Update | Sistemi di supervisione degli studenti: la privacy è sempre un ostacolo?

Uno studente di una nota Università italiana ha fatto ricorso al Garante Privacy per lamentare possibili violazioni della disciplina sulla protezione dei dati personali in relazione all’impiego di un sistema di supervisione adottato dall’Università al fine di identificare gli studenti e/o di verificarne il corretto comportamento durante lo svolgimento delle prove d’esame svolte a distanza.

Il software utilizzato dall’Ateneo, fornito a sua volta da una società stabilita negli Stati Uniti d’America, catturava le immagini video e lo schermo dello studente, contrassegnando con un flag i momenti in cui venivano rilevati comportamenti insoliti e/o sospetti (i.e. sguardo non rivolto verso il monitor, volto parzialmente assente dalla foto, volto mancante). Nello specifico, il sistema, attraverso il trattamento dei dati biometrici degli studenti, era in grado di raccogliere, elaborare ed analizzare il contenuto del video effettuato attraverso il software; tale contenuto, a sua volta, veniva sottoposto ad un controllo da parte del professore incaricato di valutare l’effettiva commissione di un’azione non consentita nel corso della prova.

Il Garante Privacy, in relazione ai trattamenti dei dati così effettuati, ha condannato l’Università al pagamento di una somma di euro 200.000 a titolo di sanzione amministrativa pecuniaria per aver posto in essere, inter alia, le seguenti violazioni:

• trattamento di dati biometrici in assenza di un’idonea base giuridica – il consenso degli studenti, infatti, non poteva considerarsi libero, e quindi legittimo, alla stregua della posizione di potere che rivestiva l’Università nei confronti degli studenti;
• assenza di un’informativa completa sul trattamento, dovuta all’assenza di indicazione circa gli specifici tempi di conservazione e il trasferimento dei dati personali negli Stati Uniti d’America;
• trasferimento di dati personali verso un Paese terzo, ovvero gli Stati Uniti d’America, senza aver comprovato di aver verificato e assicurato che il trasferimento in questione fosse realizzato nell’effettivo rispetto delle condizioni previste dal GDPR;
• assenza di un’adeguata valutazione di impatto sulla protezione dei dati, in particolare per quanto riguarda il possibile condizionamento o le pressioni indirette nei confronti degli studenti.

Il Garante Privacy si era già espresso in precedenza con riferimento all’impiego di sistemi di supervisione del comportamento degli studenti durante le prove d’esame a distanza, evidenziando che, sebbene da un lato sia “ necessario evitare che la remotizzazione delle prove equivalga a sistematica violazione, da parte degli studenti, delle regole di correttezza nella loro effettuazione”, dall’altro lato tali sistemi “non devono essere indebitamente invasivi e comportare un monitoraggio dello studente eccedente le effettive necessità.”

In un periodo storico caratterizzato da un rapido processo di remotizzazione delle attività formative, è evidente la necessità di sviluppare soluzioni tecnologiche, anche attraverso l’uso dell’intelligenza artificiale, al fine di garantire il coretto svolgimento delle prove d’esame, e non solo. Ma è davvero possibile bilanciare tale esigenza con il diritto individuale alla riservatezza? Dal provvedimento sopradescritto sembrerebbe che la tutela della privacy sia in realtà solamente un intralcio all’utilizzo di soluzioni tecnologiche innovative pensate per sopperire alle difficoltà scaturite dall’emergenza sanitaria.

La tutela dei dati personali, tuttavia, non necessariamente costituisce un ostacolo, ma, al contrario, può rappresentare un’opportunità qualora venga data la giusta attenzione a tale disciplina, eventualmente con il sostegno di un esperto in materia; in questi casi, infatti, se si considera la tutela della privacy come parte integrante e fondamentale del proprio modus operandi, oltre ad evitare possibili sanzioni da parte delle autorità, è possibile raggiungere un livello maggiore di trasparenza nei rapporti con i soggetti interessati e di correttezza nel trattamento dei loro dati: entrambi elementi oggi sempre di più apprezzati dagli stessi individui e, di conseguenza, potenzialmente capaci di creare un vantaggio competitivo.