Il quadro normativo in materia di protezione dei dati previsto dal Regolamento non prevede un diverso regime applicabile ai soggetti pubblici e a quelli privati, ma tiene conto del profilo funzionale nel trattamento dei dati. Stante il perseguimento di un medesimo interesse pubblico da parte delle università pubbliche e private, i relativi trattamenti di dati personali sono leciti solo se necessari per adempiere un obbligo legale al quale è soggetto il titolare del trattamento o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri. Per tali ragioni si ritiene che, contrariamente a quanto sostenuto originariamente dall’Ateneo, i trattamenti dei dati degli studenti finalizzati al rilascio di titoli di studio aventi valore legale o quelli connessi allo svolgimento di attività soggette alla vigilanza del Ministero dell’Università e della Ricerca non possano trovare fondamento in altre basi giuridiche quali, il consenso e o il contratto.
Nel caso di specie, l’Ateneo aveva identificato nel consenso dello studente la base giuridica del trattamento dei dati biometrici trattati, tuttavia, considerato che il trattamento è stato effettuato dall’Ateneo ai fini del rilascio di titoli di studio aventi valore legale, il consenso non costituisce la base giuridica del trattamento né può ritenersi una “manifestazione di volontà libera”.
Se l’Università si avvale di un sistema di supervisione a distanza delle prove d’esame scritte, al fine di assicurare che lo svolgimento degli esami universitari a distanza abbia garanzie il più possibile equivalenti a quelle previste per gli esami in presenza, con riguardo ai rischi per gli interessati derivanti, sotto il profilo della protezione dei dati, il Garante ha evidenziato che tali sistemi non devono essere indebitamente invasivi e comportare un monitoraggio dello studente eccedente le effettive necessità.
L’informativa sul trattamento dei dati personali fornita agli studenti deve perciò riportare tutte le informazioni richieste dal Regolamento per assicurare un trattamento corretto e trasparente, indicando altresì gli specifici tempi di conservazione dei dati personali.
La stessa informativa deve esplicitare la logica su cui si basa il funzionamento del sistema di supervisione, chiarendo le diverse funzionalità del sistema e i meccanismi che comportano la generazione dei segnali di allarme/anomalia, ma soprattutto deve rendere note l’importanza e le conseguenze per l’interessato nel caso in cui vengano posti in essere determinati comportamenti nel corso dello svolgimento della prova.
La necessità di assicurare la correttezza e la trasparenza del trattamento impone che l’interessato sia informato dell’esistenza di una profilazione e delle conseguenze della stessa e che, indipendentemente dagli specifici obblighi di trasparenza applicabili al processo decisionale automatizzato, sia rispettato il principio generale secondo cui questo trattamento non dovrebbe cogliere di sorpresa l’interessato.
L’aver illustrato le funzionalità del sistema ai soli rappresentati degli studenti non risulta, invece, idoneo a rendere edotti individualmente gli interessati con riguardo a tutte le operazioni di trattamento effettuate.
Specialmente nel contesto dell’esercizio di compiti di interesse pubblico, occorre tenere conto degli specifici rischi derivanti dalla profilazione che, generando informazioni nuove e ulteriori da quelle fornite dall’interessato o altrove acquisite, può talvolta comportare conseguenze pregiudizievoli per l’interessato, quali, in generale, l’esclusione da benefici, il mancato accesso a beni e servizi o, come nel caso di specie, l’annullamento di una prova d’esame, in violazione del principio di non discriminazione. Pertanto, il trattamento in questione, per essere lecito, oltre a dover essere chiaramente rappresentato agli interessati, deve essere, in questo contesto, necessario per l’esecuzione di un compito di interesse pubblico e deve quindi essere previsto da una norma di legge o di regolamento che, nel caso di specie però non sussiste.
