Con ordinanza n. 12967 del 13 maggio 2024, la Corte di Cassazione ha stabilito che per lo svolgimento degli esami ”a distanza” le Università non possono servirsi di un software che ottenga dati biometrici elaborando le caratteristiche fisiche di una persona.
Nel caso di specie, a seguito dell’emergenza pandemica, l’università Bocconi di Milano, vista la necessità di svolgere gli esami con il sistema della video conferenza, ma in modo da garantirne la serietà, si dotava di un software (denominato “Respondus”) idoneo a consentire di verificare la genuinità della prova e limitando al massimo i rischi di alterazione della medesima; un programma del cui utilizzo gli studenti erano stati informati attraverso comunicazioni relative alle nuove modalità di svolgimento delle prove d’esame.
Tuttavia, a seguito dell’attività di controllo svolta in contraddittorio con l’Ateneo, il Garante della privacy contestava diverse violazioni del regolamento GDPR emettendo un provvedimento col quale infliggeva allo stesso ente la sanzione amministrativa pecuniaria di euro 200.000,00, nonché quella accessoria della pubblicazione del provvedimento medesimo sul sito web del Garante.
In parziale accoglimento del ricorso della Bocconi, il Tribunale di Milano confermava il provvedimento del Garante solo relativamente al divieto di trasferimento dei dati personali degli studenti negli Stati Uniti d’America.
Il Collegio milanese escludeva, però, che l’attività realizzata dal software utilizzato dall’università potesse costituire trattamento di dati biometrici poiché tale finalità non era contemplata nel meccanismo attuato dal programma Respondus, giacché ogni eventuale valutazione era lasciata al docente e non vi era, peraltro, alcuna dimostrazione che si fosse arrivati alla quarta fase del cosiddetto ciclo di vita dei dati biometrici, cosiddetta del confronto (o di match) tra il modello biometrico e le effettive caratteristiche dell’individuo.
La decisione del Tribunale di Milano è stata impugnata dal Garante per la protezione dei dati personali che si è rivolto alla Corte di Cassazione lamentando la violazione di varie norme del Regolamento (UE) 2016/679.
La prospettazione del Garante è stata ritenuta fondata dalla Suprema Corte, a parere della quale le riprese video e foto realizzate da Respondus non hanno solo la funzione di documentare la prova di esame, ma si connotano per la contestuale elaborazione e selezione del materiale, di momento in momento raccolto, selezione che converge nella individuazione ed alla segnalazione di comportamenti anomali, attraverso la produzione del video finale: questa complessiva attività integra un autonomo e articolato trattamento dei dati biometrici acquisiti ed elaborati dallo stesso software, e attiene anche alla conferma dell’identità della persona fisica esaminata, come previsto dall’art.4, n.14 del Regolamento, giacché l’esito di detta elaborazione risulta sottoposto solo ex post al docente per la sua valutazione in ordine alla regolarità della prova.