Il Garante per la protezione dei dati personali ha pubblicato una serie di FAQ aggiornate per fare chiarezza sul delicato equilibrio tra la regolarità delle attività didattiche a distanza e il diritto alla riservatezza di studenti e lavoratori.
Il documento fornisce risposte definitive sull’utilizzo di sistemi di sorveglianza durante le prove d’esame e i corsi di formazione presso università ed enti di istruzione.
Limiti e modalità della formazione a distanza
Le università e gli enti di formazione sono pienamente legittimati a svolgere esami e corsi in modalità digitale, ma il trattamento dei dati deve restare strettamente confinato alle finalità istituzionali.
Il Garante sottolinea l’importanza di scegliere piattaforme che rispettino il principio di minimizzazione dei dati:
- Sì all’uso di servizi di videoconferenza standard per la verifica della presenza e dell’identità.
- No alla raccolta di dati non pertinenti, come la posizione geografica (geolocalizzazione) dei partecipanti.
- Divieto assoluto di acquisizione di dati biometrici (come impronte digitali o scansioni facciali per riconoscimento automatico).
Sistemi di “Proctoring” e responsabilità del Titolare
Quando si decide di utilizzare sistemi di supervisione remota (il cosiddetto proctoring), la responsabilità ricade interamente sul Titolare del trattamento (l’università o l’ente).
Anche se il software è fornito da terzi, spetta all’istituzione garantire che lo strumento sia conforme alla disciplina privacy.
La valutazione sulla necessità di effettuare registrazioni audio-video deve essere proporzionata:
- Deve tenere conto del numero di partecipanti e della tipologia di prova.
- Può prevedere la ripresa del volto, ma senza estrazione di parametri biometrici.
- Deve stabilire tempi di conservazione delle immagini congrui e limitati nel tempo.
Il divieto di monitoraggio algoritmico del comportamento
Il Garante pone un fermo divieto verso i sistemi che utilizzano algoritmi per prevedere o analizzare il comportamento dei candidati.
Non sono ammessi trattamenti automatizzati volti a elaborare “indici di rischio” basati su:
- Movimenti del corpo e direzione dello sguardo.
- Frequenza dei click del mouse o analisi della digitazione sulla tastiera.
- Monitoraggio delle attività su internet o tentativi di accesso ad altre app durante la prova.
Queste pratiche sono considerate eccessive e invasive, poiché profilano l’individuo in modo non conforme ai principi di dignità e libertà previsti dal GDPR.
Per consultare il testo integrale delle risposte e approfondire i singoli casi, le FAQ sono disponibili sul sito ufficiale del Garante all’indirizzo www.gpdp.it.