Anche in considerazione del rischio che incombe sui diritti e le libertà degli interessati, il titolare del trattamento deve fin dalla progettazione e per impostazione predefinita adottare misure tecniche e organizzative adeguate ad attuare i principi di protezione dei dati, quali i principi di minimizzazione e di limitazione della conservazione, integrando nel trattamento le necessarie garanzie per soddisfare i requisiti del Regolamento e tutelare i diritti e le libertà degli interessati. Ciò anche quando il titolare del trattamento utilizza prodotti o servizi realizzati da terzi, impartendo se del caso le necessarie istruzioni al fornitore del servizio e assicurandosi che siano, ad esempio, disattivate le funzioni che non abbiano una base giuridica ovvero non siano compatibili con le finalità del trattamento
I trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo sono consentiti a condizione che l’adeguatezza del Paese terzo sia stata riconosciuta da una decisione della Commissione europea. Con riferimento al trasferimento dei dati personali negli Stati Uniti d’America, la Corte di Giustizia dell’Unione Europea, con sentenza del 16 luglio 2020, ha dichiarato invalida la decisione relativa al c.d. scudo per la privacy (Privacy Shield), in considerazione del fatto che il diritto interno degli Stati Uniti d’America – dal momento che consente alle autorità pubbliche, nel quadro di determinati programmi di sicurezza nazionale, di accedere senza adeguate limitazioni ai dati personali oggetto di trasferimento ai fini della sicurezza nazionale – non garantisce un livello di tutela sostanzialmente equivalente a quello riconosciuto dal diritto europeo e non accorda, ai soggetti interessati, diritti azionabili in sede giudiziaria nei confronti delle autorità statunitensi. L’Ateneo, nell’ambito della stipula delle clausole contrattuali tipo, avrebbe perciò dovuto espressamente valutare e prevedere “l’adozione di misure supplementari da parte del titolare del trattamento al fine di garantire il rispetto di tale livello di protezione”, valutazione di cui non vi è alcuna evidenza nella documentazione contrattuale stipulata e fornita al Garante.
Garante per la Protezione dei Dati Personali, 16 settembre 2021, ord. n. 317
Ordinanza ingiunzione nei confronti di Università Commerciale “Luigi Bocconi” di Milano - 16 settembre 2021
Ordinanza ingiunzione nei confronti di Università Commerciale “[#OMISSIS#] Bocconi” di Milano – 16 settembre 2021[doc. web n. 9703988]
Ordinanza ingiunzione nei confronti di Università Commerciale “[#OMISSIS#] Bocconi” di Milano – 16 settembre 2021
Registro dei provvedimenti n. 317 del 16 settembre 2021
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
[#OMISSIS#] riunione odierna, alla quale hanno preso parte il prof. [#OMISSIS#] [#OMISSIS#], [#OMISSIS#], la prof.ssa [#OMISSIS#] [#OMISSIS#] [#OMISSIS#], vicepresidente, il dott. [#OMISSIS#] [#OMISSIS#] e l’avv. [#OMISSIS#] [#OMISSIS#], componenti, e il cons. [#OMISSIS#] [#OMISSIS#], segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla [#OMISSIS#] circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla [#OMISSIS#] circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 [#OMISSIS#] 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore la prof.ssa [#OMISSIS#] [#OMISSIS#] [#OMISSIS#];
1. Introduzione.
PREMESSO
Con reclamo del XX, come successivamente integrato in data XX, uno studente dell’Università Commerciale “[#OMISSIS#] Bocconi” di Milano (di seguito, l’”Università” o l’”Ateneo”) ha lamentato possibili violazioni della disciplina sulla protezione dei dati personali in relazione all’impiego di un sistema di supervisione (proctoring) nell’ambito dello svolgimento delle prove scritte d’esame degli studenti, al fine di identificare questi ultimi e/o di verificarne il corretto comportamento [#OMISSIS#] lo svolgimento della prova d’esame. In particolare è stato rappresentato che l’Ateneo avrebbe richiesto il consenso degli studenti al trattamento “delle categorie particolari di dati personali (dati biometrici […]), [in mancanza del quale gli studenti] non sarebbero in grado di svolgere esami online” con ciò comportando un “pregiudizio estremo […]”.
Con lo stesso reclamo, è stato evidenziato che il responsabile della protezione dei dati dell’Ateneo, in risposta alla richiesta di chiarimenti dell’interessato, ha chiarito che, nel contesto dell’emergenza epidemiologica da SARS-CoV-2, è stata individuta una modalità alternativa di svolgimento degli esami universitari a distanza, che l’obiettivo di assicurare le medesime garanzie previste per gli esami in presenza poteva essere raggiunto attraverso il trattamento di categorie particolari di dati, come i dati biometrici e che, dopo un’attenta analisi, l’Ateneo ha individuato nell’azienda Respondus il migliore fornitore per rispondere alle proprie esigenze, anche tenuto conto della necessità di effettuare circa 60.000/70.000 prove scritte, dovendo assicurare la parità delle condizioni di accesso alle prove per tutti gli studenti.
