I software sono stati usati durante il lockdown negli esami a distanza
di Simona Ballatore e Nicola Palma
Un’informativa sui dati personali lacunosa e incompleta. Nessuna base giuridica per il trattamento dei dati biometrici degli studenti. Sono piuttosto gravi e circostanziate le ragioni che hanno spinto il Garante della privacy Pasquale Stanzione a comminare una multa da 200mila euro all’Università Bocconi (100mila se pagati entro un mese) per aver trattato in maniera illegittima i dati personali dei suoi iscritti. Il caso è stato sollevato nell’aprile del 2020 da uno studente inglese, che si è rivolto all’Authority per segnalare l’impiego "di un sistema di supervisione (proctoring) nell’ambito dello svolgimento delle prove scritte d’esame degli studenti, al fine di identificare questi ultimi eo di verificarne il corretto comportamento".
In sostanza, l’allievo ha acceso i riflettori sui due software della società americana Respondus, adottati dalla Bocconi in epoca di pandemia e di lezioni a distanza per verificare che gli studenti non "barino" durante gli esami. In particolare, LockDown Browser inibisce "specifiche funzionalità dei dispositivi in uso agli studenti" nel corso del test. Respondus Monitor, ben più invasivo, cattura "le immagini video e lo schermo dello studente, identificando e contrassegnando con un flag i momenti in cui sono rivelati comportamenti insoliti eo sospetti mediante registrazione video e istantanee scattate a intervalli casuali per tenere traccia di comportamenti anomali quali: sguardo non rivolto verso il monitor, volto parzialmente assente dalla foto, volto mancante". In soldoni: un programma per il riconoscimento facciale. E ancora: a fine prova, "il sistema elabora il video, inserendo segnali di allerta in merito a possibili indici di comportamenti scorretti e attribuendo, tra l’altro, una cosiddetta “Review Priority”, affinché il docente (utente supervisore) possa poi valutare se effettivamente sia stata commessa un’azione non consentita nel corso della prova".
Stando alle conclusioni dell’Authority, i bocconiani non sono stati informati in maniera corretta sul funzionamento dei software. In realtà, l’ateneo, nella sua memoria difensiva, ha dichiarato che l’informativa per gli studenti "conteneva un rinvio “attraverso specifico link ipertestuale” al testo della “informativa completa sul trattamento dei dati degli studenti”, non fornendone tuttavia evidenza". Tuttavia, da successive verifiche è emerso che in realtà quel link rimandava a informazioni altrettanto generiche. Non basta. L’università ha pure omesso di comunicare che i dati personali "sono oggetto di trasferimento negli Stati Uniti d’America", limitandosi a dire che "saranno trattati dal titolare all’interno e all’esterno del territorio dell’Unione europea". Per quanto riguarda i dati biometrici, la Bocconi ha fornito due versioni differenti al Garante: inizialmente ha dichiarato di aver strutturato "un processo che unicamente per le prove d’esame scritte fosse in grado di identificare gli studenti attraverso l’utilizzo temporaneo del loro dato biometrico"; poi, però, l’ateneo si è corretto, sostenendo che un successivo confronto con il fornitore aveva escluso "il trattamento di dati biometrici degli interessati".
L’ultima versione è stata tuttavia smentita da Respondus, che ha affermato che "un template biometrico viene comunque generato". Conclusione: "Il trattamento dei dati personali degli studenti risulta effettuato in maniera non conforme ai principi di protezione dei dati fin dalla progettazione e per impostazione predefinita". Di conseguenza, oltre alla maxi sanzione, la Bocconi non potrà più utilizzare il software.
Per ricevere le notizie selezionate dalla redazione in modo semplice e sicuro