Sei sulla pagina 1di 14

Ordinanza di ingiunzione nei confronti di

Università commerciale “Luigi Bocconi di


Milano” - 16 settembre 2021 nr. 317
IL FATTO

Uno studente dell’Università Bocconi di Milano presenta un reclamo dinanzi il Garante per la protezione dei dati
personali, avente ad oggetto la richiesta del consenso al trattamento di categorie particolari di dati personali ai fini
dell’utilizzo di un sistema di proctoring da parte dell’Università Bocconi, in potenziale contrasto con le norme del
Regolamento (UE) 2016/679;

In caso di dissenso l’Università avrebbe impedito agli studenti di svolgere gli esami;
A causa dell’emergenza Covid-19 l’Università si dota di due software forniti dalla società statunitense Respondus Inc
→ responsabile del trattamento;
Responsud lockdown browser: permette allo studente di sostenere la prova inibendo al contempo l’utilizzo di altre
finestre del browser, nonché l’apertura di altre applicazioni non necessarie a tal fine;
Respondus monitor: monitora l’attività dello studente durante tutto il corso della prova (modifiche del volto, movimento
del mouse) e il traffico di rete anomalo. In presenza di un comportamento sospetto genera una segnalazione (“flag”) al
professore.
ESITO ISTRUTTORIA

1. l’informativa sul trattamento dei dati personali non riporta tutte le informazioni richieste dal regolamento, in
quanto non menziona in modo esaustivo le modalità di trattamento dei dati biometrici raccolti quali il
tracciamento del comportamento, le successive elaborazioni mediante profilazione, e la registrazione audio-
video della prova;
2. non vengono indicati gli specifici tempi di conservazione dei dati, ma si prevede in modo generico che “i dati
verranno conservati per il periodo strettamente necessario al perseguimento delle finalità indicate e per un
periodo ulteriore in caso emergano necessità di gestire eventuali contestazioni o contenziosi”: questo si scontra
con il principio di accountability;
3. non si fa menzione del fatto che i dati vengono trasferiti all’estero;
4. la base giuridica per il trattamento di dati biometrici è assente;
5. le funzionalità di Respondus monitor, analizzando il comportamento degli interessati, danno luogo ad una
profilazione degli studenti;
6. il titolare del trattamento non ha rispettato i principi di minimizzazione e di limitazione nella conservazione dei
dati sin dalla progettazione. Respondus raccoglie una serie di informazioni non strettamente necessarie ai fini
del sostenimento della prova, alcune delle quali idonee a rivelare aspetti della sua vita privata;
7. manca un’adeguata valutazione di impatto sulla protezione dei dati personali in relazione ai rischi per i diritti e le
libertà delle persone fisiche che si potrebbero verificare in seguito all’utilizzo di un trattamento;
Dichiara che il trattamento dei dati è illecito.
CONCLUSIONI DEL
Vieta all’ Università di compiere qualsiasi operazione di
GARANTE trattamento con riguardo ai dati biometrici e a quelli idonei
a effettuare la profilazione degli interessati raccolti dai
software Respondus e di trasferire negli Stati Uniti
d’America i dati raccolti in assenza di adeguate garanzie.

Infligge sanzione amministrativa di € 200.000 alla Bocconi.

Dispone la pubblicazione dell’ordinanza sul sito del


Garante.
1. Errato inquadramento della base giuridica da parte
SPIEGAZIONE della Bocconi ai fini dell’applicazione delle
disposizioni del GDPR
DELL’ORDINANZA E 2. Informativa privacy ex. art 13 non completa ed

RIFERIMENTI 3.
esaustiva
Assenza di una base giuridica per il trattamento dei

NORMATIVI 4.
dati biometrici
Profilazione degli studenti
5. Violazione del principio di protezione dei dati fin dalla
progettazione e per impostazione predefinita
6. Trasferimento di dati personali e biometrici all’estero
7. Valutazione di impatto sulla protezione dei dati (DPIA)
non adeguata
BASE GIURIDICA DEL TRATTAMENTO DEI DATI
PERSONALI

La Bocconi sostiene che essendo un’università privata, in quanto tale, per il trattamento dei dati degli
studenti finalizzato al rilascio di titoli di studio, sia sufficiente il consenso dell’interessato (base
giuridica)

Il Garante rileva che non vi è distinzione soggettiva ai fini dell’applicazione del Regolamento, ma solo
funzionale tra università pubbliche e private con riferimento all’attività svolta → art. 6 par. 1 lett c) ed
e). Il Consiglio di Stato ha riconosciuto, infatti, il rilevantissimo interesse generale rivestito da tali
attività (Adunanza di sezione nr. 1433/2019).

