La mia Università ha preso una multa, ma brutta brutta, brutta proprio. Più brutta per la reputazione che per l’importo, che di per sè probabilmente per una macchina da soldi come la Bocconi è sopportabilissimo. E’ “lo sfregio” che trovo particolarmente imbarazzante, e non solo perchè è la MIA università (e mai io avrei permesso che tutto quanto segue accadesse – azz… dovrei dire “espresso parere favorevole” in effetti) ma soprattutto perchè sforna ogni anno laureati in economia e legislazione per l’impresa, o in giurisprudenza, o addirittura aitanti masterizzati giuristi di impresa con significativi approfondimenti sulla data protection. Come diavolo sia avvenuto uno scivolone così vorrei davvero saperlo.
Mi rincuora (o invero mi deprime profondamente) sapere che studenti della Cattolica o del Politecnico di Milano dicono che anche loro hanno visto accadere cose simili, ma siccome del senno di poi son piene le fosse… speriamo che se ne arricchiscano (in termini di consapevolezza) i miei esimi colleghi che hanno consentito l’adozione di un sistema informativo con così tante non conformità che mi veniva da ridere, mentre mi veniva da piangere, leggendo il Provvedimento del Garante per la Protezione dei Dati.
Cos’è successo? Che il Garante per la Protezione dei Dati Personali ha emesso una ingiunzione nei confronti della Bocconi che, oltre a comminare una sanzione amministrativa di duecentomila euro (di cui però possono pagare solo la metà se lo fanno entro trenta giorni), dichiara illecito il trattamento dei dati personali in oggetto, lo limita istantaneamente vietando ogni ulteriore operazione e chiede tempestiva evidenza delle modalità di ottemperanza a quanto sopra.
Embè? Ma cos’hanno combinato di così grave? Eh niente hanno fatto solo trattamento di dati biometrici e profilazione degli studenti nello svolgimento di un compito di interesse pubblico rilevante senza fondamento giuridico e per di più tramite un servizio statunitense trasferendo illegittimamente i dati extra UE anche dopo la sentenza di Schrems II.
La sintesi si intende cd “for dummies”.
Neanche a inventarlo sarei riuscita a pensare ad un caso reale di violazione del GDPR così ben fatto. E devo anche dire che il Garante è stato persino gentile, specialmente perché ha tenuto conto del fatto che la scelta delle soluzioni tecnologiche che hanno portato al provvedimento è figlia della pandemia e della necessità di improvvisare una modalità per gli esami a distanza che garantisse il controllo dello studente “come se fosse in aula”. Però ragazzi… va tutto bene ma… biometria e profilazione basate sul consenso per accedere ad un esame in università? Ma forse che i miei colleghi che li han consigliati han studiato al CEPU?
Questa storia la so perché me l’ha raccontata mio figlio maggiore che l’ha sentita raccontare da amici e letta (e verificata) su testata online (dal mio punto di vista opinabile). Visto che combatto per la ricerca delle fonti e l’uso consapevole delle informazioni, prima di nascondermi sotto un tavolo sono andata a controllare… e mannaggia il provvedimento c’è, pubblicato sul sito della AGPD il 16 settembre 2021 [docweb 9703988].
E’ qui che sono andata a nascondermi sotto al tavolo.
Sarà pur vero che ho fatto il DES, e per questo non sono canonizzata quale bocconiana standard, però provate ad essere un bocconiano che si occupa di compliance alla normativa sulla protezione dei dati e vedere l’alma mater che combina un casino di questa portata. Uno va sotto al tavolo perché non sa da che parte girarsi per giustificare come dei miei colleghi possano aver sottovalutato un rischio simile. Poi però va con più curiosità a leggere il provvedimento per capire cosa sia davvero successo (sperando che lo stesso sia un monito per tutte le altre istituzioni formative che fan lo stesso senza avere neolaureati altrettanto in gamba).
Eh sì, perché è tutta colpa di un neolaureato che ha fatto un reclamo al Garante, lamentando possibili violazioni del GDPR in relazione all’impiego di un sistema di supervisione degli scritti di esame a distanza, fondato su un fantomatico consenso richiesto agli studenti che altrimenti non avrebbero potuto accedere all’esame, finalizzato ad identificarli (con un rilevatore biometrico) e rilevarne il corretto comportamento durante la prova d’esame.
