Il consolidamento della didattica digitale e delle procedure di valutazione da remoto ha spinto il Garante per la Protezione dei Dati Personali a pubblicare una serie di FAQ decisive. L’obiettivo è tracciare un perimetro di legalità per università ed Enti di formazione, bilanciando l’esigenza di regolarità delle prove con i diritti fondamentali di studenti e lavoratori.
Indice
- Legittimità dei corsi e degli esami online
- Sistemi di proctoring: limiti e responsabilità
- Il divieto sui dati biometrici
- Algoritmi e profilazione comportamentale
- Fornitori extra-UE: le condizioni per l’export dei dati
- Quando è obbligatoria la valutazione di impatto (DPIA)
- Trasparenza: l’informativa specificamente dedicata
- Sicurezza e tracciabilità delle operazioni
Legittimità dei corsi e degli esami online
Il trattamento dei dati per esami e corsi online (volti al rilascio di titoli legali o attestati) non si fonda sul consenso dello studente, né sul contratto o sul legittimo interesse. La base legale è esclusivamente la necessità di adempiere a un obbligo di legge o svolgere un compito di interesse pubblico. Questo vale per tutti i soggetti abilitati, siano essi università pubbliche o Enti di formazione privati.
Le università quindi, sia pubbliche sia private, e gli Enti che rilasciano titoli con valore legale sono pienamente legittimati a svolgere attività a distanza. Il trattamento deve però limitarsi a quanto strettamente necessario, preferendo piattaforme che evitino la raccolta di dati non pertinenti (come la geolocalizzazione) e assicurando che il monitoraggio a distanza non debba essere più invasivo o rischioso per i diritti dello studente rispetto a quanto avverrebbe in un tradizionale esame in presenza.
Sistemi di proctoring: limiti e responsabilità
I sistemi di proctoring sono software nati per verificare l’identità dei partecipanti e la regolarità degli esami. Tuttavia, presentano rischi elevati poiché spesso includono funzioni invasive come:
– Trattamento di dati biometrici e profilazione;
– Decisioni automatizzate (es. bocciatura automatica se il software rileva un’anomalia);
– Trasferimento dei dati verso paesi extra-UE.
Qualora il sistema comporti un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare è tenuto a svolgere una valutazione d’impatto sulla protezione dei dati (DPIA) ai sensi dell’art. 35 del Regolamento
Inoltre va ricordato che non tutti i programmi sul mercato sono leciti. Bisogna scegliere quelli che rispettano la privacy , privilegiando funzioni che bloccano il PC (es. impedire il copia-incolla o l’apertura di altre finestre) rispetto a quelle che monitorano l’utente (es. tracciamento dei movimenti del mouse o dei tasti digitati).
Chi fornisce il software deve essere nominato Responsabile del Trattamento (Art. 28 GDPR) e deve ricevere istruzioni tassative: molte funzioni di tracciamento standard vanno disattivate per legge.
Il divieto sui dati biometrici
Le registrazioni video sono ammesse se proporzionate, ma solo per il tempo strettamente necessario a gestire eventuali ricorsi (es. tempi del TAR). È possibile inquadrare il volto, ma è vietato estrarre dati biometrici.
Sul fronte del riconoscimento facciale e della biometria, in particolare, il Garante è categorico: no in assenza di una norma di legge specifica. Poiché i dati biometrici rientrano nelle categorie particolari (dati sensibili), il loro trattamento per identificare i candidati o rilevare sostituzioni di persona non è consentito. Le istituzioni non possono autodeterminare l’uso di queste tecnologie, mancando oggi un quadro normativo di rango primario che ne giustifichi l’interesse pubblico rilevante.
Algoritmi e profilazione comportamentale
Non è consentito l’uso di sistemi automatizzati volti ad analizzare il comportamento dello studente per generare indici di rischio o allarmi di frode. Algoritmi che elaborano movimenti del corpo o frequenza dei click per prevedere condotte illecite sono considerati sproporzionati. Eventuali processi decisionali interamente automatizzati devono comunque sottostare alle tutele dell’art. 22 del GDPR e, recentemente, ai rigidi requisiti del Regolamento UE sull’Intelligenza Artificiale (AI Act).
Fornitori extra-UE: le condizioni per l’export dei dati
È possibile avvalersi di piattaforme con sede fuori dall’Unione Europea (tipicamente USA), ma solo garantendo un livello di protezione equivalente a quello europeo. Il titolare deve verificare l’esistenza di decisioni di adeguatezza o sottoscrivere clausole contrattuali standard, implementando misure supplementari se necessario, in linea con le raccomandazioni del Comitato Europeo per la Protezione dei Dati (EDPB).
Quando è obbligatoria la valutazione di impatto (DPIA)
Se l’Ente si limita a una semplice videoconferenza, la Valutazione di Impatto (DPIA) non è necessaria. Al contrario, l’adozione di sistemi di proctoring richiede sempre una DPIA preventiva ai sensi dell’art. 35 del GDPR. Data la natura sistematica del monitoraggio e l’uso di nuove tecnologie su soggetti vulnerabili (studenti/dipendenti), il rischio deve essere analizzato e, se elevato e non mitigabile, sottoposto a consultazione preventiva dell’Autorità.
Trasparenza: l’informativa specificamente dedicata
L’istituzione ha l’obbligo di fornire un’informativa chiara che non sia un generico rinvio alla privacy policy del sito. Gli studenti devono conoscere esattamente quali dati vengono raccolti, se vi è una registrazione audio-video, per quanto tempo sarà conservata (limite legato ai termini di impugnazione degli esiti) e quali sono i criteri di funzionamento dei sistemi di supervisione impiegati.
Sicurezza e tracciabilità delle operazioni
Infine, la sicurezza tecnica (art. 32 GDPR) deve essere garantita tramite autenticazione robusta e una rigorosa politica di conservazione dei dati. È essenziale la formazione del personale docente e amministrativo: la tecnologia è solo uno strumento, ma è la gestione organizzativa, dalla scelta del fornitore alla cancellazione sicura delle registrazioni, a determinare la conformità dell’Ente alle regole del Garante.
Scrivi un commento
Accedi per poter inserire un commento