Art. 6 lett. c) ed e) Reg.→ il trattamento è lecito se finalizzato all’assolvimento di un obbligo legale


oppure per l’esecuzione di un interesse pubblico rilevante, o ancora, connesso all’esercizio di pubblici
poteri.

Art. 9 lett.g) Reg. → applicabile al trattamento di particolari categorie di dati (dati biometrici).

La base giuridica idonea è da rinvenire nell’interesse pubblico rilevante.


INFORMATIVA INCOMPLETA
Art. 5 lett a) → il trattamento dei dati deve essere lecito corretto e trasparente

Art. 12 → “è compito del titolare fornire all'interessato tutte le informazioni di cui agli articoli 13 e 14 e le
comunicazioni di cui agli articoli da 15 a 22 e all'articolo 34 relative al trattamento in forma concisa,
trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”

Art. 13 → elenca le informazioni da fornire qualora i dati personali siano raccolti presso l’interessato

La Bocconi nel predisporre l’informativa viola suddetti articoli perchè:

- la comunica agli studenti mediante link ipertestuali → difficile da conoscere;


- non contiene riferimenti riguardanti i dati biometrici ed in generale al sistema Respondus e ai suoi
meccanismi di funzionamento;
- il periodo di conservazione dei dati viene indicato in modo generico e non si effettua distinzione tra
le tipologie di dati ;
- non si menziona il trasferimento dei dati all’estero;
- non si fa accenno all’attività di profilazione svolta da Respondus.
BASE GIURIDICA PER IL TRATTAMENTO DI PARTICOLARI CATEGORIE DI DATI

Definizione di dati biometrici → art. 4 numero 14): “si considerano tali i dati personali raccolti tramite
un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di
una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine
facciale o i dati dattiloscopici”

Perché il trattamento delle immagini possa essere qualificato come biometrico è necessario che i
confronti tra le immagini rilevate e l’identità dell’individuo siano svolti mediante ausilio di software o
hardware ad hoc. (provv. 345/2017 del Garante)

Respondus seppure non identifichi i candidati, raccoglie, elabora e analizza tramite algoritmo i video
raccolti durante le prove per generare i flag. Quindi si tratta di trattamento di dati biometrici
… segue

il mero consenso non è idoneo, secondo l’art. 9 par. 2 lett. a), a rendere lecito il trattamento in quanto:
a) l’Università svolge un’attività di interesse pubblico rilevante e
b) le posizioni del titolare e dell’interessato sono squilibrate stante il fatto che il primo è una
autorità pubblica e che in caso di mancato consenso l’interessato avrebbe dovuto sostenere l’esame
in presenza con i rischi connessi alla situazione epidemiologica

Base giuridica → art. 9 par. 2 lett. g) del Regolamento: per il trattamento dei dati biometrici deve
sussistere un motivo di interesse pubblico rilevante individuato o all’interno di una norma dell’Unione o
di una di diritto interno.

La fonte deve essere rispettosa del principio di proporzionalità rispetto alle finalità perseguite, tutelare
i diritti degli interessati, i tipi di dati e le operazioni eseguibili.

Nè nell’ordinamento italiano, nè in quello europeo si rinviene una norma in tal senso


PROFILAZIONE

Definizione di profilazione →art. 4, par. 1 lett a): ’operazione di trattamento automatizzato di dati personali
per valutare aspetti personali relativi ad una persona fisica”, in particolare per analizzare o prevedere, in
collegamento al caso di specie, aspetti riguardanti l’affidabilità, il comportamento, di detta persona fisica.

