Il Garante per la protezione dei dati personali ha sanzionato l’Università eCampus con una multa da 50.000 euro per l’utilizzo del riconoscimento facciale negli esami online senza una base giuridica adeguata e senza aver svolto la valutazione d’impatto sulla protezione dei dati. Il provvedimento impone anche la cessazione del trattamento biometrico e l’adozione di modalità alternative per verificare l’identità degli studenti.
Dati biometrici e limiti previsti dal regolamento europeo
I sistemi di riconoscimento facciale trattano dati biometrici che consentono di identificare in modo univoco una persona. Il regolamento europeo sulla protezione dei dati inserisce queste informazioni tra le categorie particolari, ammettendone l’uso solo in presenza di condizioni stringenti. Nel contesto universitario, il consenso dello studente è stato ritenuto inidoneo a legittimare il trattamento, anche alla luce del rapporto di squilibrio tra ateneo e discente quando la tecnologia diventa requisito per sostenere l’esame. Senza una base normativa specifica, l’utilizzo di strumenti biometrici per il proctoring digitale espone quindi a un rischio elevato di violazione.
Valutazione d’impatto e responsabilità nel settore e-learning
Il secondo profilo riguarda l’assenza della valutazione d’impatto sulla protezione dei dati, richiesta nei trattamenti che presentano rischi elevati per i diritti e le libertà delle persone. L’analisi preventiva serve a verificare necessità, proporzionalità e adeguatezza delle misure tecniche e organizzative adottate. Nel caso di sistemi di riconoscimento facciale applicati su larga scala agli esami online, questa valutazione rappresenta uno snodo centrale della responsabilità del titolare del trattamento. La sua omissione costituisce una violazione autonoma.
Il Garante ha richiamato anche il principio di proporzionalità. Garantire la regolarità delle prove a distanza è una finalità legittima, ma richiede strumenti coerenti con il principio di minimizzazione dei dati. L’impiego di tecnologie biometriche implica un livello di intrusività elevato e necessita di una giustificazione solida e documentata. In assenza di tali presupposti, l’autorità ha ordinato il ricorso a modalità alternative di identificazione che non comportino il trattamento di dati biometrici.
La decisione ha effetti che superano il singolo caso. Il settore dell’istruzione digitale è cresciuto rapidamente, soprattutto negli anni in cui l’e-learning ha sostituito la didattica in presenza. Molte soluzioni di proctoring sono state integrate con logiche tecnologiche avanzate, inclusi sistemi basati su intelligenza artificiale. Questo provvedimento ricorda che la compliance deve precedere l’implementazione tecnica. La progettazione dei servizi digitali, in particolare quando coinvolge dati sensibili, richiede una valutazione giuridica strutturata e documentata fin dall’inizio.
Per università, piattaforme formative e fornitori di software, il tema riguarda la governance interna, la gestione dei rischi e la capacità di coniugare innovazione e tutela dei diritti. L’equilibrio tra controllo delle prove, affidabilità dei sistemi e protezione dei dati personali incide direttamente sulla fiducia degli studenti e sulla sostenibilità dei modelli di business nel lungo periodo.
