Civile

AI e privacy, Università sanzionata dal Garante per illegittimo utilizzo dei dati biometrici degli studenti

Con la sentenza n. 12967/2024, la Corte di Cassazione confermava il provvedimento del Garante in ordine alla configurazione del trattamento dei dati biometrici vietato, in linea generale, dall’art. 9 GDPR

Social Network Concept with a Group of a Businesspeople

di Alessandro Candini*

Con la recente sentenza pubblicata il 13 maggio 2024 n. 12967, la prima sezione civile della Corte di Cassazione si è espressa su un interessante caso, relativo all’utilizzo di sistemi di intelligenza artificiale da parte di una importante università italiana.

Nel caso esaminato, l’università utilizzava un programma finalizzato ad accertare eventuali scorrettezze da parte degli studenti, nell’ambito dello svolgimento degli esami a distanza.

In particolare, il software utilizzato catturava le immagini video e la schermata dello studente, contrassegnando con un flag i momenti in cui erano rilevati comportamenti insoliti o sospetti mediante registrazione video e istantanee scattate a intervalli casuali, per tenere traccia di comportamenti anomali.

Al termine della prova, il sistema elaborava il video, inserendo segnali di allerta in merito a possibili indici di comportamenti scorretti, affinché il docente potesse poi valutare se effettivamente fosse stata commessa un’azione non consentita nel corso della prova.

A seguito del reclamo di uno studente, con provvedimento n. 317/2021 il Garante per la protezione dei dati personali sanzionava l’università comminando una sanzione di 200.000 euro, ritenendo, tra le pluralità di violazioni rilevate, che il programma utilizzato implicasse un trattamento di dati personali biometrici, in linea generale vietato dall’art. 9 del Regolamento UE 679/2016 (c.d. GDPR), posto a presidio delle particolari categorie di dati personali c.d. sensibili.

Come è noto, i dati biometrici sono quei dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.

Il Tribunale di Milano annullava parzialmente il provvedimento del Garante, diminuendo notevolmente la sanzione, da 200.000 euro a 10.000 euro, ritenendo che il trattamento attuato mediante il programma dell’università non concernesse dati biometrici, ma semplici dati comuni, trattandosi di fotografie o registrazioni video, esaminati dal docente al termine della prova.

Secondo il Tribunale, quindi, lo studente esaminato dal software non sarebbe stato identificato attraverso i suoi dati biometrici raccolti e trattati dal programma, ma dal docente chiamato a vagliare il video finale.

La Corte di Cassazione annullava la sentenza del Tribunale di Milano, confermando il citato provvedimento del Garante.

In particolare, la Corte di Cassazione stabiliva che, sebbene il trattamento di fotografie non costituisca, di per sé, un trattamento di categorie particolari di dati personali, si configura un trattamento di dati biometrici quando le fotografie sono trattate attraverso un dispositivo tecnico specifico che consenta l’identificazione univoca o l’autenticazione di una persona fisica.

Secondo la Corte, nel caso del programma utilizzato dall’università, le riprese video e le foto realizzate non avevano solo la funzione di documentare la prova di esame, ma si connotavano per la contestuale elaborazione e selezione del materiale raccolto, selezione che convergeva nella individuazione e nella segnalazione di comportamenti anomali, attraverso la produzione del video finale.

La complessiva attività realizzata dal programma integrava dunque un autonomo e articolato trattamento dei dati biometrici acquisiti ed elaborati dallo stesso software, confermando inoltre l’identità della persona fisica esaminata, in quanto l’esito di detta elaborazione era sottoposto solo in un secondo momento al docente per la sua valutazione in ordine alla regolarità della prova.

La sentenza della Corte evidenzia come l’uso di dati biometrici, in particolare il riconoscimento facciale, comporti maggiori rischi per i diritti degli interessati.

Come affermato nelle linee Guida dell’European Data Protection Board n. 3/2019, è allora fondamentale che il ricorso a tecnologie biometriche avvenga nel rispetto dei principi di liceità, necessità, proporzionalità e minimizzazione dei dati personali.

Sebbene l’uso di tecnologie biometriche possa essere percepito come particolarmente efficace, i titolari del trattamento dovrebbero sempre valutare preliminarmente l’impatto sui diritti e sulle libertà fondamentali, prediligendo mezzi meno intrusivi.

______

*A cura di Alessandro Candini, DigitalMediaLaws

Per saperne di piùRiproduzione riservata ©