Il Garante per la protezione dei dai personali ha chiarito aspetti ed implicazioni privacy legati a prove d’esame e corsi on line.
Ora Università ed enti di formazione hanno a disposizioneinteressanti FAQ, diffuse nell’aprile scorso, che disciplinano come corsi ed esami a distanza devono essere organizzati per essere compliance privacy.
Legittimazione al trattamento, informativa privacy e base giuridica
Innanzitutto il Garante privacy chiarisce che Università, sia pubbliche che private, ed enti di formazione sono legittimate a trattare i dati dei partecipanti a prove d’esame e corsi che si svolgono a distanza nei limiti del quadro normativo di settore ed esclusivamente ai fini del regolare svolgimento della prova e della frequenza ai corsi.
Università ed enti di formazione, in veste di titolari del trattamento, devono naturalmente redigere un’informativa privacy chiara e trasparente (ex articoli 5, par. 1, lett. a), 12 e 13 del GDPR) da fornire agli interessati, che indichi, tra l’altro, le finalità del trattamento, la base giuridica, le modalità di svolgimento delle prove o dei corsi a distanza, l’eventuale utilizzo di sistemi di supervisione, i tempi di conservazione dei dati, i soggetti destinatari e l’eventuale trasferimento dei dati verso Paesi terzi.
Quanto alla base giuridica dei trattamenti di dati di persone fisiche (studenti, partecipanti, candidati, ecc.), finalizzati al rilascio di titoli di studio aventi valore legale, nonché di titoli abilitanti o attestati la frequenza a lezioni, corsi e attività di formazione, in genere si rinviene nella necessità di eseguire obblighi di legge o svolgere i propri compiti di interesse pubblico (articoli 6, par. 1, lett. c) ed e), e articolo 9, par. 2, lett. g), GDPR - nonché articoli 2-ter e 2-sexies, comma 2, lett. bb) e g), Codice privacy). Tali trattamenti non possono, invece, trovare fondamento in altre basi giuridiche quali il consenso, il contratto o il legittimo interesse (articolo 6, par. 1, lett. a), b) e f), GDPR).
Lo svolgimento di prove d’esame e corsi, sia pure in ambiente virtuale e a distanza, mediante strumenti telematici e piattaforme digitali, rientra tra le attività istituzionalmente assegnate a università, enti di alta formazione e altri enti abilitati, i quali sono, pertanto, legittimati a trattare i dati personali necessari all’esecuzione dei propri compiti di interesse pubblico.
Ciò deve, comunque, avvenire nei limiti del quadro normativo di settore, nella misura in cui i trattamenti di dati personali siano strettamente necessari ai fini del regolare svolgimento della prova, impiegando, ad esempio, servizi di videoconferenza o piattaforme che non consentano la raccolta di dati non pertinenti (ad esempio, la posizione geografica o i dati biometrici dei candidati), non effettuino ulteriori elaborazioni e comunque senza utilizzare funzionalità non necessarie che aggravino, in maniera ingiustificata, i rischi per i diritti e le libertà degli interessati rispetto al tradizionale svolgimento delle prove in presenza.
Ecco qui il chiaro riferimento anche al rispetto del principio di minimizzazione dei dati personali, potendo essere trattati solo dati pertinenti al trattamento in questione attraverso servizi di videoconferenza o piattaforme che devono essere costruite con adeguate misure tecniche ed organizzative ex articolo 32 GDPR.
Gli strumenti informatici utilizzati devono essere, pertanto, configurati in primis in modo da non porre in essere trattamenti non necessari, minimizzando come detto i dati personali da trattare, e parallelamente devono essere valutati i tempi dell’eventuale loro conservazione alla luce della predetta finalità d’interesse pubblico perseguita (ad esempio, impostazioni della videocamera, limitazione dell’inquadratura, risoluzione, eventuale disattivazione della registrazione ove non necessaria).
A proposito della registrazione il Garante privacy consente espressamente tale modalità. Esso chiarisce che a seconda dello specifico contesto di riferimento (numero dei partecipanti al corso o iscritti alla sessione d’esame, tipologia di corso o di prova, alternative disponibili, ecc.), il titolare potrà, altresì, valutare la necessità di effettuare una registrazione audio-video dell’esame (anche riprendendo il volto della persona che partecipa al corso o sostiene la prova, senza naturalmente estrazione di dati biometrici), individuando un congruo termine di conservazione delle registrazioni, tenuto conto, in particolare, dei termini previsti dalla legge per impugnare l’esito della prova o il mancato riconoscimento della frequenza al corso (reclamo alla commissione esaminatrice oppure ricorso al TAR), nonché prevedendo adeguate misure di sicurezza per le medesime registrazioni (ad esempio, limitazioni di accesso).