Mi vergogno di constatare che il collega DPO della mia amata università sembrerebbe aver chiarito alle domande degli studenti (dei corsi di data protection?!) che, nel contesto dell’emergenza epidemiologica da SARS-CoV-2, è stata individuata una modalità alternativa di svolgimento degli esami universitari a distanza e che l’obiettivo di assicurare le medesime garanzie previste per gli esami in presenza poteva essere raggiunto attraverso il trattamento di categorie particolari di dati, come i dati biometrici e che, dopo un’attenta analisi, l’Ateneo aveva individuato nell’azienda Respondus (americanissima) il migliore fornitore per rispondere alle proprie esigenze (anche tenuto conto della necessità di effettuare circa 60.000/70.000 prove scritte, dovendo assicurare la parità delle condizioni di accesso alle prove per tutti gli studenti).
Vorrei solo dire a questo punto che il Provvedimento è lungo diverse pagine a me già qui (riga 20) veniva quel mal di stomaco che non sai se ridere o piangere: quale possibile parità di accesso alle prove se il trattamento dei dati fosse fondato sul consenso? Ma qualcuno l’ha letto l’articolo 7 del GDPR?
Niente, non ci siamo. Come cantava Paolo Belli in Sotto questo sole: “facciamo che andiamo, c’è gente che ha pagato, non può finire qui…” Che è un po’ come dire che business is business, ma io voglio sapere dove ha studiato il DPO. Anzi quasi quasi mi candido.
E siccome la mia candidatura non sarà utile, vi faccio una sintesi “uterina” (nel senso etimologico di “le donne sono isteriche perché hanno l’utero”, come declamava il Rota al Berchet nel lontano 1995) dell’esito dell’attività istruttoria.
TRE PUNTO UNO: si son sbagliati il fondamento di liceità del trattamento dei dati personali, perdendo di vista il fatto che anche se l’università è privata, essendo “parificata” (perdonatemi la semplificazione), tratta i dati degli studenti in ossequio all’interesse pubblico rilevante di istruzione e formazione. Non ce la posso fare neanche a leggerlo questo concetto. A chi poteva venire in mente una base giuridica diversa per la più rinomata università di economia (e giurisprudenza) italiana?
TRE PUNTO DUE: si son fumati i principi di protezione dei dati, perché non hanno verificato i corretti presupposti di liceità del trattamento e perché non hanno temperato l’invasività del trattamento sugli studenti (seguono dettagli).
TRE PUNTO TRE: si son dimenticati di dirlo agli studenti. O meglio, gliel’hanno detto al contrario di come chiede il GDPR: nessuna informativa “concisa intelligibile semplice e chiara”. Dice il testo del provvedimento (sic): “ Il documento, che fa riferimento al trattamento dei dati biometrici e di alcuni altri dati degli studenti (nome, cognome e data di nascita), solo “a titolo esemplificativo e non esaustivo”, non menziona invece gli ulteriori specifici trattamenti posti in essere mediante il sistema “Respondus”, quali il tracciamento del comportamento dello studente durante la prova (posizione del viso; disconnessioni dalla rete Internet; tentativi di utilizzare il mouse o il trackpad per passare da un’applicazione all’altra o per uscire dal sistema; applicazioni in uso), le successive elaborazioni mediante profilazione, la registrazione audio-video della prova. Né vi è menzione della fotografia scattata dal sistema all’inizio della prova allo studente, cui viene chiesto di esibire un documento di identità e di effettuare una ripresa panoramica dell’ambiente circostante.
Poi non è specificato il periodo di conservazione dei dati.
Poi non è indicato il trasferimento extra UE.
Praticamente un disastro.
