Garante per la Protezione dei Dati Personali, 16 settembre 2021, ord. n. 317

Ordinanza ingiunzione nei confronti di Università Commerciale “Luigi Bocconi” di Milano - 16 settembre 2021

Data Documento: 2021-09-16
Area: Normativa
Massima/Abstract/Sommario

Il quadro normativo in materia di protezione dei dati previsto dal Regolamento non prevede un diverso regime applicabile ai soggetti pubblici e a quelli privati, ma tiene conto del profilo funzionale nel trattamento dei dati. Stante il perseguimento di un medesimo interesse pubblico da parte delle universitĂ  pubbliche e private, i relativi trattamenti di dati personali sono leciti solo se necessari per adempiere un obbligo legale al quale è soggetto il titolare del trattamento o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri. Per tali ragioni si ritiene che, contrariamente a quanto sostenuto originariamente dall’Ateneo, i trattamenti dei dati degli studenti finalizzati al rilascio di titoli di studio aventi valore legale o quelli connessi allo svolgimento di attivitĂ  soggette alla vigilanza del Ministero dell’UniversitĂ  e della Ricerca non possano trovare fondamento in altre basi giuridiche quali, il consenso e o il contratto.
Nel caso di specie, l’Ateneo aveva identificato nel consenso dello studente la base giuridica del trattamento dei dati biometrici trattati, tuttavia, considerato che il trattamento è stato effettuato dall’Ateneo ai fini del rilascio di titoli di studio aventi valore legale, il consenso non costituisce la base giuridica del trattamento né può ritenersi una “manifestazione di volontà libera”.
Se l’Università si avvale di un sistema di supervisione a distanza delle prove d’esame scritte, al fine di assicurare che lo svolgimento degli esami universitari a distanza abbia garanzie il più possibile equivalenti a quelle previste per gli esami in presenza, con riguardo ai rischi per gli interessati derivanti, sotto il profilo della protezione dei dati, il Garante ha evidenziato che tali sistemi non devono essere indebitamente invasivi e comportare un monitoraggio dello studente eccedente le effettive necessità.
L’informativa sul trattamento dei dati personali fornita agli studenti deve perciò riportare tutte le informazioni richieste dal Regolamento per assicurare un trattamento corretto e trasparente, indicando altresì gli specifici tempi di conservazione dei dati personali.
La stessa informativa deve esplicitare la logica su cui si basa il funzionamento del sistema di supervisione, chiarendo le diverse funzionalitĂ  del sistema e i meccanismi che comportano la generazione dei segnali di allarme/anomalia, ma soprattutto deve rendere note l’importanza e le conseguenze per l’interessato nel caso in cui vengano posti in essere determinati comportamenti nel corso dello svolgimento della prova.
La necessità di assicurare la correttezza e la trasparenza del trattamento impone che l’interessato sia informato dell’esistenza di una profilazione e delle conseguenze della stessa e che, indipendentemente dagli specifici obblighi di trasparenza applicabili al processo decisionale automatizzato, sia rispettato il principio generale secondo cui questo trattamento non dovrebbe cogliere di sorpresa l’interessato.
L’aver illustrato le funzionalità del sistema ai soli rappresentati degli studenti non risulta, invece, idoneo a rendere edotti individualmente gli interessati con riguardo a tutte le operazioni di trattamento effettuate.
Specialmente nel contesto dell’esercizio di compiti di interesse pubblico, occorre tenere conto degli specifici rischi derivanti dalla profilazione che, generando informazioni nuove e ulteriori da quelle fornite dall’interessato o altrove acquisite, può talvolta comportare conseguenze pregiudizievoli per l’interessato, quali, in generale, l’esclusione da benefici, il mancato accesso a beni e servizi o, come nel caso di specie, l’annullamento di una prova d’esame, in violazione del principio di non discriminazione. Pertanto, il trattamento in questione, per essere lecito, oltre a dover essere chiaramente rappresentato agli interessati, deve essere, in questo contesto, necessario per l’esecuzione di un compito di interesse pubblico e deve quindi essere previsto da una norma di legge o di regolamento che, nel caso di specie però non sussiste.