In relazione al tema della cd. “catena di approvvigionamento”, vale a dire, i rapporti con i fornitori, università ed enti di formazione, quali titolari del trattamento, nel caso in cui i sistemi, piattaforme e servizi on line in argomento siano forniti da terzi, devono comunque “estendere” il rispetto della conformità privacy a ciascun fornitore del servizio, in primis nominando il fornitore Responsabile del trattamento ai sensi dell’articolo 28 GDPR e imponendo le necessarie istruzioni. Nello specifico, il fornitore dovrà assicurare che siano, ad esempio, disattivate le funzioni che possono dare luogo a trattamenti privi di base giuridica o non compatibili con le finalità del trattamento, privilegiando il riscorso a soluzioni che si limitino a inibire specifiche funzionalità dei dispositivi in uso agli interessati nel corso dello svolgimento della prove d’esame o nel contesto della partecipazione al corso (ad esempio, impedendo l’apertura di finestre diverse da quella sui cui si svolge la prova d’esame o il corso oppure disabilitando specifiche funzionalità del sistema operativo, come l’operazione di copia e incolla), senza tenere traccia delle operazioni effettuate dagli interessati (ad esempio, delle attività sul web, delle applicazioni utilizzate, dei tasti digitati sulla tastiera e dei movimenti o click del mouse, ecc.).
Consentiti i sistemi di supervisione (c.d. “proctoring”)
I sistemi digitali di supervisione delle prove d’esame e dei corsi a distanza consistono in specifici programmi informatici funzionali alla verifica della regolare partecipazione e dello svolgimento degli stessi. In taluni casi, tali programmi possono, altresì, consentire l’identificazione di ciascuna persona fisica che partecipa al corso o sostiene la prova (c.d. “proctoring”). È possibile utilizzare tali tecnologie a patto che non si trattino dati biometrici (così come definiti dall’articolo 4, n. 14, GDPR) o la posizione geografica dei candidati.
L’’utilizzo di un sistema di proctoring incide anche sulla necessità di effettuare o meno una DPIA ex articolo 35 GDPR. Il Garante con le FAQ chiarisce, infatti, che la valutazione di impatto sulla protezione dei dati non è necessaria nei casi in cui il titolare si limiti a trattare i dati personali che sono strettamente necessari ai fini dello svolgimento di corsi o prove d’esame a distanza.
Invece, nell’ipotesi di impiego di sistemi “proctoring”, ovvero di supervisione della partecipazione ai corsi e dello svolgimento delle prove d’esame a distanza il titolare, prima di iniziare il trattamento, deve svolgere una valutazione di impatto sulla protezione dei dati, considerato l’utilizzo di nuove tecnologie e il monitoraggio sistematico che l’impiego di tali sistemi può comportare, nonché la possibile ricorrenza delle condizioni individuate dall’articolo 35, par. 3, GDPR (in particolare il monitoraggio sistematico su larga scala di una zona accessibile al pubblico o la valutazione sistematica e globale di aspetti personali). Qualora poi dalla DPIA emerga un rischio elevato residuo non mitigabile con misure adeguate, il titolare è, inoltre, tenuto a consultare preventivamente l’Autorità di controllo ai sensi dell’articolo 36 GDPR.
Vietato il trattamento di dati biometrici, della posizione geografica e la profilazione predittiva
Come detto, nel rispetto del principio di minimizzazione vanno raccolti e trattati esclusivamente dati personali pertinenti al trattamento in questione.
Su questo versante, il Garante privacy afferma a chiare lettere che non possono essere trattati dati biometrici e la posizione geografica dei partecipanti il corso on line o dei candidati all’esame svolto a distanza.
Con riferimento, in particolare, ai dati biometrici, nelle domande e risposte in commento, l’Autorità di controllo considera che, in base al quadro normativo in materia di protezione dei dati personali, il trattamento dei dati biometrici - di regola vietato, in quanto tali dati rientrano tra le categorie particolari di dati di cui all’articolo 9, par. 1, GDPR - è ammesso, in tale contesto, solo se espressamente previsto da un’idonea base giuridica che individui, tra l’altro, il motivo di interesse pubblico rilevante che giustifica il trattamento, nonché preveda specifiche garanzie a tutela degli interessati (articolo 9 GDPR e 2-sexies, commi 1 e 2, lett. bb) e g), Codice privacy).
Per tali ragioni, in assenza di una specifica base giuridica, idonea per rango e qualità (articoli 6, parr. 2 e 3, GDPR, nonché 2-ter e 2-sexies, Codice privacy), non è consentito l’utilizzo di sistemi di supervisione che comportino il trattamento di dati biometrici degli interessati (ad esempio, mediante la tecnologia di riconoscimento facciale) per l’identificazione degli stessi oppure per la rilevazione di eventi anomali (ad esempio, sostituzione di persona) nel corso delle lezioni o della prova (cfr. provv.ti 29 gennaio 2026, n. 35, doc. web n. 10221611, citato anche in Newsletter 20 febbraio 2026, doc. web n. 10222071, e 16 settembre 2021, n. 317, doc. web n. 9703988, confermato da Cass. civ., Sez. I, n. sent. n. 12967 del 13 maggio 2024 e, a seguito del rinvio, da Tribunale di Milano, sent. n. 8872, del 20 gennaio 2026).
Infine, come detto sopra, “semaforo verde” per i sistemi di “proctoring” a patto che, lo si ribadisce, non trattino dati biometrici o la posizione geografica dei soggetti e che non siano dotati di tecnologie a carattere profilatorio-predittivo. Sono infatti vietati, in assenza di idonea base giuridica, i sistemi che comportano trattamenti automatizzati di dati personali per analizzare e prevedere, anche mediante algoritmi, il comportamento dei partecipanti, come ad esempio, movimenti del corpo, frequenza dei click del mouse, operazioni compiute sulla tastiera, tentativi di accesso ad altre applicazioni, attività su Internet, al fine di elaborare indici di rischio o segnali di allerta relativi a possibili comportamenti fraudolenti.