2. L’attività istruttoria.
Con nota del XX (prot. del Garante n. XX del XX), in risposta alla richiesta d’informazioni del Garante, l’Ateneo ha dichiarato, in particolare, che:
– “l’Università Bocconi è un’università internazionale, non statale, legalmente riconosciuta e autorizzata al rilascio di titoli di studio d’istruzione superiore, aventi valore legale”;
– “il recente orientamento del Consiglio di Stato [#OMISSIS#] controversia tra ANAC/università non statali (per Bocconi sentenza CdS n. 3041/2016; n. 3042/2016; n. 3040/2016) che qualifica quest’ultime come soggetti di diritto privato, […] ritiene che la sola facoltà riconosciuta alle università libere di rilasciare titoli aventi valore legale non è di per sé sufficiente a determinarne l’appartenenza alla categoria degli enti pubblici. […]” e, su tali basi, l’Ateneo avrebbe individuato i presupposti di liceità del trattamento in questione tenuto conto della propria “qualificazione di soggetto di natura privatistica”;
– nell’ambito della situazione di emergenza causata dall’epidemia da SARS-CoV-2, “al fine di assicurare il normale svolgimento delle sessioni d’esame, stante l’impossibilità di sostenere le prove come di consueto dal vivo e in presenza, la Bocconi ha deciso di dotarsi di un software ([…] “Respondus”) fornito dalla società Respondus Inc. ([…] il “Fornitore”) – debitamente nominato responsabile del trattamento ai sensi e per gli effetti dell’art. 28 del [Regolamento] […] che consentisse al docente di poter verificare la genuinità della prova scritta resa dagli Studenti, senza che la stessa potesse esser alterata, attraverso sostituzioni di persona e/o contraffazioni, o altri interventi distorsivi della misura e valutazione dell’apprendimento personale”;
– “l’Università ha l’onere di prevedere tutte le misure idonee per poter considerare pienamente validi gli esami sostenuti dai propri studenti […], al fine di garantire il pieno valore legale del titolo di studio dagli stessi conseguito”;
– “la Bocconi ha inteso adottare il sistema di proctoring unicamente per i corsi di studi “core”, finalizzati al conseguimento di un titolo con valore legale, quale metodo per garantire terzietà, imparzialità ed eguale trattamento. Per tutti gli altri programmi formativi, invece, l’Università ha preferito sostenere prove a distanza utilizzando sistemi differenti”;
– “l’impossibilità di svolgere le sessioni d’esame secondo la consueta procedura, ha portato l’Università […] a strutturare un processo che, nel rispetto del [Regolamento] e del Codice Privacy, unicamente per le prove d’esame scritte, fosse in grado di identificare gli Studenti attraverso l’utilizzo temporaneo del loro dato biometrico e, dunque, elaborando automaticamente le immagini digitali che raffigurano il volto degli stessi a fini di identificazione, autenticazione e verifica” in particolare la “fotografia del tesserino” e “l’immagine fotografica scattata da Respondus;
– con riguardo alle basi giuridiche del trattamento, l’Università ha dichiarato che “per i dati comuni il fondamento giuridico è stato individuato nell’art. 6 lett. b) del [Regolamento]; per i dati biometrici il fondamento giuridico è stato individuato nell’art. 9 lett. a) del [Regolamento]”;
– nonostante “il provvedimento del Garante del 26 marzo 2020 e il d.p.c.m. del 27.4.2020 art. 1 lett. n)”, l’Ateneo, “ha scelto di considerare per i propri Studenti l’opzione dell’esame scritto online e da remoto tramite sistema di proctoring come strada preferita, per ragioni di coerenza con il modello didattico adottato, basandosi sul consenso. Ciò risulta anche in linea con la natura privatistica dell’Università”;
– il sistema di proctoring è stato impiegato per la prima volta [#OMISSIS#] sessione estiva “che […] è cominciata dopo la promulgazione del d.p.c.m. del 27.4.2020 ed in particolare, per tutti gli ordinamenti di studio attivi, nel periodo compreso tra il 13.5.2020 e il 21.7.2020”;
– l’Ateneo, “al fine di garantire il diritto allo studio dello Studente, tutelandone la [#OMISSIS#] autodeterminazione, ha posto in essere immediatamente misure organizzative idonee per consentire [#OMISSIS#] esaminandi, che avessero eventualmente deciso di non concedere il consenso al trattamento del dato biometrico, di avvalersi di modalità alternative da concordarsi con l’unità Academic Services che gestisce il calendario delle prove d’esame”, senza subire “alcun nocumento né ritardo [#OMISSIS#] carriera universitaria”;
– è stata resa [#OMISSIS#] studenti l’informativa “ai sensi e per gli effetti dell’art. 13 del [Regolamento]”;
– “il dato biometrico dello Studente non viene trattato direttamente dall’Università, ma solo dal Fornitore che lo tratta temporaneamente per la durata della sessione d’esame per poi cancellarlo senza conservarlo”;
– “il Trattamento non importa un processo decisionale automatizzato. Infatti, nell’ipotesi in cui Respondus rilevi un evento anomalo potenzialmente idoneo ad invalidare la prova d’esame, il software segnala al docente l’anomalia […] che, nell’esercizio del proprio potere discrezionale di valutazione, deciderà sull’eventuale annullamento”;
– “il Trattamento comporta un trasferimento dei dati extra UE da parte del Fornitore” che ha dichiarato di essere “conforme al Privacy Shield Framework EU -U.S.”;
– “l’Università, ai sensi dell’art 35 par. 11 del [Regolamento], in considerazione della sentenza resa il 16.7.2020 e alla conseguente decisione della Corte di Giustizia Europea di invalidare la Decisione 2016/1250 sull’adeguatezza della tutela approntata per i diritti e le libertà degli interessati dal Privacy Shield, ha ritenuto necessario rivedere l’Accordo di nomina sottoscritto da Respondus”.
Con successiva nota del XX, l’Ateneo ha integrato il proprio riscontro, fornendo, in particolare, copia di un atto aggiuntivo, datato XX, all’accordo sul trattamento dei dati personali stipulato con Respondus, Inc. ai sensi dell’art. 28 del Regolamento, che reca in allegato le clausole contrattuali tipo, di cui alla Decisione della Commissione europea del 5 febbraio 2010, stipulate tra l’Ateneo e Respondus, Inc..
Con nota del XX (prot. n. XX, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Ateneo, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni:
degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento, nonché 2-sexies del Codice, per aver trattato i dati biometrici degli studenti, nonché per aver effettuato un trattamento automatizzato finalizzato a consentire l’analisi di determinati aspetti del comportamento degli studenti, danno quindi luogo alla loro “profilazione”, in assenza di un’inidonea base giuridica;
degli artt. 5, par. 1, lett. a), e 13 del Regolamento), per non aver fornito [#OMISSIS#] interessati una completa informativa sul trattamento;
dell’art. 5, par. 1, lett. c) ed e), e 25 del Regolamento, per aver trattato i dati personali degli studenti in maniera non conforme ai principi di minimizzazione, limitazione della conservazione e protezione dei dati personali fin dalla progettazione e per impostazione predefinita;
degli artt. 44 e 46 del Regolamento, per aver trasferito dati personali verso un Paese terzo, ovvero gli Stati Uniti d’[#OMISSIS#], senza aver comprovato di aver verificato e assicurato che il trasferimento in questione fosse posto in essere nell’effettivo rispetto delle condizioni di cui al Capo V del Regolamento;
dell’art. 35 del Regolamento, per non aver effettuato un’adeguata valutazione di impatto sulla protezione dei dati con riguardo ai trattamenti di dati personali effettuati mediante “Respondus”.
Con la medesima nota, l’Ateneo è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).
Con nota dell’XX (prot. n. XX), l’Ateneo ha presentato la propria memoria difensiva, dichiarando, in particolare, che:
l’Ateneo ha deciso di “dotarsi di sistemi di proctoring”, così come altri “atenei che, [#OMISSIS#] il periodo pandemico correlato all’emergenza causata dal Covid 19, si sono avvalsi del sistema in discussione (o similari) […,] nell’intento di poter garantire complessivamente i diritti degli [studenti che] hanno avuto la possibilità di proseguire – senza danno alcuno – gli studi intrapresi, nonostante l’emergenza in essere”;
“il particolare contesto emergenziale […] nonché i tempi strettissimi nei quali occorreva trovare una soluzione efficace ed efficiente […] hanno portato la Bocconi a ritenere che solo un sistema di proctoring avrebbe potuto soddisfare le reali esigenze dei propri studenti – per la maggior parte fuori sede e per il 19% di nazionalità non italiana – e dei circa 2.000 studenti incoming in scambio che ogni anno raggiungono la Bocconi da ogni parte del mondo”;
“la stessa Università non ha mai smesso di interrogarsi sulla sostituibilità del software implementato, magari anche attraverso altri sistemi che fossero parimenti in grado di garantire la serietà della prova. […] Inoltre, l’Università ha continuato a intrattenere rapporti con Respondus per valutare in maniera sempre più approfondita il funzionamento del software implementato [, [#OMISSIS#] restando che] né la Bocconi né Respondus, infatti, trattano il dato biometrico degli studenti”;
“Respondus blocca l’utilizzabilità del browser, inibendo di fatto la possibilità che lo studente [#OMISSIS#] il periodo della prova d’esame possa avvalersi di strumenti d’[#OMISSIS#] presenti sul proprio dispositivo informatico – per tali intendendo tanto le ricerche effettuabili direttamente sul web quanto le consultazioni di appunti e/o dispense salvati sul dispositivo stesso sotto forma di file di diverso tipo – al fine di sostenere la prova. In altri termini, Respondus Monitor non tiene traccia dell’attività compiuta sulla rete dallo studente, delle applicazioni in uso, dei tasti digitati e dei movimenti del mouse, ma, più semplicemente, blocca lo schermo del computer e impedisce allo studente tutte quelle interazioni con il dispositivo che non siano strettamente correlate allo svolgimento della prova d’esame”;