Anche in considerazione del rischio che incombe sui diritti e le libertà degli interessati, il titolare del trattamento deve fin dalla progettazione e per impostazione predefinita adottare misure tecniche e organizzative adeguate ad attuare i principi di protezione dei dati, quali i principi di minimizzazione e di limitazione della conservazione, integrando nel trattamento le necessarie garanzie per soddisfare i requisiti del Regolamento e tutelare i diritti e le libertà degli interessati. Ciò anche quando il titolare del trattamento utilizza prodotti o servizi realizzati da terzi, impartendo se del caso le necessarie istruzioni al fornitore del servizio e assicurandosi che siano, ad esempio, disattivate le funzioni che non abbiano una base giuridica ovvero non siano compatibili con le finalità del trattamento
I trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo sono consentiti a condizione che l’adeguatezza del Paese terzo sia stata riconosciuta da una decisione della Commissione europea. Con riferimento al trasferimento dei dati personali negli Stati Uniti d’America, la Corte di Giustizia dell’Unione Europea, con sentenza del 16 luglio 2020, ha dichiarato invalida la decisione relativa al c.d. scudo per la privacy (Privacy Shield), in considerazione del fatto che il diritto interno degli Stati Uniti d’America – dal momento che consente alle autorità pubbliche, nel quadro di determinati programmi di sicurezza nazionale, di accedere senza adeguate limitazioni ai dati personali oggetto di trasferimento ai fini della sicurezza nazionale – non garantisce un livello di tutela sostanzialmente equivalente a quello riconosciuto dal diritto europeo e non accorda, ai soggetti interessati, diritti azionabili in sede giudiziaria nei confronti delle autorità statunitensi. L’Ateneo, nell’ambito della stipula delle clausole contrattuali tipo, avrebbe perciò dovuto espressamente valutare e prevedere “l’adozione di misure supplementari da parte del titolare del trattamento al fine di garantire il rispetto di tale livello di protezione”, valutazione di cui non vi è alcuna evidenza nella documentazione contrattuale stipulata e fornita al Garante.

Contenuto/Sommario/Commento

Ordinanza ingiunzione nei confronti di UniversitĂ  Commerciale “[#OMISSIS#] Bocconi” di Milano – 16 settembre 2021[doc. web n. 9703988]
Ordinanza ingiunzione nei confronti di UniversitĂ  Commerciale “[#OMISSIS#] Bocconi” di Milano – 16 settembre 2021
Registro dei provvedimenti n. 317 del 16 settembre 2021
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. [#OMISSIS#] [#OMISSIS#], presidente, la prof.ssa [#OMISSIS#] [#OMISSIS#] [#OMISSIS#], vicepresidente, il dott. Agostino [#OMISSIS#] e l’avv. Guido [#OMISSIS#], componenti, e il cons. [#OMISSIS#] [#OMISSIS#], segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore la prof.ssa [#OMISSIS#] [#OMISSIS#] [#OMISSIS#];
1. Introduzione.
PREMESSO
Con reclamo del XX, come successivamente integrato in data XX, uno studente dell’UniversitĂ  Commerciale “[#OMISSIS#] Bocconi” di Milano (di seguito, l’”Università” o l’”Ateneo”) ha lamentato possibili violazioni della disciplina sulla protezione dei dati personali in relazione all’impiego di un sistema di supervisione (proctoring) nell’ambito dello svolgimento delle prove scritte d’esame degli studenti, al fine di identificare questi ultimi e/o di verificarne il corretto comportamento durante lo svolgimento della prova d’esame. In particolare è stato rappresentato che l’Ateneo avrebbe richiesto il consenso degli studenti al trattamento “delle categorie particolari di dati personali (dati biometrici […]), [in mancanza del quale gli studenti] non sarebbero in grado di svolgere esami online” con ciò comportando un “pregiudizio estremo […]”.
Con lo stesso reclamo, è stato evidenziato che il responsabile della protezione dei dati dell’Ateneo, in risposta alla richiesta di chiarimenti dell’interessato, ha chiarito che, nel contesto dell’emergenza epidemiologica da SARS-CoV-2, è stata individuta una modalità alternativa di svolgimento degli esami universitari a distanza, che l’obiettivo di assicurare le medesime garanzie previste per gli esami in presenza poteva essere raggiunto attraverso il trattamento di categorie particolari di dati, come i dati biometrici e che, dopo un’attenta analisi, l’Ateneo ha individuato nell’azienda Respondus il migliore fornitore per rispondere alle proprie esigenze, anche tenuto conto della necessità di effettuare circa 60.000/70.000 prove scritte, dovendo assicurare la parità delle condizioni di accesso alle prove per tutti gli studenti.
