Il contesto: l’uso di dati biometrici negli esami online
Negli ultimi anni, l’utilizzo di tecnologie per la sorveglianza durante gli esami online è diventato sempre più diffuso, soprattutto in seguito alla pandemia di COVID-19 che ha accelerato la transizione verso la digitalizzazione della didattica. Molte università hanno adottato software di proctoring, strumenti progettati per monitorare gli studenti durante lo svolgimento degli esami attraverso webcam, microfoni e, in alcuni casi, l’analisi di dati biometrici.
Questi sistemi promettono di garantire l’integrità degli esami rilevando comportamenti sospetti, movimenti irregolari e persino identificando i candidati attraverso il riconoscimento facciale. Tuttavia, l’uso di tali strumenti ha sollevato importanti questioni legate alla tutela della privacy, alla gestione dei dati personali e alla proporzionalità delle misure adottate rispetto ai diritti degli studenti.
La situazione si complica ulteriormente quando i dati raccolti da questi software vengono trasferiti e conservati su server esteri, come spesso accade con i fornitori internazionali di queste tecnologie. Questo scenario ha portato al coinvolgimento della Corte di Cassazione, chiamata a esprimersi su una vicenda che evidenzia la tensione tra la necessità di sorveglianza e il rispetto della normativa sulla protezione dei dati personali.

La vicenda giudiziaria: il caso analizzato dalla Cassazione
Il caso in questione (Cass. n. 12967/2024) coinvolge una studentessa universitaria che aveva sollevato obiezioni circa l’utilizzo di un software di proctoring da parte del suo ateneo. La studentessa contestava il fatto che il sistema utilizzato per monitorare gli esami richiedesse la scansione di dati biometrici, come l’immagine del volto, e che tali dati fossero trasferiti su server situati in paesi extra-UE.
Uno degli aspetti più controversi era la mancata trasparenza dell’ateneo riguardo al trattamento dei dati personali. Gli studenti non erano stati adeguatamente informati sulle modalità di utilizzo dei loro dati, sul periodo di conservazione e sulle misure di sicurezza adottate per proteggerli. Inoltre, secondo la ricorrente, il trattamento dei dati biometrici era sproporzionato rispetto alla finalità perseguita, ossia la prevenzione di comportamenti illeciti durante gli esami.
La questione è stata portata all’attenzione della Corte di Cassazione, che ha esaminato il caso alla luce del Regolamento Generale sulla Protezione dei Dati (GDPR), con particolare riferimento ai principi di liceità, trasparenza e proporzionalità del trattamento dei dati personali.
La decisione della Cassazione: linee guida per la tutela della privacy
La Cassazione ha stabilito che l’utilizzo di software di sorveglianza basati sull’analisi di dati biometrici deve rispettare rigorosamente i principi sanciti dal GDPR. In particolare, la Corte ha evidenziato tre aspetti chiave:
- Liceità del trattamento: il trattamento di dati biometrici, essendo una categoria di dati particolarmente sensibile, richiede una base giuridica solida e non può essere giustificato solo dall’interesse dell’ateneo a garantire la regolarità degli esami.
- Trasparenza: l’università ha l’obbligo di fornire agli studenti un’informativa completa e chiara sul trattamento dei dati, specificando le finalità, i tempi di conservazione e l’eventuale trasferimento a paesi terzi. La mancata trasparenza costituisce una violazione del diritto degli interessati a essere informati.
- Proporzionalità: il trattamento dei dati deve essere proporzionato rispetto alla finalità perseguita. Secondo la Cassazione, l’utilizzo di dati biometrici per sorvegliare gli studenti rappresenta una misura eccessiva, soprattutto in assenza di alternative meno invasive.
La Corte ha inoltre sottolineato che il trasferimento di dati biometrici verso paesi extra-UE richiede adeguate garanzie, come la presenza di accordi che garantiscano un livello di protezione equivalente a quello europeo. In questo caso, tali garanzie non erano state fornite, determinando un’ulteriore violazione del GDPR.
Implicazioni pratiche per le università e gli operatori del settore
La sentenza della Cassazione ha importanti ripercussioni sia per gli atenei che per i fornitori di software di proctoring. Le università devono rivedere le proprie procedure per assicurarsi che il trattamento dei dati personali degli studenti sia conforme alla normativa sulla privacy. Questo significa:
- Rivalutare le tecnologie utilizzate: è necessario privilegiare sistemi che non richiedano il trattamento di dati biometrici o che limitino al minimo indispensabile la raccolta di informazioni personali.
- Migliorare la trasparenza: l’informativa sul trattamento dei dati deve essere redatta in modo chiaro e comprensibile, evitando tecnicismi che possano confondere gli studenti.
- Garantire la sicurezza dei dati: se i dati devono essere trasferiti a fornitori terzi, è essenziale che siano adottate misure tecniche e organizzative adeguate per prevenire accessi non autorizzati e perdite di informazioni.
D’altro canto, i fornitori di software di proctoring devono adeguare i propri strumenti alle esigenze normative, implementando funzioni che garantiscano la privacy degli utenti e limitino l’uso di tecnologie invasive come il riconoscimento facciale.
Questa sentenza rappresenta anche un monito per altre realtà che operano nel settore della formazione digitale. Con l’aumento dell’uso di tecnologie di sorveglianza, il rischio di violazioni della privacy è destinato a crescere, rendendo fondamentale un approccio più responsabile e conforme alla normativa.
In conclusione, la decisione della Cassazione ribadisce che la tecnologia, per quanto utile, non può mai prevaricare i diritti fondamentali degli individui. Gli atenei e i fornitori di servizi devono collaborare per sviluppare soluzioni che rispettino la dignità e la privacy degli studenti, garantendo al contempo l’integrità degli esami online. Solo attraverso un equilibrio tra innovazione e tutela dei diritti sarà possibile costruire un sistema educativo digitale sostenibile e giusto per tutti.