“è […] del tutto improbabile che attraverso il sistema possano essere desunti dati personali o informazioni ulteriori attinenti [#OMISSIS#] aspetti relativi alla [#OMISSIS#] privata dello studente”;
“[…] in ogni [#OMISSIS#], il descritto sistema opera solo ed esclusivamente per il tempo corrispondente alla durata della prova d’esame […]”;
per quanto concerne la presunta “profilazione degli interessati […] l’identificazione e la valutazione della prova sostenuta dallo studente e, dunque, il giudizio e il correlato esito dell’esame, sono rimessi completamente al docente di riferimento, al quale spetta la valutazione del comportamento tenuto dallo studente in concreto: ne consegue che il sistema si limita meramente a segnalare, non potendo certamente essere allo stesso attribuita una funzione decisoria. […] L’unico [#OMISSIS#] fornito dal software in esame è l’estratto di alcuni fotogrammi dalla registrazione audiovisiva, che potrebbero esser indicatori di anomalie [#OMISSIS#] la prova […]”;
in merito ai tempi di conservazione dei dati, “è vero che, in astratto, la registrazione video della prova d’esame potrebbe restare nelle disponibilità dei sistemi informativi del fornitore per […] un anno sul sistema AWS S3 bucket cui si aggiungono quattro anni, di long term storage, sul sistema AWS Glacier. Tuttavia, la DPIA deve essere letta in combinato disposto con tutte le previsioni dell’accordo di nomina a responsabile [, in base alle quali] […] [a] semplice richiesta dell’Università […] il fornitore [procede] tanto alla cancellazione dei dati, quanto alla notifica dell’intervenuta cancellazione. […] La Bocconi, infatti, chiede che venga effettuata le descritta cancellazione non decorsi cinque anni dalla data di espletamento della prova, bensì una volta che si è formalmente chiusa la sessione d’esame e si è perfezionato […] il procedimento di valutazione delle prove sostenute dagli studenti”. […] [in ogni [#OMISSIS#],] “la registrazione video non viene archiviata in chiaro sui sistemi informativi dell’Università, tanto che il docente non ha la possibilità di scaricare detto video, senza previa autorizzazione espressa del Titolare. Infatti il video è, fino alla sua cancellazione, conservato in maniera completamente crittografata sui server del fornitore; solo le persone autorizzate all’interno dell’Università, per ciascuna singola prova, detengono la chiave privata per renderlo leggibile. […] Con specifico riferimento alla conservazione delle registrazioni video, la Bocconi ha ritenuto opportuno conservare le stesse, nelle modalità sopra dettagliate, per un tempo corrispondente a 12 mesi decorrenti [dalla data di comunicazione dei risultati della prova [#OMISSIS#] studenti], [#OMISSIS#] che sulla singola prova non siano pendenti dei procedimenti disciplinari o contenziosi di fronte alle Autorità giudiziarie competenti. […] Decorsi, quindi, i richiamati termini, l’Università distrugge l’unica chiave privata di accesso ai dati crittografati e chiede, come descritto, la cancellazione delle registrazioni anche al fornitore.”;
oltre alla possibilità dello svolgimento in presenza in [#OMISSIS#] di mancato consenso dello studente, “l’Università ha anche concretamente valutato […] di prevedere, per casi particolari, quali gli studenti all’[#OMISSIS#], il sostenimento dell’esame orale in modalità online”;
inoltre, “si ritiene non corretto affermare che dare la possibilità di sostenere gli esami presenza avrebbe esposto i docenti e gli studenti a un più elevato rischio per la salute degli stessi [, stante quanto previsto dal] […] d.p.c.m. del 27.4.2020 art. 1 lett. n) […] [, essendo evidente] […] che, con le opportune cautele […] fosse astrattamente già possibile sostenere gli esami in presenza, ovviamente per chi non avesse voluto prestare il consenso”;
l’Ateneo “ha un continuo dialogo con il proprio corpo studentesco che […] non può essere considerato al pari di un contraente debole, la cui posizione sperequata legittimerebbe meccanismi di più [#OMISSIS#] tutela. Né [#OMISSIS#] la condizione di presunta ansia in cui versa lo studente chiamato a sostenere le prove d’esame, ovvero il metus nei confronti del docente, possono in alcun modo essere considerati come situazioni idonee a condizionare il consenso eventualmente prestato. […] Specie quando, come nel [#OMISSIS#] [di specie], l’eventuale rifiuto non sarebbe stato nemmeno manifestato nei riguardi del professore di riferimento, ma unicamente avvalendosi dei canali indicati dall’Università che prevedevano una specifica richiesta all’Academic Services. Ed infine […] nell’ipotesi in cui il docente ponga in essere “ripercussioni negative”, lo stesso non andrà esente da responsabilità disciplinari per propria condotta professionale […]”;