2. L’attività istruttoria.
Con nota del XX (prot. del Garante n. XX del XX), in risposta alla richiesta d’informazioni del Garante, l’Ateneo ha dichiarato, in particolare, che:
– “l’UniversitĂ  Bocconi è un’universitĂ  internazionale, non statale, legalmente riconosciuta e autorizzata al rilascio di titoli di studio d’istruzione superiore, aventi valore legale”;
– “il recente orientamento del Consiglio di Stato nella controversia tra ANAC/universitĂ  non statali (per Bocconi sentenza CdS n. 3041/2016; n. 3042/2016; n. 3040/2016) che qualifica quest’ultime come soggetti di diritto privato, […] ritiene che la sola facoltĂ  riconosciuta alle universitĂ  libere di rilasciare titoli aventi valore legale non è di per sĂŠ sufficiente a determinarne l’appartenenza alla categoria degli enti pubblici. […]” e, su tali basi, l’Ateneo avrebbe individuato i presupposti di liceitĂ  del trattamento in questione tenuto conto della propria “qualificazione di soggetto di natura privatistica”;
– nell’ambito della situazione di emergenza causata dall’epidemia da SARS-CoV-2, “al fine di assicurare il normale svolgimento delle sessioni d’esame, stante l’impossibilitĂ  di sostenere le prove come di consueto dal vivo e in presenza, la Bocconi ha deciso di dotarsi di un software ([…] “Respondus”) fornito dalla societĂ  Respondus Inc. ([…] il “Fornitore”) – debitamente nominato responsabile del trattamento ai sensi e per gli effetti dell’art. 28 del [Regolamento] […] che consentisse al docente di poter verificare la genuinitĂ  della prova scritta resa dagli Studenti, senza che la stessa potesse esser alterata, attraverso sostituzioni di persona e/o contraffazioni, o altri interventi distorsivi della misura e valutazione dell’apprendimento personale”;
– “l’UniversitĂ  ha l’onere di prevedere tutte le misure idonee per poter considerare pienamente validi gli esami sostenuti dai propri studenti […], al fine di garantire il pieno valore legale del titolo di studio dagli stessi conseguito”;
– “la Bocconi ha inteso adottare il sistema di proctoring unicamente per i corsi di studi “core”, finalizzati al conseguimento di un titolo con valore legale, quale metodo per garantire terzietĂ , imparzialitĂ  ed eguale trattamento. Per tutti gli altri programmi formativi, invece, l’UniversitĂ  ha preferito sostenere prove a distanza utilizzando sistemi differenti”;
– “l’impossibilitĂ  di svolgere le sessioni d’esame secondo la consueta procedura, ha portato l’UniversitĂ  […] a strutturare un processo che, nel rispetto del [Regolamento] e del Codice Privacy, unicamente per le prove d’esame scritte, fosse in grado di identificare gli Studenti attraverso l’utilizzo temporaneo del loro dato biometrico e, dunque, elaborando automaticamente le immagini digitali che raffigurano il volto degli stessi a fini di identificazione, autenticazione e verifica” in particolare la “fotografia del tesserino” e “l’immagine fotografica scattata da Respondus;
– con riguardo alle basi giuridiche del trattamento, l’UniversitĂ  ha dichiarato che “per i dati comuni il fondamento giuridico è stato individuato nell’art. 6 lett. b) del [Regolamento]; per i dati biometrici il fondamento giuridico è stato individuato nell’art. 9 lett. a) del [Regolamento]”;
– nonostante “il provvedimento del Garante del 26 marzo 2020 e il d.p.c.m. del 27.4.2020 art. 1 lett. n)”, l’Ateneo, “ha scelto di considerare per i propri Studenti l’opzione dell’esame scritto online e da remoto tramite sistema di proctoring come strada preferita, per ragioni di coerenza con il modello didattico adottato, basandosi sul consenso. Ciò risulta anche in linea con la natura privatistica dell’Università”;
– il sistema di proctoring è stato impiegato per la prima volta nella sessione estiva “che […] è cominciata dopo la promulgazione del d.p.c.m. del 27.4.2020 ed in particolare, per tutti gli ordinamenti di studio attivi, nel periodo compreso tra il 13.5.2020 e il 21.7.2020”;
– l’Ateneo, “al fine di garantire il diritto allo studio dello Studente, tutelandone la libera autodeterminazione, ha posto in essere immediatamente misure organizzative idonee per consentire agli esaminandi, che avessero eventualmente deciso di non concedere il consenso al trattamento del dato biometrico, di avvalersi di modalitĂ  alternative da concordarsi con l’unitĂ  Academic Services che gestisce il calendario delle prove d’esame”, senza subire “alcun nocumento nĂŠ ritardo nella carriera universitaria”;
– è stata resa agli studenti l’informativa “ai sensi e per gli effetti dell’art. 13 del [Regolamento]”;
– “il dato biometrico dello Studente non viene trattato direttamente dall’UniversitĂ , ma solo dal Fornitore che lo tratta temporaneamente per la durata della sessione d’esame per poi cancellarlo senza conservarlo”;
– “il Trattamento non importa un processo decisionale automatizzato. Infatti, nell’ipotesi in cui Respondus rilevi un evento anomalo potenzialmente idoneo ad invalidare la prova d’esame, il software segnala al docente l’anomalia […] che, nell’esercizio del proprio potere discrezionale di valutazione, deciderĂ  sull’eventuale annullamento”;
– “il Trattamento comporta un trasferimento dei dati extra UE da parte del Fornitore” che ha dichiarato di essere “conforme al Privacy Shield Framework EU -U.S.”;
– “l’UniversitĂ , ai sensi dell’art 35 par. 11 del [Regolamento], in considerazione della sentenza resa il 16.7.2020 e alla conseguente decisione della Corte di Giustizia Europea di invalidare la Decisione 2016/1250 sull’adeguatezza della tutela approntata per i diritti e le libertĂ  degli interessati dal Privacy Shield, ha ritenuto necessario rivedere l’Accordo di nomina sottoscritto da Respondus”.
