NEWS

Esami con il riconoscimento facciale per gli studenti, sanzione da 200mila euro per l'Università Bocconi

Un consenso in realtà praticamente inutile. Un'incertezza sui tempi inammissibile. E un rischio per il trasferimento dei dati all'estero evidentemente sottovalutato. L'università Bocconi di Milano è stata multata dal garante per la protezione dei dati personali con una sanzione di 200mila euro per l'utilizzo, poco trasparente e non corretto, di un sistema di "controllo" per gli esami a distanza durante i mesi più duri dell'emergenza coronavirus, quando gli Atenei erano stati chiusi e gli studenti erano stati costretti a partecipare agli appelli da casa.

Università Bocconi, volti degli studenti spiati durante gli esami a distanza: multa di 200 mila euro

Nel mirino del garante, come riporta MilanoToday, è finito l'impiego di due software della società americana "Respondus Inc", due strumenti di "proctoring" necessari, secondo l'università, per aiutare i docenti nella supervisione delle verifiche scritte e utilizzati da un altro migliaio di atenei. Il primo, "Lockdown browser", è stato utilizzato sostanzialmente per bloccare tutte le altre attività sui computer di ragazze e ragazzi, evitando così possibili scorciatoie.

Il secondo, "Respondus monitor", è stato usato invece come una sorta di videocamera sempre attiva per tenere d'occhio gli studenti e segnalare, con dei "flag", eventuali comportamenti anomali come lo sguardo non rivolto verso il computer, l'assenza dal monitor o la "non corrispondenza" tra la foto scattata all'inizio del test - con documento in mano - e quello che la webcam registra.

A sollevare la questione privacy e trattamento dei dati è stato Joseph Donat Bolton, uno studente inglese di 21 anni, che lo scorso luglio si è laureato in scienze politiche e che a fine aprile 2020 - poco dopo che i software "Respondus" erano stati introdotti - ha deciso di rivolgersi al garante. Garante che, nel suo provvedimento, il numero 317 del 21 settembre 2021, è abbastanza duro nei confronti dell'università meneghina. (Per approfondimenti vedere anche l'articolo "Proctoring & Privacy: un’eccessiva risposta informatica ad un problema analogico?")

Nell'ordinanza viene infatti sottolineato che "tali sistemi non devono essere indebitamente invasivi e comportare un monitoraggio dello studente eccedente le effettive necessità". Ma soprattutto sono rimarcate tutte le mancanze dell'informativa che gli studenti hanno dovuto accettare dal sito della Bocconi prima di poter sostenere gli esami con i due software di "Respondus Inc". Non vi "è menzione della fotografia scattata dal sistema all'inizio della prova allo studente, cui viene chiesto di esibire un documento d'identità e di effettuare una ripresa panoramica dell'ambiente circostante", ha evidenziato il garante.

E ancora: "Il testo non indica gli specifici tempi di conservazione dei dati personali" - cinque anni per il fornitore, uno su richiesta della Bocconi - e "l'informativa non menziona che i dati personali sono oggetto di trasferimento negli Stati Uniti d'America", un problema non di poco conto perché è proprio il garante a sottolineare come il livello di tutela della privacy sia di livello inferiore oltreoceano.

Da qui la certezza, secondo l'autorità, che "il trattamento posto in essere dall'ateneo non può ritenersi conforme al principio di liceità, trasparenza e correttezza non essendo stati forniti tutti gli elementi informativi". Anche perché - per una questione "tecnica" - un consenso non basta per usare dati biometrici come quelli che, sempre secondo il provvedimento, sono stati utilizzati con l'impiego dei sowtfare. "È possibile affermare che Respondus monitor effettua un trattamento tecnico specifico di una caratteristica fisica degli interessati per confermare la presenza e la coincidenza dell'interessato per tutta la durata della prova. Seppur il sistema non comporta l'identificazione del candidato, effettua comunque un trattamento di dati biometrici che consiste nella raccolta, elaborazione e analisi del video prodotto dal software tramite un algoritmo di intelligenza artificiale al fine di produrre i flag", ha messo nero su bianco il garante.

"Per tale motivo, il consenso dello studente non può essere la base giuridica per autorizzare il trattamento dei dati biometrici né può ritenersi una manifestazione di volontà libera in ragione dello squilibrio della posizione degli studenti rispetto al titolare del trattamento", anche perché la soluzione alternativa proposta era la possibilità di svolgere gli esami in presenza, in un periodo di covid. "Nell'ordinamento vigente non si rinviene una disposizione normativa che espressamente autorizzi il trattamento dei dati biometrici per le finalità delle verifica della regolarità delle prove d'esame" e quindi - ha concluso l'autorità - "il trattamento dei dati biometrici in questione risulta avvenuto in assenza di idonea base giuridica". Da qui la decisione di sanzionare l'università milanese con 200mila euro di multa e di ordinare lo stop all'utilizzo dei software finiti nella lente del garante.

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Così la tua smart tv ti traccia e viola la tua privacy
Next Dal Parlamento Ue no alla sorveglianza di massa per evitare discriminazioni e garantire la privacy

Privacy Day Forum: il servizio di Ansa

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy