La Corte di Cassazione si è espressa su un caso relativo all’utilizzo dell’intelligenza artificiale da parte di un importante Università Italiana (Bocconi) per tenere sotto controllo gli esami a distanza: confermata la sanzione.
La vicenda: sanzione all’Università Bocconi
Con provvedimento n.317/2021, il Garante per la Protezione dei Dati Personali, a seguito di un reclamo di uno studente, aveva emesso una sanzione all’Università Bocconi di 200.000 euro. Questo perché aveva utilizzato un programma per scovare eventuali scorrettezze da parte degli studenti durante lo svolgimento degli esami a distanza. Per farlo, però, erano state messe in atto alcune violazioni, tra cui il trattamento di dati personali biometrici.
I dati biometrici sono i dati personali ottenuti da un trattamento tecnico specifico e riguardano le caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, ad esempio l’immagine facciale o i dati dattiloscopici.
Il Tribunale di Milano, ritenendo che il trattamento attuato mediante il programma dell’Università non riguardasse dati biometrici ma comuni, aveva annullato parzialmente il provvedimento del Garante, diminuendo la sanzione da 200.000 euro a 10.000 euro. Questo perché, secondo il Tribunale, lo studente non sarebbe stato identificato attraverso i suoi dati biometrici raccolti e trattati dal programma, ma dal docente chiamato a vagliare il video finale.
Per saperne di più > Garante Privacy: no al riconoscimento facciale sul lavoro
Per approfondire > Rilevazione impronte digitali sul posto di lavoro: intervento del Garante
Cosa catturava il software?
In particolare, il software impiegato catturava immagini video e screenshot dello studente. In seguito, segnava con un flag i momenti in cui venivano rilevati comportamenti insoliti o sospetti. Questo avveniva tramite registrazioni video e scatti di istantanee a intervalli casuali, per monitorare eventuali attività anomale.
Finita la prova, il sistema elaborava il video inserendo segnali di allerta. In questo modo il docente poteva valutare se gli studenti commettevano azioni non consentite durante la prova.
Per approfondire > Riconoscimento facciale: l’Italia tra i primi paesi a vietarlo
La parola alla Corte di Cassazione
Con la sentenza del 13 maggio 2024, la Corte di Cassazione ha annullato la sentenza del Tribunale di Milano, confermando il provvedimento del Garante: multa di 200.000 euro per l’Università Bocconi.
La Corte di Cassazione ha confermato che il trattamento di fotografie non rappresenta un trattamento di dati appartenenti a categorie particolari. Tuttavia, si configura come trattamento di dati biometrici quando tali fotografie sono elaborate mediante un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica.
Secondo la Corte, le riprese video e le foto realizzate non avevano solo la funzione di documentare la prova d’esame, ma elaboravano e selezionavano anche il materiale raccolto. Attraverso la selezione, infatti, venivano individuati e segnalati i comportamenti anomali.
L’attività realizzata dal programma riguardava dunque un autonomo e articolato trattamento dei dati acquisiti ed elaborati dallo stesso software. La sentenza della Corte mette in luce come l’uso di dati biometrici comporti maggiori rischi per i diritti degli interessati.
Anche se usare tecnologie biometriche può essere percepito come una misura molto efficace, i titolari del trattamento dovrebbero sempre valutare in anticipo l’impatto sui diritti e sulle libertà fondamentali. La cosa migliore sarebbe prediligere mezzi meno invasivi.
Cerchi un esperto privacy a cui affidarti?
O necessiti di una consulenza specifica per la tua organizzazione?