Con successiva nota del XX, l’Ateneo ha integrato il proprio riscontro, fornendo, in particolare, copia di un atto aggiuntivo, datato XX, all’accordo sul trattamento dei dati personali stipulato con Respondus, Inc. ai sensi dell’art. 28 del Regolamento, che reca in allegato le clausole contrattuali tipo, di cui alla Decisione della Commissione europea del 5 febbraio 2010, stipulate tra l’Ateneo e Respondus, Inc..
Con nota del XX (prot. n. XX, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Ateneo, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni:
degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento, nonché 2-sexies del Codice, per aver trattato i dati biometrici degli studenti, nonché per aver effettuato un trattamento automatizzato finalizzato a consentire l’analisi di determinati aspetti del comportamento degli studenti, danno quindi luogo alla loro “profilazione”, in assenza di un’inidonea base giuridica;
degli artt. 5, par. 1, lett. a), e 13 del Regolamento), per non aver fornito agli interessati una completa informativa sul trattamento;
dell’art. 5, par. 1, lett. c) ed e), e 25 del Regolamento, per aver trattato i dati personali degli studenti in maniera non conforme ai principi di minimizzazione, limitazione della conservazione e protezione dei dati personali fin dalla progettazione e per impostazione predefinita;
degli artt. 44 e 46 del Regolamento, per aver trasferito dati personali verso un Paese terzo, ovvero gli Stati Uniti d’[#OMISSIS#], senza aver comprovato di aver verificato e assicurato che il trasferimento in questione fosse posto in essere nell’effettivo rispetto delle condizioni di cui al Capo V del Regolamento;
dell’art. 35 del Regolamento, per non aver effettuato un’adeguata valutazione di impatto sulla protezione dei dati con riguardo ai trattamenti di dati personali effettuati mediante “Respondus”.
Con la medesima nota, l’Ateneo è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).
Con nota dell’XX (prot. n. XX), l’Ateneo ha presentato la propria memoria difensiva, dichiarando, in particolare, che:
l’Ateneo ha deciso di “dotarsi di sistemi di proctoring”, cosĂŹ come altri “atenei che, durante il periodo pandemico correlato all’emergenza causata dal Covid 19, si sono avvalsi del sistema in discussione (o similari) […,] nell’intento di poter garantire complessivamente i diritti degli [studenti che] hanno avuto la possibilitĂ  di proseguire – senza danno alcuno – gli studi intrapresi, nonostante l’emergenza in essere”;
“il particolare contesto emergenziale […] nonchĂŠ i tempi strettissimi nei quali occorreva trovare una soluzione efficace ed efficiente […] hanno portato la Bocconi a ritenere che solo un sistema di proctoring avrebbe potuto soddisfare le reali esigenze dei propri studenti – per la maggior parte fuori sede e per il 19% di nazionalitĂ  non italiana – e dei circa 2.000 studenti incoming in scambio che ogni anno raggiungono la Bocconi da ogni parte del mondo”;
“la stessa UniversitĂ  non ha mai smesso di interrogarsi sulla sostituibilitĂ  del software implementato, magari anche attraverso altri sistemi che fossero parimenti in grado di garantire la serietĂ  della prova. […] Inoltre, l’UniversitĂ  ha continuato a intrattenere rapporti con Respondus per valutare in maniera sempre piĂš approfondita il funzionamento del software implementato [, fermo restando che] nĂŠ la Bocconi nĂŠ Respondus, infatti, trattano il dato biometrico degli studenti”;
“Respondus blocca l’utilizzabilità del browser, inibendo di fatto la possibilità che lo studente durante il periodo della prova d’esame possa avvalersi di strumenti d’ausilio presenti sul proprio dispositivo informatico – per tali intendendo tanto le ricerche effettuabili direttamente sul web quanto le consultazioni di appunti e/o dispense salvati sul dispositivo stesso sotto forma di file di diverso tipo – al fine di sostenere la prova. In altri termini, Respondus Monitor non tiene traccia dell’attività compiuta sulla rete dallo studente, delle applicazioni in uso, dei tasti digitati e dei movimenti del mouse, ma, più semplicemente, blocca lo schermo del computer e impedisce allo studente tutte quelle interazioni con il dispositivo che non siano strettamente correlate allo svolgimento della prova d’esame”;
