Il Garante per la protezione dei dati personali ha multato l’Università Bocconi per 200mila euro per avere gestito, in maniera non conforme, i dati degli studenti.
Questo procedimento è avvenuto attraverso due software usati per monitorare gli esami, effettuati a distanza, durante la pandemia.
Uno di questi bloccava la navigazione internet durante lo svolgimento della prova per impedire l’accesso a informazioni esterne. L’altro effettuava il riconoscimento facciale dello studente e lo monitorava attraverso video e istantanee, effettuati a intervalli regolari, per controllare la corrispondenza con il documento di identità all’inizio della prova e in seguito la presenza di fronte allo schermo in fase di svolgimento.
Secondo quanto riportano MilanoToday e Il Giorno, la segnalazione al garante sarebbe partita da uno studente inglese di 21 anni, Joseph Donat Bolton, che si è laureato alla Bocconi lo scorso luglio.
Nel provvedimento 317 del 21 settembre si legge:
– che gli strumenti di controllo “Non devono essere indebitamente invasivi e comportare un monitoraggio dello studente eccedente le effettive necessità”;
– che l’informativa sottoposta dall’Università Bocconi agli studenti per accettazione non menziona la fotografia scattata agli studenti;
– che l’informativa testo non specifica i tempi di conservazione dei dati personali così acquisiti;
– che questi stessi dati sono stati oggetto di trasferimento negli Stati Uniti dove ha sede l’azienda che ha fornito i software e dove i controlli sono meno rigorosi che da noi.
Di conseguenza, ha scritto l’autorità: “il trattamento posto in essere dall’ateneo non può ritenersi conforme al principio di liceità, trasparenza e correttezza non essendo stati forniti tutti gli elementi informativi”.
“Nell’ordinamento vigente – si legge ancora – non si rinviene una disposizione normativa che espressamente autorizzi il trattamento dei dati biometrici per le finalità delle verifica della regolarità delle prove d’esame” e quindi la conclusione è che “il trattamento dei dati biometrici in questione risulta avvenuto in assenza di idonea base giuridica”.
Da qui la decisione del provvedimento alla quale segue il divieto di utilizzare questi strumenti informatici.
