GARANTE PRIVACY V. BOCCONI: LA CASSAZIONE DECIDE.

Con la sentenza pubblicata il 13 maggio 2024 n. 12967, la prima sezione civile della Corte di Cassazione si è espressa sull’utilizzo di sistemi di intelligenza artificiale: l’uso della tecnologia per la supervisione degli esami deve essere accompagnato da una rigorosa valutazione dell’impatto sulla protezione dei dati e da misure di sicurezza documentate e accessibili.

Nel 2021, l’Università Bocconi nel corso degli esami a distanza aveva utilizzato il software “Respondus”, attraverso il quale raccoglieva e analizzava dati biometrici come video e foto degli studenti. Con provvedimento n. 317 del 16 settembre 2021, aveva ritenuto che l’Università violasse gli artt. 5, par. 1, lett. a), c) ed e), 6, 9, 13, 25, 35, 44 e 46, del GDPR, nonché l’art. 2-sexies del Codice privacy, e aveva disposto, nei confronti dell’Università, prescrizioni atte a conformare il trattamento al GDPR ed inflitto alla stessa una sanzione amministrativa pecuniaria di € 200.000 nonché quella accessoria della pubblicazione del provvedimento medesimo sul sito web del Garante.

Il provvedimento era stato poi impugnato dinnanzi al Tribunale di Milano che aveva sostanzialmente accolto le ragioni della Bocconi e ridotto la sanzione a 10.000 € ritenendo che la raccolta di queste immagini non configurasse il trattamento di dati biometrici, ma di dati comuni, e che il confronto del modello biometrico non fosse attuato dal software.

Sotto altro profilo, il Tribunale di Milano aveva ritenuto che l’accordo in essere con la società fornitrice, Respondus Inc., impedisse il trasferimento internazionale di dati personali e che il rispetto delle previsioni (che prevedevano la pseudonomizzazione dei dati) fosse idoneo a garantire agli interessati una tutela adeguata rispetto agli standard europei. La decisione del Tribunale di Milano era impugnata dall’Autorità Garante dinnanzi alla Corte di Cassazione. Con la sentenza 12967/2024, La Corte, riconoscendo la validità

delle preoccupazioni del Garante riguardo al trattamento dei dati biometrici e alla protezione dei dati personali degli studenti, ha ribaltato la decisione del Tribunale di Milano, stabilendo che:

–   il trattamento dei dati biometrici include qualsiasi elaborazione automatizzata di caratteristiche fisiche, fisiologiche o comportamentali per identificare una persona in modo univoco;

–   le misure di sicurezza devono essere specifiche e accessibili alle parti interessate; e

–   il trasferimento internazionale dei dati deve rispettare le clausole contrattuali standard, garantendo una protezione adeguata agli standard europei, ordinando al Tribunale di Milano di riesaminare la questione.

Questa decisione evidenzia l’importanza della protezione dei dati personali e delle normative europee, specialmente in contesti educativi e di monitoraggio remoto. Le istituzioni educative devono garantire che qualsiasi tecnologia utilizzata sia conforme agli standard del GDPR, proteggendo i diritti degli studenti e assicurando trasparenza e fiducia nel sistema educativo ed è irrilevante la circostanza che l’esito finale del trattamento sia successivamente sottoposto alla verifica finale di una persona fisica.

L’uso della tecnologia per la supervisione degli esami deve essere accompagnato da una rigorosa valutazione dell’impatto sulla protezione dei dati e da misure di sicurezza documentate e accessibili. Questo caso sottolinea l’importanza di una gestione attenta e consapevole dei dati biometrici, con implicazioni legali ed etiche significative per tutte le istituzioni che trattano informazioni personali sensibili.

DISCLAIMER: Questa newsletter fornisce solo informazioni generali e non costituisce una consulenza legale da parte di Macchi di Cellere Gangemi. L’autore dell’articolo o il vostro contatto in studio sono a Vostra disposizione per qualsiasi ulteriore chiarimento.