“è […] del tutto improbabile che attraverso il sistema possano essere desunti dati personali o informazioni ulteriori attinenti agli aspetti relativi alla vita privata dello studente”;
“[…] in ogni caso, il descritto sistema opera solo ed esclusivamente per il tempo corrispondente alla durata della prova d’esame […]”;
per quanto concerne la presunta “profilazione degli interessati […] l’identificazione e la valutazione della prova sostenuta dallo studente e, dunque, il giudizio e il correlato esito dell’esame, sono rimessi completamente al docente di riferimento, al quale spetta la valutazione del comportamento tenuto dallo studente in concreto: ne consegue che il sistema si limita meramente a segnalare, non potendo certamente essere allo stesso attribuita una funzione decisoria. […] L’unico ausilio fornito dal software in esame è l’estratto di alcuni fotogrammi dalla registrazione audiovisiva, che potrebbero esser indicatori di anomalie durante la prova […]”;
in merito ai tempi di conservazione dei dati, “è vero che, in astratto, la registrazione video della prova d’esame potrebbe restare nelle disponibilitĂ  dei sistemi informativi del fornitore per […] un anno sul sistema AWS S3 bucket cui si aggiungono quattro anni, di long term storage, sul sistema AWS Glacier. Tuttavia, la DPIA deve essere letta in combinato disposto con tutte le previsioni dell’accordo di nomina a responsabile [, in base alle quali] […] [a] semplice richiesta dell’UniversitĂ  […] il fornitore [procede] tanto alla cancellazione dei dati, quanto alla notifica dell’intervenuta cancellazione. […] La Bocconi, infatti, chiede che venga effettuata le descritta cancellazione non decorsi cinque anni dalla data di espletamento della prova, bensĂŹ una volta che si è formalmente chiusa la sessione d’esame e si è perfezionato […] il procedimento di valutazione delle prove sostenute dagli studenti”. […] [in ogni caso,] “la registrazione video non viene archiviata in chiaro sui sistemi informativi dell’UniversitĂ , tanto che il docente non ha la possibilitĂ  di scaricare detto video, senza previa autorizzazione espressa del Titolare. Infatti il video è, fino alla sua cancellazione, conservato in maniera completamente crittografata sui server del fornitore; solo le persone autorizzate all’interno dell’UniversitĂ , per ciascuna singola prova, detengono la chiave privata per renderlo leggibile. […] Con specifico riferimento alla conservazione delle registrazioni video, la Bocconi ha ritenuto opportuno conservare le stesse, nelle modalitĂ  sopra dettagliate, per un tempo corrispondente a 12 mesi decorrenti [dalla data di comunicazione dei risultati della prova agli studenti], salvo che sulla singola prova non siano pendenti dei procedimenti disciplinari o contenziosi di fronte alle AutoritĂ  giudiziarie competenti. […] Decorsi, quindi, i richiamati termini, l’UniversitĂ  distrugge l’unica chiave privata di accesso ai dati crittografati e chiede, come descritto, la cancellazione delle registrazioni anche al fornitore.”;
oltre alla possibilitĂ  dello svolgimento in presenza in caso di mancato consenso dello studente, “l’UniversitĂ  ha anche concretamente valutato […] di prevedere, per casi particolari, quali gli studenti all’estero, il sostenimento dell’esame orale in modalitĂ  online”;
inoltre, “si ritiene non corretto affermare che dare la possibilitĂ  di sostenere gli esami presenza avrebbe esposto i docenti e gli studenti a un piĂš elevato rischio per la salute degli stessi [, stante quanto previsto dal] […] d.p.c.m. del 27.4.2020 art. 1 lett. n) […] [, essendo evidente] […] che, con le opportune cautele […] fosse astrattamente giĂ  possibile sostenere gli esami in presenza, ovviamente per chi non avesse voluto prestare il consenso”;
l’Ateneo “ha un continuo dialogo con il proprio corpo studentesco che […] non può essere considerato al pari di un contraente debole, la cui posizione sperequata legittimerebbe meccanismi di piĂš forte tutela. NĂŠ certo la condizione di presunta ansia in cui versa lo studente chiamato a sostenere le prove d’esame, ovvero il metus nei confronti del docente, possono in alcun modo essere considerati come situazioni idonee a condizionare il consenso eventualmente prestato. […] Specie quando, come nel caso [di specie], l’eventuale rifiuto non sarebbe stato nemmeno manifestato nei riguardi del professore di riferimento, ma unicamente avvalendosi dei canali indicati dall’UniversitĂ  che prevedevano una specifica richiesta all’Academic Services. Ed infine […] nell’ipotesi in cui il docente ponga in essere “ripercussioni negative”, lo stesso non andrĂ  esente da responsabilitĂ  disciplinari per propria condotta professionale […]”;