Esiste profilazione perchè: Respondus Monitor è un software che traccia continuamente i comportamenti
dello studente durante il corso della prova di esame, al fine di generare dei “flag” che segnalano al docente
la presenza di comportamenti sospetti (trattamento parzialmente automatizzato perchè poi la verifica
finale viene compiuta dal docente)

Stante l’invasività e i rischi collegati alla profilazione è necessario che:


- il titolare informi l’interessato dell’attività e dei rischi ad essa connessa
- sia impiegata per l’assolvimento di un interesse pubblico
- sia prevista da una norma di legge o di regolamento, che nel caso di specie non esiste
VIOLAZIONE PRINCIPIO DI PRIVACY BY DESIGN E BY DEFAULT

Art. 25 Regolamento

Privacy by design: il titolare del trattamento deve tutelare i diritti e le libertà degli interessati fin dalla
progettazione predisponendo a tal fine strumenti tecnici e organizzativi idonei. Tra le misure che il
titolare può adottare il regolamento indica a titolo esemplificativo la minimizzazione,
pseudonimizzazione, ma non sono le uniche a sua disposizione.

Privacy by default: il titolare deve adottare misure tecniche ed organizzative che siano volte a
garantire per impostazione predefinita, che i dati personali siano raccolti esclusivamente per ciascuna
finalità e per il tempo strettamente necessario al conseguimento delle stesse.

la Bocconi, fin dall’organizzazione del trattamento, non rispetta i principi del regolamento, in
particolare quello di minimizzazione, proporzionalità e limitazione della conservazione
TRASFERIMENTO DEI DATI PERSONALI ALL’ESTERO

Le condizioni per cui è possibile trasferire dati personali verso paesi terzi sono ex artt. 44-45-46.49 Reg.:
una decisione di adeguatezza della commissione che certifichi la sicurezza del paese terzo di
destinazione
l’aver fornito garanzie adeguate agli interessati, nonchè diritti azionabili e mezzi di ricorso effettivi quali le
clausole contrattuali tipo adottate dalla commissione o da un’autorità competente e autorizzate dalla
commissione

in effetti la prima versione dell’accordo tra l’Università e la Respondus Inc. allegava la decisione di
esecuzione 2016/1250 della Commissione introduttiva del c.d. Privacy Shield (decisione di adeguatezza
per gli scambi transatlantici di dati personali tra UE ed USA

tuttavia questa decisione è stata di recente dichiarata invalida in seguito alle due sentenze della Corte di
Giustizia UE Shrems e Shrems II:
la prima ha dichiarato invalida la Direttiva Europea 95/46 nota anche come Safe Harbour
la seconda ha dichiarato invalida la Decisione di adeguatezza della Commissione e quindi il Privacy Shield
...segue

L’ateneo ha violato gli artt. 44-46 del Regolamento per i seguenti motivi:

sebbene una seconda versione dell’accordo integrava le clausole contrattuali tipo della Commissione
approvate dalla C.G., queste non erano tuttavia sufficienti, dovendo essere integrate da misure atte a
garantire la protezione dei dati personali trattati al fine di renderle efficaci e vincolanti

le modalità di consultazione di tali modalità non erano chiare e immediate

il titolare non ha sospeso il trattamento una volta riscontrato che la normativa del paese terzo non era
compatibile con il Regolamento

la cifratura dei dati non avviene in partenza appena questi vengono raccolti, bensì una volta elaborati e
inviati alla Bocconi

i dati inoltre non vengono anonimizzati per evitare conseguenze pregiudizievoli sugli studenti; la loro
pseudonimizzazione non può essere considerata sufficiente per garantire una protezione efficace
VALUTAZIONE DI IMPATTO SULLA PROTEZIONE DEI DATI (DPIA)

Art. 35 GDPR

L’obiettivo della valutazione è quello di verificare se la tipologia di trattamento che si intenderà impiegare
possa presentare rischi elevati per i diritti dell’interessato, consentendo altresì di individuare
preventivamente le relative misure per affrontarli

Secondo l’istruttoria compiuta dal Garante, la DPIA dalla Bocconi non è predisposta in maniera conforme
al GDPR in quanto eccessivamente generica sotto certi profili
- principio di minimizzazione
- rischi derivanti da una possibile discriminazione dello studente
- mancata individuazione di criteri univoci per determinare la validità prova → non si assicura una
parità di trattamento
- rischio di danni psichici

Potrebbero piacerti anche