Milano, 21 maggio 2024 – La Cassazione riapre la battaglia legale tra il Garante della privacy e la Bocconi. La Suprema Corte ha annullato la sentenza del Tribunale civile che nel 2022 aveva quasi azzerato la multa comminata dall’Authority nel 2021, riducendola da 200mila a 10mila euro. Quindi, gli ermellini hanno disposto un nuovo giudizio per dirimere una questione che ruota attorno al trattamento dei dati personali.
La segnalazione
Il caso scoppia nell’aprile del 2020, quando uno studente inglese si rivolge al Garante per segnalare l’impiego all’università "di un sistema di supervisione (proctoring) nell’ambito dello svolgimento delle prove scritte d’esame degli studenti, al fine di identificare questi ultimi e/o di verificarne il corretto comportamento".
L’allievo accende i riflettori sui due software della società americana Respondus, adottati dalla Bocconi in epoca Covid per verificare che gli studenti non "barino" durante i test a distanza.
In particolare, LockDown Browser inibisce "specifiche funzionalità dei dispositivi in uso agli studenti". Respondus Monitor cattura "le immagini video e lo schermo dello studente, identificando e contrassegnando con un flag i momenti in cui sono rivelati comportamenti insoliti e/o sospetti mediante registrazione video e istantanee scattate a intervalli casuali per tenere traccia di comportamenti anomali".
La sanzione
In sintesi: un programma per il riconoscimento facciale. Di più: a fine prova, "il sistema elabora il video, inserendo segnali di allerta in merito a possibili indici di comportamenti scorretti e attribuendo, tra l’altro, una cosiddetta “Review Priority”, affinché il docente possa poi valutare se effettivamente sia stata commessa un’azione non consentita".
Il reclamo porta a una multa da 200mila euro per l’ateneo di via Sarfatti e al divieto di utilizzare il programma. Il motivo? Stando alle conclusioni dell’Authority, i bocconiani non sono stati informati in maniera corretta sul funzionamento dei software e sul trattamento dei dati personali.
La difesa
Nella memoria difensiva, i vertici dell’università dichiarano che l’informativa per gli studenti "conteneva un rinvio ‘attraverso specifico link ipertestuale’ al testo della “informativa completa sul trattamento dei dati degli studenti”, non fornendone tuttavia evidenza". Le successive verifiche fanno però emergere che in realtà il link rimandava a informazioni altrettanto generiche. Non basta. Per il Garante, il polo accademico ha pure omesso di comunicare che i dati personali sarebbero stati "oggetto di trasferimento negli Stati Uniti d’America", limitandosi a dire che sarebbero stati "trattati dal titolare all’interno e all’esterno del territorio dell’Ue".
Il ricorso
La Bocconi paga la multa, ma fa ricorso in Tribunale. Che nel 2022 ribalta tutto. I giudici partono da una premessa: "La mera acquisizione di una foto (o di una registrazione video) non configura un trattamento di dati biometrici, bensì di dati comuni". Nel caso in esame, aggiungono, non è configurabile "il trattamento di dati biometrici, perché tale finalità non è contemplata ‘nel meccanismo attuato dal software Respondus , giacché ogni eventuale valutazione’ è stata lasciata ‘al docente’; e non vi è ‘alcuna dimostrazione che la quarta fase’, vale a dire il confronto finale tra il ‘modello biometrico’ e le ‘effettive caratteristiche dell’individuo’, sia stata concretamente attuata". E i dati all’estero? Per i giudici, l’accordo di modifica pattuito da Bocconi e Respondus il 18 agosto 2020, a un mese dalla sentenza della Corte di giustizia europea sull’adeguatezza della protezione garantita dallo "scudo Ue-Usa", garantisce lo stop al trasferimento internazionale di dati personali. Risultato: ricorso accolto quasi per intero e sanzione ridotta da 200mila a 10mila.
La Suprema Corte
Per la Cassazione, le conclusioni del Tribunale sono errate. Sul primo punto, scrivono gli ermellini, "risulta palese che le riprese foto e video realizzate da Respondus non hanno solo la funzione di documentare la prova di esame, ma si connotano per la contestuale elaborazione e selezione del materiale, di momento in momento raccolto; selezione che converge nell’individuazione e segnalazione di comportamenti anomali, attraverso la produzione del video finale".
Quindi, "il Tribunale ha mancato di considerare che questa complessiva attività integra un autonomo e articolato trattamento dei dati biometrici acquisiti ed elaborati dallo stesso software, e attiene anche alla conferma dell’identità della persona fisica esaminata". Tradotto: tutto da rifare.