l’Università si è impegnata a “mutare le basi giuridiche indicate all’interno dell’informativa, lasciando impregiudicata quella individuata per il trattamento dei dati comuni e modificando quella per il trattamento dei dati biometrici, individuandola nel perseguimento di un interesse pubblico, ai sensi dell’art. 9 lett g) del GDPR e degli artt. 2 ter e 2 sexies lett. bb del Codice Privacy”;
“tuttavia, con riferimento al dato biometrico […] [che] il poco tempo a disposizione per l’implementazione del processo […] ha portato l’UniversitĂ  a fare affidamento su un’affermazione di Respondus successivamente dimostratasi non corrispondente alla realtĂ  dei fatti […] a seguito di ulteriori approfondimenti […] la Bocconi ha appreso [che] l’identificazione dello studente avveniva e avviene a posteriori per il tramite di un operatore umano, senza l’utilizzo del dato biometrico per finalitĂ  identificative […] Di conseguenza, a seguito di formale richiesta da parte dell’UniversitĂ  […], Respondus […] ha dichiarato che il proctoring implementato non comporta alcun trattamento di categorie particolari di dati […]”;
“[…] il sistema non è in grado di confrontare in maniera univoca il volto dello studente e la fotografia del documento mostrato. In altri termini non si ha in nessun caso, per finalitĂ  identificative, la creazione di un modello biometrico del singolo studente dal quale verrĂ  estratto successivamente un campione biometrico da conservare per le successive operazioni di confronto (c.d. match)”;“[…] anche in fase di controllo del comportamento dello studente, nessun dato biometrico viene trattato da parte dei sistemi. Il fatto che si utilizzi la locuzione “riconoscimento facciale” non implica necessariamente che i sistemi approntati per il monitoraggio del comportamento dello studente trattino il dato biometrico dello stesso”;
con riguardo alla contestazione relativa all’incompletezza dell’informativa resa agli studenti, l’Ateneo evidenzia che “lo stesso documento contestato fa rinvio all’informativa completa […] attraverso specifico link ipertestuale […]”;
“la Bocconi riconosce che l’informativa potrebbe potenzialmente difettare di trasparenza, non essendo indicato un periodo di conservazione specifico”;
“[…] tenuto conto della previsione dell’art. 13 del GDPR […] gli studenti […hanno] ricevuto, per tempo, diverse istruzioni e chiarimenti ben prima dell’avvio del trattamento, con informazioni multilayer […]”;
tenuto della formula ampia della lett. f) dell’art. 13 del Regolamento “l’Università nell’informativa individua l’articolo del Regolamento che consente il trasferimento extra UE dei dati personali degli studenti, facendo specifico riferimento all’art. 46, e lascia in ogni caso la possibilità all’interessato di “richiedere maggiori dettagli al Titolare del Trattamento richiedendo evidenza delle specifiche garanzie adottate”;
l’Ateneo ha precisato di aver stipulato “con Respondus, in data XX un primo accordo di nomina a responsabile, ai sensi dell’art. 28 del Regolamento, con il quale, per ciò che attiene al trasferimento dei dati personali extra UE, faceva riferimento, ai sensi dell’art. 46 del Regolamento, al Privacy Shield e, dunque, all’allora vigente Decisione di esecuzione (UE) 2016/1250 della Commissione. A seguito della sentenza della Corte di Giustizia del 16 luglio 2020, provvedeva a modificare l’accordo di nomina e a sottoscrivere le clausole contrattuali standard già il 10 agosto 2020”;
