In queste ore si parla molto della sanzione affibbiata dal Garante Privacy nei confronti dell’Università Bocconi.
Purtroppo, sono molti i casi in cui si è parlato erroneamente di un sistema che “spia gli studenti”. Il problema sollevato dal Garante, difatti, non è la presenza di una telecamera (peraltro accesa in modo consapevole dallo studente), i problemi sono altri e ben peggiori.
A tal riguardo occorre sin da subito sgombrare il campo da un dubbio: l’Università Bocconi non è l’unica ad adottare il proctoring per i test a distanza degli studenti. Ne abbiamo parlato anche qualche mese fa, tra i primi, proprio su queste pagine. A Torino e Milano, ad esempio, esistono atenei che utilizzano sistemi del tutto simili a quello della Bocconi. Perché allora sanzionare solo quest’ultima?
Questa domanda mi è stata posta su LinkedIn e, francamente, non ho una risposta. Posso però ipotizzare che, nel caso della Bocconi, qualcuno abbia fatto una segnalazione mentre negli altri casi no, oppure lo hanno fatto più tardi.
Già, perché leggendo il provvedimento del Garante Privacy emerge chiaramente come tutto sia nato dalla segnalazione di uno studente, segnalazione costata 200.000,00 euro alla Bocconi.
Proctoring, il software scova chi bara agli esami online. E gli studenti si rivoltano
I problemi dei software Bocconi per il Garante privacy
Ma quali sono, in sintesi le eccezioni sollevate dal Garante?
Sono diverse, ma principalmente possiamo sintetizzarle con:
- base giuridica errata;
- invio di dati all’estero;
- informativa non soddisfacente.
In tutto questo, l’Autorità Garante coglie lo spunto per potersi esprimere in merito al riconoscimento facciale, alla conservazione dei dati e ad altri aspetti della normativa molto utili per ogni DPO.
Invio dati in paesi terzi
In particolare, con riferimento all’invio di dati in USA, l’Università
ha evidenziato come già prima della sentenza Schrems la stessa aveva previsto “l’adozione di misure supplementari da parte del titolare del trattamento al fine di garantire il rispetto di tale livello di protezione” (par. 133 della sentenza Schrems). Le misure di sicurezza […] sono state allegate alla stessa DPIA […]. Tutta la valutazione d’impatto è stata proprio condotta tenendo in considerazione il documento Respondus Checklist […] da dove risulta evidente che […] dati personali oggetto di trattamento sono tutti crittografati con l’algoritmo Advance Encryption Standard 256 bit29 e la chiave privata è detenuta esclusivamente dalla Bocconi, sì da esser impossibile, anche per il governo americano, accedere agli stessi”.
Tuttavia, il Garante ha evidenziato come il sistema di cifratura predisposto dalla Bocconi non sia comunque in grado di adempiere agli obblighi richiesti da EDPB a seguito di Schrems II. Ed infatti, il Garante ha avuto modi di evidenziare che, come ammesso proprio dall’Ateneo, i dati personali “sono cifrati in transito” e poi, “terminata l’elaborazione da parte del fornitore”, essi “vengono cifrati dal fornitore, fermo restando che la chiave di cifratura privata è nella disponibilità della sola Università”. Di conseguenza, secondo l’Autorità, la cifratura dei dati con la chiave dell’Università avviene soltanto dopo l’elaborazione degli stessi da parte del fornitore, il quale, al fine di poter esaminare i video relativi agli esami e determinarne l’indice di rischio (anche mediante il trattamento di dati biometrici degli interessati), deve quindi necessariamente accedere ai dati in chiaro. Questa circostanza rende di fatto i dati accessibili al Governo Americano (in base alla normativa FISA), dovendosi dichiarare il trattamento non compliant con il GDPR.
Base giuridica del problema
Un altro problema attiene alla base giuridica individuata dalla Bocconi per il trattamento dati (modificata in un secondo momento). Inizialmente la base giuridica selezionata era quella del consenso.
Tuttavia, l’autorità ha evidenziato come il consenso mal si presti ad una simile situazione di squilibrio di poteri in cui lo studente ha di fatot poche alternative. In tal senso, un elemento che ha inciso sulla decisione del Garante è stato anche il tipo di informazioni fornite agli studenti.
Evidenzia l’Authority come in un comunicato gli studenti sono stati avvertiti che “in assenza del rilascio del […] consenso, non sarà possibile sostenere le prove d’esame online”, prospettando come unica alternativa all’esame dal vivo, percepito come più rischioso a causa dell’emergenza pandemica. In sostanza, lo studente viveva questa richiesta come: o mi dai il consenso o ti assumi i rischi del covid. Questo pertanto è stato ritenuto, a ragione, un consenso non libero.
Pertanto, stante l’impossibilità di far ricorso al consenso, il trattamento dei dati biometrici effettuati dall’Ateneo poteva basarsi solo sulla base giuridica del “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri”, che, notoriamente necessita di una apposita previsione normativa, ad oggi assente.
Informativa
Quanto all’informativa sul trattamento dei dati personali fornita agli studenti è stato evidenziato come la stessa non riporti con precisione le informazioni previste dall’art 13 GDPR, risultando poco trasparente in alcune sue parti.
Il trattamento dei dati biometrici non era spiegato in modo soddisfacente, il periodo di conservazione dei dati era quantificato in modo generico, l’invio di dati all’estero era ugualmente indicato in modo poco preciso. Insomma, lo studente non era in grado di comprendere appieno cosa stava accadendo ai propri dati.
Il documento, in particolare, non menziona i principali trattamenti posti in essere mediante il sistema “Respondus”, quali “il tracciamento del comportamento dello studente durante la prova (posizione del viso; disconnessioni dalla rete Internet; tentativi di utilizzare il mouse o il trackpad per passare da un’applicazione all’altra o per uscire dal sistema; applicazioni in uso), le successive elaborazioni mediante profilazione, la registrazione audio-video della prova”. Insomma, quello che è il fulcro del problema non veniva menzionato. Vero è che in precedenza l’informativa conteneva dei link di rinvio ma anche questa pratica non è stata in gradi di far molta breccia nei confronti del Garante in quanto, anche l’utilizzo di link, deve essere fatto in un certo modo, fornendo le informazioni più importanti già al primo livello di informativa. Non è trasparente che l’interessato conosca alcuni trattamenti solo dopo qualche click.
Insomma, gli aspetti critici, come visto sono sicuramente diversi. Tuttavia, ancora una volta mi preme evidenziare come sia sbagliato oggi stigmatizzare la Bocconi in quanto, anche in questo momento, ci sono altre università che stanno usando sistemi del tutto simili.
