operazioni effettuate, generando così una serie di informazioni relative alla sua condotta non assolutamente necessarie.

Un trattamento di dati non pertinente alle finalità perseguite, inoltre, determina una violazione del principio di privacy by design e by default (ex art. 25 del GDPR): questo, infatti, stabilisce che il titolare, prima di iniziare il trattamento, effettui un attento bilanciamento degli elementi del trattamento e dei rischi connessi allo stesso.

Infine, in merito al tempo di conservazione i dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un periodo di tempo non superiore al conseguimento delle finalità per i quali sono trattati, in questo caso gli esiti degli esami stessi. Dalle verifiche effettuate dal Garante, tuttavia, è emerso che i tempi di conservazione, contrariamente a quanto dichiarato, non erano correlati alle finalità e, ad esempio, le immagini degli studenti venivano conservate per un anno dall’Università e per ben cinque anni dal fornitore.

Conclusioni

Durante l’emergenza sanitaria, che è tutt’ora in corso, la tecnologia e il digitale hanno supportato e arricchito delle attività che altrimenti si sarebbero dovute fermare, com’è quella scolastica, a beneficio della collettività.

Tuttavia, tale utilizzo non sempre ha tenuto in debita considerazione il bilanciamento degli interessi in gioco e soprattutto non ha sfruttato in modo adeguato e con una formazione specifica tali strumenti.

Ci si chiede se e quali analisi dei rischi è stata effettuata prima di intraprendere la decisione dell’utilizzo di tali tecnologie invasive.

Risulta, sempre più necessaria, una giusta formazione in ambito di protezione dei dati personali al fine di prevenire e/o limitare violazioni così gravi.