“[…] l’UniversitĂ  [è] ben consapevole delle misure approntate dal fornitore, considerato che proprio le stesse, sebbene soltanto richiamate nell’appendix 2 delle clausole contrattuali tipo sottoscritte, sono state oggetto di opportune valutazioni analitiche […]. L’UniversitĂ  giĂ  prima della sentenza Schrems aveva posto in essere “l’adozione di misure supplementari da parte del titolare del trattamento al fine di garantire il rispetto di tale livello di protezione” (par. 133 della sentenza Schrems). Le misure di sicurezza […] sono state allegate alla stessa DPIA […]. Tutta la valutazione d’impatto è stata proprio condotta tenendo in considerazione il documento Respondus Checklist […] da dove risulta evidente che […] dati personali oggetto di trattamento sono tutti crittografati con l’algoritmo Advance Encryption Standard 256 bit29 e la chiave privata è detenuta esclusivamente dalla Bocconi, sĂŹ da esser impossibile, anche per il governo americano, accedere agli stessi. A ciò si aggiunga anche che Respondus Monitor tra l’altro i) soddisfa i requisiti di sicurezza di FERPA, GDPR, CCPA, Privacy Shield, SOC 2 ed i suoi ingegneri sono anche AWS Certified30; ii) tutti i dati sono crittografati dall’inizio alla fine del processo che vede coinvolto Respondus. Tale circostanza determina di per sĂŠ la conformitĂ  con quanto stabilito dalla Corte di Giustizia Europea nonchĂŠ l’accountability dell’UniversitĂ . Il fatto che si rinvii alle misure, senza allegarle a quanto sottoscritto, non implica automaticamente che la valutazione condotta dalla Bocconi, quale titolare del trattamento, sia insufficiente […] La stessa clausola tipo […] prevede proprio che l’esportatore si assuma l’obbligo di valutare – dichiarando e garantendo – che l’importatore fornisca sufficienti misure tecniche e organizzative di sicurezza, nulla prevedendo in merito alle modalitĂ  con cui tale obbligo debba essere espletato. Detto altrimenti non è normativamente previsto che il contratto indichi le misure di sicurezza per iscritto […] ad substantiam […]”;
“[…] le Raccomandazioni 01/2020 del Comitato europeo per la protezione dei dati personali – inidonee peraltro ad assumere la natura di fonte del diritto, trattandosi di soft regulation, e come tali assolutamente non vincolanti – sono successive alle violazioni oggi contestate. […] In ogni caso, [occorre] osservare che, considerate le tipologie di dati personali e le attivitĂ  di trattamento concretamente poste in essere da Respondus, le misure predisposte sono da considerarsi sufficienti, ed idonee, anche e soprattutto alla luce dell’uso di sistemi di crittografia dei dati personali e alla concreta inaccessibilitĂ  degli stessi da parte di soggetti terzi, ivi compreso il responsabile e l’autoritĂ  statunitensi”;
“al tempo in cui sono state effettuate le scelte d’implementazione dei processi, si è ritenuto che non vi fossero altri sistemi che ragionevolmente potessero essere in grado di garantire, in forma digitale, la serietĂ  di processi che fino a quel momento erano stati costruiti in modalitĂ  analogica. È apparso, quindi, che il trattamento secondo le descritte modalitĂ  fosse indispensabile, perchĂŠ sistemi digitali diversi sarebbero stati inevitabilmente insoddisfacenti per almeno due ragioni: a) da un lato, perchĂŠ sono troppi gli interessati che costituiscono il corpo studentesco dell’UniversitĂ  (oltre 14.000 studenti) […]; dall’altro, il tipo di prova – esame scritto – rende impossibile il raggiungimento delle prescritte finalitĂ  senza l’ausilio di sistemi di proctoring […]. Anche il Tribunale di Amsterdam si è recentemente pronunciato sul sistema di proctoring analogo al presente [, ritenendolo conforme alla normativa in materia di protezione dei dati]”;
“la legittimitĂ  di ciò è stato recentemente ribadita anche dal Garante spagnolo secondo cui “La situazione generata come conseguenza di Covid-19 e la dichiarazione dello stato di allarme potrebbe avere un’incidenza speciale, in cui la prevalenza del riconoscimento facciale potrebbe essere valutata rispetto ad altre misure […] [, dovendosi limitare tale opzione] a quei corsi e materie specifiche che, a causa della loro importanza, complessitĂ  o altre circostanze di particolare incidenza, non rendono consigliabile il ricorso ad altre opzioni […] o renderebbero l’adozione di altri mezzi come il controllo con videocamera o gli esami orali eccessivamente onerosi”;
quanto all’ “affidabilitĂ  della tecnologia impiegata […] l’UniversitĂ  ha effettuato una serie di approfondimenti tecnici in merito alle misure di sicurezza utilizzate dalla societĂ  Respondus Inc. – leader di mercato scelto da oltre mille UniversitĂ  – che sono illustrate nella relazione tecnica [prodotta dall’Ateneo]”.
