Esami con il riconoscimento facciale per gli studenti, sanzione da 200mila euro per l'Università Bocconi
Un consenso in realtà praticamente inutile. Un'incertezza sui tempi inammissibile. E un rischio per il trasferimento dei dati all'estero evidentemente sottovalutato. L'università Bocconi di Milano è stata multata dal garante per la protezione dei dati personali con una sanzione di 200mila euro per l'utilizzo, poco trasparente e non corretto, di un sistema di "controllo" per gli esami a distanza durante i mesi più duri dell'emergenza coronavirus, quando gli Atenei erano stati chiusi e gli studenti erano stati costretti a partecipare agli appelli da casa.
Nel mirino del garante, come riporta MilanoToday, è finito l'impiego di due software della società americana "Respondus Inc", due strumenti di "proctoring" necessari, secondo l'università, per aiutare i docenti nella supervisione delle verifiche scritte e utilizzati da un altro migliaio di atenei. Il primo, "Lockdown browser", è stato utilizzato sostanzialmente per bloccare tutte le altre attività sui computer di ragazze e ragazzi, evitando così possibili scorciatoie.
Il secondo, "Respondus monitor", è stato usato invece come una sorta di videocamera sempre attiva per tenere d'occhio gli studenti e segnalare, con dei "flag", eventuali comportamenti anomali come lo sguardo non rivolto verso il computer, l'assenza dal monitor o la "non corrispondenza" tra la foto scattata all'inizio del test - con documento in mano - e quello che la webcam registra.
A sollevare la questione privacy e trattamento dei dati è stato Joseph Donat Bolton, uno studente inglese di 21 anni, che lo scorso luglio si è laureato in scienze politiche e che a fine aprile 2020 - poco dopo che i software "Respondus" erano stati introdotti - ha deciso di rivolgersi al garante. Garante che, nel suo provvedimento, il numero 317 del 21 settembre 2021, è abbastanza duro nei confronti dell'università meneghina. (Per approfondimenti vedere anche l'articolo "Proctoring & Privacy: un’eccessiva risposta informatica ad un problema analogico?")
Nell'ordinanza viene infatti sottolineato che "tali sistemi non devono essere indebitamente invasivi e comportare un monitoraggio dello studente eccedente le effettive necessità". Ma soprattutto sono rimarcate tutte le mancanze dell'informativa che gli studenti hanno dovuto accettare dal sito della Bocconi prima di poter sostenere gli esami con i due software di "Respondus Inc". Non vi "è menzione della fotografia scattata dal sistema all'inizio della prova allo studente, cui viene chiesto di esibire un documento d'identità e di effettuare una ripresa panoramica dell'ambiente circostante", ha evidenziato il garante.
E ancora: "Il testo non indica gli specifici tempi di conservazione dei dati personali" - cinque anni per il fornitore, uno su richiesta della Bocconi - e "l'informativa non menziona che i dati personali sono oggetto di trasferimento negli Stati Uniti d'America", un problema non di poco conto perché è proprio il garante a sottolineare come il livello di tutela della privacy sia di livello inferiore oltreoceano.
Da qui la certezza, secondo l'autorità, che "il trattamento posto in essere dall'ateneo non può ritenersi conforme al principio di liceità, trasparenza e correttezza non essendo stati forniti tutti gli elementi informativi". Anche perché - per una questione "tecnica" - un consenso non basta per usare dati biometrici come quelli che, sempre secondo il provvedimento, sono stati utilizzati con l'impiego dei sowtfare. "È possibile affermare che Respondus monitor effettua un trattamento tecnico specifico di una caratteristica fisica degli interessati per confermare la presenza e la coincidenza dell'interessato per tutta la durata della prova. Seppur il sistema non comporta l'identificazione del candidato, effettua comunque un trattamento di dati biometrici che consiste nella raccolta, elaborazione e analisi del video prodotto dal software tramite un algoritmo di intelligenza artificiale al fine di produrre i flag", ha messo nero su bianco il garante.
"Per tale motivo, il consenso dello studente non può essere la base giuridica per autorizzare il trattamento dei dati biometrici né può ritenersi una manifestazione di volontà libera in ragione dello squilibrio della posizione degli studenti rispetto al titolare del trattamento", anche perché la soluzione alternativa proposta era la possibilità di svolgere gli esami in presenza, in un periodo di covid. "Nell'ordinamento vigente non si rinviene una disposizione normativa che espressamente autorizzi il trattamento dei dati biometrici per le finalità delle verifica della regolarità delle prove d'esame" e quindi - ha concluso l'autorità - "il trattamento dei dati biometrici in questione risulta avvenuto in assenza di idonea base giuridica". Da qui la decisione di sanzionare l'università milanese con 200mila euro di multa e di ordinare lo stop all'utilizzo dei software finiti nella lente del garante.