Considerazioni sul controllo a distanza nell’attività amministrativa tra l’attualità e il futuro dell’utilizzo del “proctoring” nei Concorsi: la decisione del Garante della Privacy resa con provvedimento n. 317 del 16 settembre 2021
Il Garante della privacy è intervenuto di recente, su segnalazione di uno studente, in merito all’utilizzo di un sistema di gestione degli esami a distanza adottato dall’Università Bocconi che prevede il controllo dei movimenti dello studente esaminato, in relazione all’utilizzo illegittimo di testi o alla presenza di suggeritori nel corso dell’esame.
Il software Respondus Monitor fornito dalla società Respondus Inc. (stabilita negli Stati Uniti d’America) in particolare cattura le immagini video e lo schermo dello studente identificando e contrassegnando con un flag i momenti in cui sono rilevati comportamenti insoliti e/o sospetti mediante registrazione video e istantanee scattate a intervalli casuali per tenere traccia di comportamenti anomali quali: sguardo non rivolto verso il monitor, volto parzialmente assente dalla foto, volto mancante.
Nella decisione vengono analizzati articolatamente vari aspetti che fanno del relativo dispositivo un vero e proprio punto di riferimento nell’analisi giuridica dei vari sistemi di “proctoring” che si vanno diffondendo nella Pubblica Amministrazione e nella gestione degli esami universitari e, ultimamente, nella gestione dei concorsi pubblici Più specificatamente oggetto delle censure del Garante sono le caratteristiche e quindi le carenze dell’Informativa sul trattamento, la natura dei dati che vengono trattati, Dati Biometrici, nonché la proporzione del trattamento di tali dati rispetto alla finalità amministrativa perseguita.
Con ciò in questa sede ci si vuole soffermare sugli aspetti di maggior rilievo ed interesse rispetto al tema in oggetto dei concorsi pubblici da remoto, attraverso la facile interpretazione estensiva delle decisioni del Garante inerenti gli esami universitari da remoto.
In primo luogo la censura sull’Informativa: “Dall’esame della documentazione in atti risulta che l’informativa sul trattamento dei dati personali fornita agli studenti, non riporta tutte le informazioni richieste dal Regolamento per assicurare un trattamento corretto e trasparente”.
In particolare viene vagliata criticamente la circostanza del trasferimento dei dati negli USA essendo il Sistema proprietario collocato proprio in tale Stato con violazione oggettiva del contenuto della Sentenza Schrems II Corte di giustizia dell'Unione europea (CGUE, 16 luglio 2020), che ha fatto venir meno la validità del c.d. Privacy Shield, ritenendo non conformi al disposto normativo europeo i trattamenti svolti negli Stati Uniti (salvo che agli stessi non siano applicate le garanzie ulteriori previste dal GDPR, come clausole contrattuali standard). Il trasferimento dei dati negli USA era peraltro totalmente mancante nell’Informativa Ulteriore aspetto di più ampio respiro, poichè elevantesi a vero e proprio principio, è il rilievo che gli strumenti di proctoring e di controllo a distanza automatizzato “non devono essere indebitamente invasivi e comportare un monitoraggio dello studente eccedente le effettive necessità”.
“Sotto tale punto di vista il sistema non comporta l’identificazione del candidato, effettua comunque un trattamento di dati biometrici che consiste nella raccolta, elaborazione e analisi del video prodotto dal software tramite un algoritmo di intelligenza artificiale al fine di produrre i flag. Per tale motivo, il consenso dello studente non può essere la base giuridica per autorizzare il trattamento dei dati biometrici né può ritenersi una manifestazione di volontà libera in ragione dello squilibrio della posizione degli studenti rispetto al titolare del trattamento”.
Il Garante continua affermando che “Nell’ordinamento vigente non si rinviene una disposizione normativa che espressamente autorizzi il trattamento dei dati biometrici per le finalità delle verifica della regolarità delle prove d’esame”; ne deriva che “il trattamento dei dati biometrici in questione risulta avvenuto in assenza di idonea base giuridica”.
La conseguente sanzione verso l’Università Bicocca per 200.000 €, rappresenta la conseguenza della severità delle censure del Garante verso gli strumenti di controllo a distanza negli esami con la previsione sostanziale di una illegittimità assoluta del trattamento di dati biometrici in tali fattispecie, a fronte dell’evidente sproporzione del loro utilizzo rispetto alla finalità didattico amministrativa.
***
Gli effetti di tale decisione sul fronte dei concorsi in cui prove svolte direttamente On Line con il sistema del proctoring, sia per gli scritti (prettamente prove a test) sia per gli orali, stanno diventando una prassi soprattutto in relazione all’emergenza pandemica, sono una naturale conseguenza del carattere procedurale amministrativo delle selezioni pubbliche e della loro finalità selettiva per il reclutamento del personale nella PA Pertanto è possibile stabilire delle prime linee interpretative nei concorsi quanto all’utilizzo di tali strumenti che prima facie appaiono, sulla base della Decisione del Garante, fatte salve ulteriori decisioni in via impugnativa e giudiziaria, fuori norma. Ciò in carenza di una previsione normativa che permetta l’utilizzo dei dati biometrici nei concorsi.
Ulteriore è poi l’aspetto dell’ottemperanza alle norme sulla privacy da parte delle imprese che svolgono tale servizio in ordine alla progettazione dei sistemi, in ordine agli oneri gestionali inerenti il personale impegnato in attività di proctoring (anche attraverso forme di controllo da remoto senza l’utilizzo degli strumenti di intelligenza artificiale) ed in ordine alla gestione e conservazione dei dati raccolti. Ciò per le conseguenze amministrative dell’attività di proctoring: si pensi al caso di un atto di esclusione di un candidato per effetto di segnalazione dal proctoring con la necessità, da una parte, che la Commissione visioni i filmati e. dall’altra, che adotti il relativo provvedimento in relazione alle norme gestionali dei concorsi previste nel DPR 487/1994.
Insomma tali sistemi vanno ad insistere, oltre che su aspetti legati alla privacy, anche su aspetti procedurali tipici dei concorsi a cui i sistemi si devono attagliare “by design” cioè al momento della loro stessa progettazione Dal lato dell’Amministrazione poi avvalersi di tali Società attraverso l’esternalizzazione non vuol dire esimersi da responsabilità procedurali legate alla tutela della riservatezza che solamente un capitolato di gara accurato può garantire.
Concludendo, appare necessaria per l’utilizzo di tali strumenti innanzitutto una previsione normativa di carattere generale che legittimi il trattamento di dati di questo tipo nelle azioni concorsuali di proctoring, poi dei sistemi realizzati a norma ed infine una capacità selettiva delle amministrazioni che attenga alla regolazione interna, agli affidamenti esterni dei servizi selettivi, alla gestione dei concorsi in termini di integrazione di funzione dei sistemi ed operazioni concorsuali svolte dalla commissione.
Lo stop del Garante allora va visto come uno stimolo al legislatore di proporre nuove previsioni sulla tematica ed al gestore dei concorsi di non improvvisare sperimentalmente soluzioni, i cui effetti amministrativi e sanzionatori possono essere di vero danno sia dal lato interno sia soprattutto dal lato esterno del cittadino.
Pubblicato su Il Sole 24 Ore del 23 dicembre 2021
