- Data breach, Garante Privacy sanziona Postel per 900mila euro Una vulnerabilità, nota da tempo, ha reso inadeguate le misure di sicurezza e agevolato l’attacco
- Garante: stop al software che accede all’email del dipendente Sanzione di 80mila euro a un’azienda che effettuava i backup durante il rapporto di lavoro
- Calendario Corsi Videoconferenza Novembre – Dicembre 2024
- Le prime indicazioni dell’Ispettorato sulla patente a crediti
- D.lgs. resilienza dei soggetti critici, ok del Garante ma più tutele per la privacy
- Dal Garante Privacy sanzione di 5mln di euro a un fornitore di luce e gas Agenti porta a porta attivavano contratti non richiesti a clienti ignari
- Calendario Corsi Videoconferenza Settembre – Ottobre 2024
- L’obbligo di impedire l’instaurarsi di prassi di lavoro non sicure
- L’obbligo di Vigilanza del Datore di Lavoro sul comportamento del Preposto
- Telemarketing, dal Garante sanzione di oltre 6 milioni di euro a Eni Plenitude Dei 747 contratti stipulati in una “settimana campione”, 657 sono arrivati da un contatto illecito
- Il tempo di cui l’RSPP deve disporre per poter svolgere i suoi compiti
- GDPR e intelligenza artificiale, il Report della task force europea su ChatGPT
- Concorsi della P.A.: online solo le graduatorie definitive dei vincitori Il Garante sanziona l’INPS per illecita diffusione di dati personali
- Calendario Corsi Videoconferenza Giugno – Luglio 2024
- Telemarketing: dal Garante Privacy sanzioni di 100mila euro a due gestori di energia Telefonate senza consenso e attivazione di contratti non richiesti
- Lavoro: Garante Privacy, il dipendente ha il diritto di accedere ai propri dati Sanzione di 20mila euro ad una banca
- GDPR: L’ importante ruolo del “Referente privacy”
- Pa: trasparenza siti, il Garante Privacy chiede più tutele per i dati personali
- Dossier sanitario: il Garante Privacy sanziona una Asl
- Quando il preposto è ritenuto responsabile dell’infortunio accaduto a un lavoratore
Maxi multa di 200mila euro alla Bocconi per gli esami con il ‘riconoscimento facciale’
Un consenso in realtà praticamente inutile. Un’incertezza sui tempi inammissibile. E un rischio per il trasferimento dei dati all’estero evidentemente sottovalutato. L’università Bocconi di Milano è stata multata dal garante per la protezione dei dati personali con una sanzione di 200mila euro per l’utilizzo, poco trasparente e non corretto, di un sistema di “controllo” per gli esami a distanza durante i mesi più duri dell’emergenza coronavirus, quando gli Atenei erano stati chiusi e gli studenti erano stati costretti a partecipare agli appelli da casa.
Nel mirino del garante, secondo quanto risulta a MilanoToday, è finito l’impiego di due software della società americana “Respondus Inc”, due strumenti di “proctoring” necessari, secondo l’università, per aiutare i docenti nella supervisione delle verifiche scritte e utilizzati da un altro migliaio di atenei. Il primo, “Lockdown browser”, è stato utilizzato sostanzialmente per bloccare tutte le altre attività sui computer di ragazze e ragazzi, evitando così possibili scorciatoie. Il secondo, “Respondus monitor”, è stato usato invece come una sorta di videocamera sempre attiva per tenere d’occhio gli studenti e segnalare, con dei “flag”, eventuali comportamenti anomali come lo sguardo non rivolto verso il computer, l’assenza dal monitor o la “non corrispondenza” tra la foto scattata all’inizio del test – con documento in mano – e quello che la webcam registra.
A sollevare la questione privacy e trattamento dei dati è stato Joseph Donat Bolton, uno studente inglese di 21 anni, che lo scorso luglio si è laureato in scienze politiche e che a fine aprile 2020 – poco dopo che i software “Respondus” erano stati introdotti – ha deciso di rivolgersi al garante. Garante che, nel suo provvedimento, il numero 317 del 21 settembre, è abbastanza duro nei confronti dell’università meneghina.
Nella sentenza viene infatti sottolineato che “tali sistemi non devono essere indebitamente invasivi e comportare un monitoraggio dello studente eccedente le effettive necessità”. Ma soprattutto sono rimarcate tutte le mancanze dell’informativa che gli studenti hanno dovuto accettare dal sito della Bocconi prima di poter sostenere gli esami con i due software di “Respondus Inc”. Non vi “è menzione della fotografia scattata dal sistema all’inizio della prova allo studente, cui viene chiesto di esibire un documento d’identità e di effettuare una ripresa panoramica dell’ambiente circostante”, ha evidenziato il garante. E ancora: “Il testo non indica gli specifici tempi di conservazione dei dati personali” – cinque anni per il fornitore, uno su richiesta della Bocconi – e “l’informativa non menziona che i dati personali sono oggetto di trasferimento negli Stati Uniti d’America”, un problema non di poco conto perché è proprio il garante a sottolineare come il livello di tutela della privacy sia di livello inferiore oltreoceano.
Da qui la certezza, secondo l’autorità, che “il trattamento posto in essere dall’ateneo non può ritenersi conforme al principio di liceità, trasparenza e correttezza non essendo stati forniti tutti gli elementi informativi”. Anche perché – per una questione “tecnica” – un consenso non basta per usare dati biometrici come quelli che, sempre secondo il provvedimento, sono stati utilizzati con l’impiego dei sowtfare. “È possibile affermare che Respondus monitor effettua un trattamento tecnico specifico di una caratteristica fisica degli interessati per confermare la presenza e la coincidenza dell’interessato per tutta la durata della prova. Seppur il sistema non comporta l’identificazione del candidato, effettua comunque un trattamento di dati biometrici che consiste nella raccolta, elaborazione e analisi del video prodotto dal software tramite un algoritmo di intelligenza artificiale al fine di produrre i flag”, ha messo nero su bianco il garante.
“Per tale motivo, il consenso dello studente non può essere la base giuridica per autorizzare il trattamento dei dati biometrici né può ritenersi una manifestazione di volontà libera in ragione dello squilibrio della posizione degli studenti rispetto al titolare del trattamento”, anche perché la soluzione alternativa proposta era la possibilità di svolgere gli esami in presenza, in un periodo di covid. “Nell’ordinamento vigente non si rinviene una disposizione normativa che espressamente autorizzi il trattamento dei dati biometrici per le finalità delle verifica della regolarità delle prove d’esame” e quindi – ha concluso l’autorità – “il trattamento dei dati biometrici in questione risulta avvenuto in assenza di idonea base giuridica”. Da qui la decisione di sanzionare l’università milanese con 200mila euro di multa e di ordinare lo stop all’utilizzo dei software finiti nella lente del garante.
https://www.milanotoday.it/attualita/multa-bocconi-esami-privacy.html?fbclid=IwAR3UP_PzVcKMvpFtSdhS8G5Uo6lsS52y2Pb5mrDNAYa63Eo3mVfEgDmwGM8
Fonte: milanotoday.it