Nel mirino della battaglia legale tra Garante della privacy e l’Università Bocconi di Milano c’è un software elaborato in era Covid usato per verificare il comportamento degli allievi nel corso dei test a distanza e la possibilità che, invece, fosse strumento di riconoscimento facciale
La Cassazione ha nuovamente aperto le porta alla battaglia legale tra il Garante della privacy e la Bocconi. Ora la Suprema Corte ha annullato la sentenza del Tribunale civile che due anni fa aveva dimezzato la multa elaborata dall’Authority nel 2021 all’università riducendola da 200mila a soli 10mila euro.
I giudici ora hanno disposto un nuovo giudizio per far luce una questione che ruota attorno al trattamento dei dati personali.
Nell’aprile del 2020 il caso è scoppiato quando un ragazzo, studente alla Bocconi si rivolge al Garante per segnalare l’impiego all’università “di un sistema di supervisione nell’ambito dello svolgimento delle prove scritte d’esame degli studenti, al fine di identificare questi ultimi e/o di verificarne il corretto comportamento”.
Così l’universitario, originario inglese, accende i riflettori sui due software della società americana Respondus, adottati in era Covid dall’Università Bocconi per verificare che gli studenti non “imbrogliassero” durante i test a distanza.
LockDown Browser, uno dei due software, inibisce “specifiche funzionalità dei dispositivi in uso agli studenti”. Mentre, l’altro software, Respondus Monitor cattura “le immagini video e lo schermo dello studente, identificando e contrassegnando con un flag i momenti in cui sono rivelati comportamenti insoliti e/o sospetti mediante registrazione video e istantanee scattate a intervalli casuali per tenere traccia di comportamenti anomali”.
In poche parole si parla di un programma usato per il riconoscimento facciale. Inoltre, a fine test, “il sistema elabora il video, inserendo segnali di allerta in merito a possibili indici di comportamenti scorretti e attribuendo, tra l’altro, una cosiddetta “Review Priority”, affinché il docente possa poi valutare se effettivamente sia stata commessa un’azione non consentita”.
Il reclamo dello studente porta all’ateneo milanese ad una multa da 200mila euro e al divieto di utilizzare il programma poiché secondo le conclusioni dell’Authority, gli universitari non sono stati informati in maniera completa sul funzionamento dei software e sul trattamento dei dati personali.
Di contro i vertici della Bocconi dichiarano che l’informativa per gli studenti “conteneva un rinvio ‘attraverso specifico link ipertestuale’ al testo della “informativa completa sul trattamento dei dati degli studenti”, non fornendone tuttavia evidenza”. Ma le conseguenti verifiche fanno emergere che in realtà il link rimandava a informazioni generiche. Inoltre, per il Garante della privacy, l’università ha anche omesso di comunicare che i dati personali sarebbero stati “oggetto di trasferimento negli Stati Uniti d’America”, limitandosi a dire che sarebbero stati “trattati dal titolare all’interno e all’esterno del territorio dell’Ue”.
L’università dunque paga la multa, ma fa ricorso in Tribunale e nel 2022 tutto si ribalta. Nello specifico i giudici confermano, come riporta il Giorno, che non è configurabile “il trattamento di dati biometrici, perché tale finalità non è contemplata ‘nel meccanismo attuato dal software Respondus , giacché ogni eventuale valutazione’ è stata lasciata ‘al docente’; e non vi è ‘alcuna dimostrazione che la quarta fase’, vale a dire il confronto finale tra il ‘modello biometrico’ e le ‘effettive caratteristiche dell’individuo’, sia stata concretamente attuata”.
In conclusione il risultato è che il ricorso è stato accolto quasi per intero e la multa all’ateneo ridotta da 200mila a 10mila.
LEGGI ANCHE: >>> Fedez-Iovino: le immagini del pestaggio. Identificate altre 3 persone
Per la Cassazione le conclusioni emesse dal Tribunale sono sbagliate poiché, scrivono i giudici: “risulta palese che le riprese foto e video realizzate da Respondus non hanno solo la funzione di documentare la prova di esame, ma si connotano per la contestuale elaborazione e selezione del materiale, di momento in momento raccolto; selezione che converge nell’individuazione e segnalazione di comportamenti anomali, attraverso la produzione del video finale”.
Dunque, “il Tribunale ha mancato di considerare che questa complessiva attività integra un autonomo e articolato trattamento dei dati biometrici acquisiti ed elaborati dallo stesso software, e attiene anche alla conferma dell’identità della persona fisica esaminata”. In conclusione, tutto è da rifare.