l’Università si è impegnata a “mutare le basi giuridiche indicate all’interno dell’informativa, lasciando impregiudicata quella individuata per il trattamento dei dati comuni e modificando quella per il trattamento dei dati biometrici, individuandola nel perseguimento di un interesse pubblico, ai sensi dell’art. 9 lett g) del GDPR e degli artt. 2 ter e 2 sexies lett. bb del Codice Privacy”;
“tuttavia, con riferimento al dato biometrico […] [che] il poco tempo a disposizione per l’implementazione del processo […] ha portato l’Università a fare affidamento su un’affermazione di Respondus successivamente dimostratasi non corrispondente alla realtà dei fatti […] a seguito di ulteriori approfondimenti […] la Bocconi ha appreso [che] l’identificazione dello studente avveniva e avviene a posteriori per il tramite di un operatore umano, senza l’utilizzo del dato biometrico per finalità identificative […] Di conseguenza, a seguito di formale richiesta da parte dell’Università […], Respondus […] ha dichiarato che il proctoring implementato non comporta alcun trattamento di categorie particolari di dati […]”;
“[…] il sistema non è in grado di confrontare in maniera univoca il volto dello studente e la fotografia del documento mostrato. In altri termini non si ha in nessun [#OMISSIS#], per finalità identificative, la creazione di un modello biometrico del singolo studente dal quale verrà estratto successivamente un campione biometrico da conservare per le successive operazioni di confronto (c.d. match)”;“[…] anche in fase di controllo del comportamento dello studente, nessun dato biometrico viene trattato da parte dei sistemi. Il fatto che si utilizzi la locuzione “riconoscimento facciale” non implica necessariamente che i sistemi approntati per il monitoraggio del comportamento dello studente trattino il dato biometrico dello stesso”;
con riguardo alla contestazione relativa all’incompletezza dell’informativa resa [#OMISSIS#] studenti, l’Ateneo evidenzia che “lo stesso documento contestato fa rinvio all’informativa completa […] attraverso specifico link ipertestuale […]”;
“la Bocconi riconosce che l’informativa potrebbe potenzialmente difettare di trasparenza, non essendo indicato un periodo di conservazione specifico”;
“[…] tenuto conto della previsione dell’art. 13 del GDPR […] gli studenti […hanno] ricevuto, per tempo, diverse istruzioni e chiarimenti ben prima dell’avvio del trattamento, con informazioni multilayer […]”;
tenuto della formula ampia della lett. f) dell’art. 13 del Regolamento “l’Università nell’informativa individua l’articolo del Regolamento che consente il trasferimento extra UE dei dati personali degli studenti, facendo specifico riferimento all’art. 46, e lascia in ogni [#OMISSIS#] la possibilità all’interessato di “richiedere maggiori dettagli al Titolare del Trattamento richiedendo evidenza delle specifiche garanzie adottate”;
l’Ateneo ha precisato di aver stipulato “con Respondus, in data XX un primo accordo di nomina a responsabile, ai sensi dell’art. 28 del Regolamento, con il quale, per ciò che attiene al trasferimento dei dati personali extra UE, faceva riferimento, ai sensi dell’art. 46 del Regolamento, al Privacy Shield e, dunque, all’allora vigente Decisione di esecuzione (UE) 2016/1250 della Commissione. A seguito della sentenza della Corte di Giustizia del 16 luglio 2020, provvedeva a modificare l’accordo di nomina e a sottoscrivere le clausole contrattuali standard già il 10 agosto 2020”;