TRE PUNTO QUATTRO: il testo dell’articolo 9 non esiste, per loro. Sul trattamento dei dati biometrici è stato lo stesso Ateneo a scrivere che il sistema raccoglie ed usa immagini digitali che raffigurano il volto degli stessi a fini di identificazione, autenticazione e verifica (la raccolta del template biometrico è stata confermata da Respondus Inc.). Di fatto il sistema chiede all’utente di scattarsi una foto, di sottoporla a verifica della esibizione di carta di identità e poi confronta il perdurare dell’immagine dell’esaminando nel corso della prova scritta (cioè usa dato biometrico anche se non confronta con altri database). Se sul fatto che i dato sia biometrico non ci piove, piove sul bagnato sul fatto che il consenso non sia applicabile (come lo faccio l’esame se nego il consenso?) e che non ci sia una norma vigente in Italia che autorizzi questo trattamento di dati nello svolgimento dell’interesse pubblico rilevante. Quindi la corazzata Potemkin sul profilo giuridico assurge a dimensioni galattiche.
TRE PUNTO CINQUE: hanno ignorato il concetto di profilazione e l’hanno praticata mistificandola. La componente dell’applicativo denominata “Respondus Monitor” è dotata di funzionalità che comportano la generazione di segnali di allarme che rilevano anomalie del comportamento dello studente durante la prova per verificarne la e regolarità. In particolare, il software può effettuare una analisi del comportamento tenuto dallo studente durante della prova (e.g.. posizione rispetto alla web cam, disconnessioni dalla rete Internet, applicazioni in uso, movimenti del mouse per passare da un’applicazione all’altra), consentendo al docente di visualizzare i fotogrammi rispetto ai quali il sistema abbia evidenziato una presunta anomalia. Cioè lo profila, solo che l’università pare ignorarlo.
Alla faccia della decisione automatizzata che può produrre effetti significativi sulle libertà degli individui.
TRE PUNTO SEI: altro che by design. La AGPD dichiara che dalla documentazione in atti si evince che il sistema di supervisione “Respondus” non si limita a inibire specifiche funzionalità dei dispositivi in uso agli studenti nel corso dello svolgimento dell’esame: attraverso l’estensione “Respondus Monitor”, il sistema tiene traccia del comportamento dello studente durante la prova, generando una pluralità di informazioni e dati personali relativi allo studente e alla sua condotta, il cui trattamento non risulta strettamente necessario per assicurare il regolare svolgimento e la validità della prova. Peraltro, talune di tali informazioni, come nel caso delle applicazioni in uso sul terminale dello studente, sono potenzialmente idonee a rivelare aspetti relativi alla sua vita privata. Lo fa inoltre per un periodo indeterminato e non discriminato periodo, non documentato adeguatamente nella dichiarata DPIA.
TRE PUNTO SETTE: il trasferimento fuori dal SEE, consapevole, non verificato e non controllato a valle della sentenza della CGUE del 16 luglio 2020.
TRE PUNTO OTTO: la DPIA che: “sebbene effettuata dall’Ateneo, non è stata condotta in maniera del tutto adeguata, limitandosi a illustrare le caratteristiche del sistema di supervisione utilizzato, rappresentandolo come conforme al quadro normativo in materia di protezione dei dati, senza però una puntuale valutazione “della necessità e proporzionalità dei trattamenti in relazione alla finalità” e “dei rischi per i diritti e le libertà degli interessati” anche in termini di possibile condizionamento o pressioni indirette nei confronti degli studenti, riportando giudizi di adeguatezza estremamente sintetici, privi di idonea motivazione non essendo state, pertanto, individuate, in relazione a taluni profili, appropriate misure “per affrontare i rischi” e per attenuare gli stessi”.
—
Eh niente un bel casino.
Io ne avrei dette di ogni, se mi avessero proposto un software simile. Ma come ben si sa… le donne non capiscono un tubo di software, figuriamoci in cloud e con dati strani tipo quelli che sembrano ma non si capisce se siano biometrici o traccianti (o ambedue).
…
Provate voi a fare il DPO nell’ambito dell’istruzione, formazione e alta formazione ed a progettare processi e trattamenti conformi (o software che lo garantiscono).
…
Fierissima di essere una dessina della Bocconi (e non la DPO della mia università), spero che il sistema migliori. Insciallah.
0 commenti