In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data XX (verbale prot. n. XX del XX), l’Ateneo, discostandosi con riguardo a taluni profili dalle dichiarazioni rese nelle precedenti comunicazioni, ha dichiarato, in particolare, che:
“prima dell’emergenza pandemica le prove si svolgevano in aule con un rapporto 1 a 3, ovvero convocando uno studente ogni tre posti in aula, per garantire l’efficacia dei controlli effettuati dai “proctor” fisici, i quali verificavano l’identitĂ  dello studente chiedendo di esibire il tesserino, nonchĂŠ vigilavano sulla correttezza della prova. […] In tale contesto, con un solo docente si riusciva a seguire l’esame effettuato da 50 persone. L’UniversitĂ  si è pertanto trovata, nello stato emergenziale, nella condizione di dover effettuare le medesime prove ma a distanza […] L’alternativa di utilizzare un sistema di mera videoconferenza con supervisione di un proctor fisico avrebbe, probabilmente, richiesto un proctor ogni cinque studenti da verificare. Tale alternativa non sarebbe stata percorribile, richiedendo l’impiego di personale dieci volte superiore a quello disponibile”;
“solo una decina, tra tutti gli studenti a cui è stata sottoposta la liberatoria, hanno scritto all’Università e solo un paio tra questi si sono detti contrari a questa modalità di svolgimento della prova; tuttavia, questi studenti non hanno poi dato seguito alle comunicazioni dell’Università, la quale si era resa disponibile a trovare delle alternative, e quindi non c’è stata l’esigenza di organizzare delle prove per questi due studenti con modalità diverse che non prevedessero il proctoring”;
“a partire da marzo 2020 l’Università ha cominciato a raccogliere documentazione dal fornitore e tale documentazione è risultata essere stata redatta in maniera esaustiva e conforme agli standard internazionali. Il fornitore in tale documentazione e sul suo sito citava l’utilizzo di tecnologie biometriche. Tuttavia, nel contesto dell’emergenza, l’Università non ha potuto tempestivamente verificare in cosa consistesse l’asserito trattamento di dati biometrici. L’Università ha, quindi, cautelativamente assunto che per dati biometrici si intendesse la tipologia di dati di cui alla definizione fornita nel Regolamento UE 2016/679. In realtà, è poi successivamente emerso che Respondus acquisisce l’immagine dello studente e verifica che questo volto rimanga lo stesso durante la prova, ma non mette il volto in relazione con l’identificativo della persona. Questa identificazione è effettuata dal docente solo successivamente: il docente, quando riceve il report con il filmato della prova, confronta una fotografia scattata dal sistema all’inizio della prova con la fotografia, presente negli archivi dell’Università, dello studente che avrebbe dovuto sostenere la stessa. Quindi, solo a posteriori, si è potuto concludere che non vi era l’utilizzo di un dato biometrico a norma del Regolamento UE 2016/679. Si precisa che, per quanto sopra, non si effettua alcuna estrazione del campione biometrico relativo al volto dello studente”;
“il software Respondus ha due componenti: Respondus lockdown browser e Respondus monitor. Lockdown browser si comporta come un browser web perché visualizza le pagine che vengono caricate e proibisce di aprire altre pagine o finestre; impedisce, ad esempio, che si possa fare l’operazione di copia e incolla. Inoltre, impedisce l’esecuzione della prova se prima non vengono chiuse tutte le altre applicazioni. Pertanto, quando inizia la prova d’esame è garantito che sia in esecuzione solo lockdown browser e che lo studente visualizzi solo la pagina relativa alla prova d’esame. A questo punto la prova parte: durante la prova lo studente non può fare null’altro che non sia consentito dal sistema. Le altre funzioni del PC sono precluse e non viene tenuta traccia dei tentativi di effettuare attività precluse. In nessun caso viene tenuta traccia dei siti web eventualmente visitati. È possibile, peraltro, impostare il sistema in maniera tale da consentire di visitare determinati siti o usare determinate applicazioni utili ai soli fini del sostenimento della prova d’esame”;
“Respondus monitor si attiva solo dopo che Lockdown browser ha garantito le condizioni necessarie per l’avvio della prova e rileva e analizza, ai fini della definizione dell’indice di correttezza della prova, dati come, ad esempio, il filmato, le modifiche del volto oggetto di ripresa o l’assenza dello stesso, il tempo di compilazione della prova e di risposta a ciascun quesito, i tasti digitati sulla tastiera, i movimenti del mouse, le applicazioni in esecuzione (al fine di eventualmente consentire talune applicazioni necessarie ai fini dell’esecuzione della prova, fermo restando che nell’esperienza dell’Ateneo non è mai stato dato accesso a siti esterni; pertanto, questa funzionalità non è stata utilizzata). Quanto all’attività della rete internet, viene misurato il traffico di rete e se questo traffico ha un quantitativo di byte anomalo, tale da far presumere un calo della banda di rete dello studente. Poiché non ci possono essere altre applicazioni in ese