“[…] l’Università [è] ben consapevole delle misure approntate dal fornitore, considerato che proprio le stesse, sebbene soltanto richiamate nell’appendix 2 delle clausole contrattuali tipo sottoscritte, sono state oggetto di opportune valutazioni analitiche […]. L’Università già prima della sentenza Schrems aveva posto in essere “l’adozione di misure supplementari da parte del titolare del trattamento al fine di garantire il rispetto di tale livello di protezione” (par. 133 della sentenza Schrems). Le misure di sicurezza […] sono state allegate alla stessa DPIA […]. Tutta la valutazione d’impatto è stata proprio condotta tenendo in considerazione il documento Respondus Checklist […] da dove risulta evidente che […] dati personali oggetto di trattamento sono tutti crittografati con l’algoritmo Advance Encryption Standard 256 bit29 e la chiave privata è detenuta esclusivamente dalla Bocconi, sì da esser impossibile, anche per il governo americano, accedere [#OMISSIS#] stessi. A ciò si aggiunga anche che Respondus Monitor tra l’altro i) soddisfa i requisiti di sicurezza di FERPA, GDPR, CCPA, Privacy Shield, SOC 2 ed i suoi ingegneri sono anche AWS Certified30; ii) tutti i dati sono crittografati dall’inizio alla fine del processo che vede coinvolto Respondus. Tale circostanza determina di per sé la conformità con quanto stabilito dalla Corte di Giustizia Europea nonché l’accountability dell’Università. Il fatto che si rinvii alle misure, senza allegarle a quanto sottoscritto, non implica automaticamente che la valutazione condotta dalla Bocconi, quale titolare del trattamento, sia insufficiente […] La stessa clausola tipo […] prevede proprio che l’esportatore si assuma l’obbligo di valutare – dichiarando e garantendo – che l’importatore fornisca sufficienti misure tecniche e organizzative di sicurezza, [#OMISSIS#] prevedendo in merito alle modalità con cui tale obbligo debba essere espletato. Detto altrimenti non è normativamente previsto che il contratto indichi le misure di sicurezza per iscritto […] ad substantiam […]”;
“[…] le Raccomandazioni 01/2020 del Comitato europeo per la protezione dei dati personali – inidonee peraltro ad assumere la natura di fonte del diritto, trattandosi di soft regulation, e come tali assolutamente non vincolanti – sono successive alle violazioni oggi contestate. […] In ogni [#OMISSIS#], [occorre] osservare che, considerate le tipologie di dati personali e le attività di trattamento concretamente poste in essere da Respondus, le misure predisposte sono da considerarsi sufficienti, ed idonee, anche e soprattutto alla luce dell’uso di sistemi di crittografia dei dati personali e alla concreta inaccessibilità degli stessi da parte di soggetti terzi, ivi compreso il responsabile e l’autorità statunitensi”;
“al tempo in cui sono state effettuate le scelte d’implementazione dei processi, si è ritenuto che non vi fossero altri sistemi che ragionevolmente potessero essere in grado di garantire, in forma digitale, la serietà di processi che fino a quel momento erano stati costruiti in modalità analogica. È apparso, quindi, che il trattamento secondo le descritte modalità fosse indispensabile, perché sistemi digitali diversi sarebbero stati inevitabilmente insoddisfacenti per almeno due ragioni: a) da un lato, perché sono troppi gli interessati che costituiscono il corpo studentesco dell’Università (oltre 14.000 studenti) […]; dall’altro, il tipo di prova – esame scritto – rende impossibile il raggiungimento delle prescritte finalità senza l’[#OMISSIS#] di sistemi di proctoring […]. Anche il Tribunale di Amsterdam si è recentemente pronunciato sul sistema di proctoring analogo al presente [, ritenendolo conforme alla normativa in materia di protezione dei dati]”;
“la legittimità di ciò è stato recentemente ribadita anche dal Garante [#OMISSIS#] secondo cui “La situazione generata come conseguenza di Covid-19 e la dichiarazione dello stato di allarme potrebbe avere un’incidenza speciale, in cui la prevalenza del riconoscimento facciale potrebbe essere valutata rispetto ad altre misure […] [, dovendosi limitare tale opzione] a quei corsi e materie specifiche che, a causa della loro importanza, complessità o altre circostanze di particolare incidenza, non rendono consigliabile il ricorso ad altre opzioni […] o renderebbero l’adozione di altri mezzi come il controllo con videocamera o gli esami orali eccessivamente onerosi”;
quanto all’ “affidabilità della tecnologia impiegata […] l’Università ha effettuato una serie di approfondimenti tecnici in merito alle misure di sicurezza utilizzate dalla società Respondus Inc. – leader di mercato scelto da oltre mille Università – che sono illustrate [#OMISSIS#] relazione tecnica [prodotta dall’Ateneo]”.
