Maxi multa alla Bocconi per violazione del Gdpr in materia di trattamento dei dati personali.
Il Garante per la protezione dei dati personali ha comminato alla Bocconi una multa di 200 mila euro per aver trattato illegittimamente i dati personali dei suoi studenti.
In particolare, nel mirino del Garante Privacy sono finiti due software della società americana Respondus Inc. Ovvero Respondus monitor e LockDown Browsers: i due sistemi di proctoring che l’Università Bocconi ha utilizzato nella fase di pandemia per garantire la regolarità delle lezioni e degli esami a distanza.
Per proctoring si intende software che esegue automaticamente la sorveglianza durante gli esami online.
Ma per l’autorità presieduta da Pasquale Stanzione l’informativa sui dati personali incompleta e la base giuridica per il trattamento dei dati biometrici è insufficiente.
Tutti i dettagli.
A PARTIRE DALLA DENUNCIA DI UNO STUDENTE INGLESE
A sollevare la questione al Garante, come ha riportato MilanoToday, è stato Joseph Donat Bolton, studente inglese di 21 anni laureatosi lo scorso luglio. Lo studente si è rivolto all’Authority nel 2020 quando l’ateneo ha introdotto il software per il monitoraggio e il controllo a distanza degli studenti.
IL PROVVEDIMENTO DEL GARANTE
Con il provvedimento numero 317 del 16 settembre, il Garante ha rilevato “l’illiceità del trattamento effettuato dall’Università Commerciale “Luigi Bocconi” di Milano. Pertanto ha dichiarato “l’inutilizzabilità dei dati trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali”.
I SOFTWARE INCRIMINATI
Nel corso dell’istruttoria del Garante è emerso infatti che “l’Università si avvale di un sistema di supervisione a distanza delle prove d’esame scritte, denominato “Respondus” e fornito dalla società Respondus Inc. (stabilita negli Stati Uniti d’America), strutturato nelle componenti “LockDown Browser” e “Respondus Monitor” per consentire, nel contesto dell’emergenza epidemiologica da SARS-CoV-2, lo svolgimento degli esami universitari a distanza con l’obiettivo di assicurare garanzie il più possibile equivalenti a quelle previste per gli esami in presenza”.
COSA FA RESPONDUS MONITOR
Il software Respondus Monitor cattura le immagini video e lo schermo dello studente identificando e contrassegnando con un flag i momenti in cui sono rilevati comportamenti insoliti e/o sospetti mediante registrazione video e istantanee scattate a intervalli casuali per tenere traccia di comportamenti anomali quali: sguardo non rivolto verso il monitor, volto parzialmente assente dalla foto, volto mancante.
Al termine della prova, il sistema elabora il video, inserendo segnali di allerta in merito a possibili indici di comportamenti scorretti (c.d. “flag”) e attribuendo, fra l’altro, una c.d. “Review Priority”, affinché il docente (utente supervisore) possa poi valutare se effettivamente sia stata commessa un’azione non consentita nel corso della prova.
E COSA LOCKDOWN BROWSER
Come spiega il Garante, Lockdown browser si comporta come un browser web perché visualizza le pagine che vengono caricate e proibisce di aprire altre pagine o finestre; impedisce, ad esempio, che si possa fare l’operazione di copia e incolla. Inoltre, impedisce l’esecuzione della prova se prima non vengono chiuse tutte le altre applicazioni.
I RILIEVI DELL’AUTHORITY
“Dall’esame della documentazione in atti — sottolinea il Garante — risulta che l’informativa sul trattamento dei dati personali fornita agli studenti, non riporta tutte le informazioni richieste dal Regolamento per assicurare un trattamento corretto e trasparente”.
Inoltre, “sempre sotto il profilo della correttezza e trasparenza del trattamento, l’informativa non menziona che i dati personali sono oggetto di trasferimento negli Stati Uniti d’America” evidenzia l’autorità.
“Tale aspetto appare ancor più critico alla luce del contenuto della Sentenza Schrems II, che ha fatto venir meno la validità del c.d. Privacy Shield, ritenendo non conformi al disposto normativo europeo i trattamenti svolti negli Stati Uniti (salvo che agli stessi non siano applicate le garanzie ulteriori previste dal GDPR, come Clausole Contrattuali Standard)” ha commentato l’esperta privacy Marina Rita Carbone.
L’ILLECITO ACCERTATO
Pertanto, il Garante della Privacy ha stabilito che “il trattamento posto in essere dall’Ateneo non può ritenersi conforme al principio di liceità, trasparenza e correttezza non essendo stati forniti tutti gli elementi informativi previsti dal Regolamento [Gdpr]”.
LA SANZIONE
Da qui la decisione di comminare all’università Bocconi con 200mila euro di multa e di ordinare lo stop all’utilizzo dei software citati.
LA LINEA DIFENSIVA DELL’ATENEO
Nella sua memoria difensiva, l’ateneo milanese aveva spiegato che l’informativa per gli studenti con riguardo alla contestazione relativa all’incompletezza dell’informativa resa agli studenti, l’Ateneo evidenzia che “lo stesso documento contestato fa rinvio all’informativa completa […] attraverso specifico link ipertestuale […]”. Tuttavia, sempre nella memoria la Bocconi ha riconosciuto che “l’informativa potrebbe potenzialmente difettare di trasparenza, non essendo indicato un periodo di conservazione specifico”.
Articoli correlati
Siete pronti per Miss AI?
Aurelia bis, ecco chi ha danneggiato lo Stato
Come e perché l’Ue va rivoluzionata. Il discorso integrale di Mario Draghi
La Lega di Salvini cavalcherà le bollette alle europee?