In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data XX (verbale prot. n. XX del XX), l’Ateneo, discostandosi con riguardo a taluni [#OMISSIS#] dalle dichiarazioni rese nelle precedenti comunicazioni, ha dichiarato, in particolare, che:
“prima dell’emergenza pandemica le prove si svolgevano in aule con un rapporto 1 a 3, ovvero convocando uno studente ogni tre posti in aula, per garantire l’efficacia dei controlli effettuati dai “proctor” fisici, i quali verificavano l’identità dello studente chiedendo di esibire il tesserino, nonché vigilavano sulla correttezza della prova. […] In tale contesto, con un solo docente si riusciva a seguire l’esame effettuato da 50 persone. L’Università si è pertanto trovata, [#OMISSIS#] stato emergenziale, [#OMISSIS#] condizione di dover effettuare le medesime prove ma a distanza […] L’alternativa di utilizzare un sistema di mera videoconferenza con supervisione di un proctor fisico avrebbe, probabilmente, richiesto un proctor ogni cinque studenti da verificare. Tale alternativa non sarebbe stata percorribile, richiedendo l’impiego di personale dieci volte superiore a quello disponibile”;
“solo una decina, tra tutti gli studenti a cui è stata sottoposta la liberatoria, hanno scritto all’Università e solo un paio tra questi si sono detti contrari a questa modalità di svolgimento della prova; tuttavia, questi studenti non hanno poi dato seguito alle comunicazioni dell’Università, la quale si era resa disponibile a trovare delle alternative, e quindi non c’è stata l’esigenza di organizzare delle prove per questi due studenti con modalità diverse che non prevedessero il proctoring”;
“a partire da marzo 2020 l’Università ha cominciato a raccogliere documentazione dal fornitore e tale documentazione è risultata essere stata redatta in maniera esaustiva e conforme [#OMISSIS#] standard internazionali. Il fornitore in tale documentazione e sul suo [#OMISSIS#] citava l’utilizzo di tecnologie biometriche. Tuttavia, nel contesto dell’emergenza, l’Università non ha potuto tempestivamente verificare in cosa consistesse l’asserito trattamento di dati biometrici. L’Università ha, quindi, cautelativamente assunto che per dati biometrici si intendesse la tipologia di dati di cui alla definizione fornita nel Regolamento UE 2016/679. In realtà, è poi successivamente emerso che Respondus acquisisce l’immagine dello studente e verifica che questo volto rimanga lo stesso [#OMISSIS#] la prova, ma non mette il volto in relazione con l’identificativo della persona. Questa identificazione è effettuata dal docente solo successivamente: il docente, quando riceve il report con il filmato della prova, confronta una fotografia scattata dal sistema all’inizio della prova con la fotografia, presente negli archivi dell’Università, dello studente che avrebbe dovuto sostenere la stessa. Quindi, solo a posteriori, si è potuto concludere che non vi era l’utilizzo di un dato biometrico a [#OMISSIS#] del Regolamento UE 2016/679. Si precisa che, per quanto sopra, non si effettua alcuna estrazione del campione biometrico relativo al volto dello studente”;
“il software Respondus ha due componenti: Respondus lockdown browser e Respondus monitor. Lockdown browser si comporta come un browser web perché visualizza le pagine che vengono caricate e proibisce di aprire altre pagine o finestre; impedisce, ad esempio, che si possa fare l’operazione di copia e incolla. Inoltre, impedisce l’esecuzione della prova se prima non vengono chiuse tutte le altre applicazioni. Pertanto, quando inizia la prova d’esame è garantito che sia in esecuzione solo lockdown browser e che lo studente visualizzi solo la pagina relativa alla prova d’esame. A questo punto la prova parte: [#OMISSIS#] la prova lo studente non può fare null’altro che non sia consentito dal sistema. Le altre funzioni del PC sono precluse e non viene tenuta traccia dei tentativi di effettuare attività precluse. In nessun [#OMISSIS#] viene tenuta traccia dei siti web eventualmente visitati. È possibile, peraltro, impostare il sistema in maniera tale da consentire di visitare determinati siti o usare determinate applicazioni utili ai soli fini del sostenimento della prova d’esame”;
“Respondus monitor si attiva solo dopo che Lockdown browser ha garantito le condizioni necessarie per l’avvio della prova e rileva e analizza, ai fini della definizione dell’indice di correttezza della prova, dati come, ad esempio, il filmato, le modifiche del volto oggetto di ripresa o l’assenza dello stesso, il tempo di compilazione della prova e di risposta a ciascun quesito, i tasti digitati sulla tastiera, i movimenti del mouse, le applicazioni in esecuzione (al fine di eventualmente consentire talune applicazioni necessarie ai fini dell’esecuzione della prova, [#OMISSIS#] restando che nell’esperienza dell’Ateneo non è mai stato dato accesso a siti esterni; pertanto, questa funzionalità non è stata utilizzata). Quanto all’attività della rete internet, viene misurato il traffico di rete e se questo traffico ha un quantitativo di byte anomalo, tale da far presumere un calo della banda di rete dello studente. Poiché non ci possono essere altre applicazioni in ese