Università multata per violazioni del GDPR per gli esami online durante il COVID

In seguito all'emergenza pandemica, una rinomata università si è trovata al centro di una controversia legata alla modalità di svolgimento degli esami attraverso i sistemi di videoconferenza. Per garantire l'integrità delle prove, l'istituto aveva infatti adottato un software fornito da una società terza, progettato per verificare l'autenticità delle prove e ridurre al minimo i rischi di manipolazione.

Tuttavia, un'indagine condotta dal Garante Privacy su segnalazione di uno studente ha rivelato diverse violazioni del regolamento GDPR in materia di protezione dei dati personali. Il Garante ha contestato l'utilizzo di un sistema di supervisione "proctoring" per identificare gli studenti e monitorarne il comportamento durante gli esami in videoconferenza, rilevando un trattamento non conforme alla normativa europea.

Il Garante ha così emesso una sanzione amministrativa di 200mila euro nei confronti dell'università, insieme alla pubblicazione del provvedimento sul sito web dell'autorità.

Tuttavia, il Tribunale ha parzialmente accolto il ricorso presentato dall'università contro la decisione del Garante. Secondo il Tribunale, l'attività del software utilizzato non costituiva un trattamento di dati biometrici, poiché la semplice acquisizione di foto o video non implicava l'elaborazione di dati biometrici. Il Tribunale ha sottolineato che il controllo finale da parte del docente non escludeva il trattamento automatizzato di tali dati.

Ad ogni modo, la sentenza ha confermato il divieto di trasferire i dati personali degli studenti negli Stati Uniti d'America, dove aveva sede la società fornitrice del software senza adeguate garanzie informative, riducendo la sanzione pecuniaria a 10mila euro.

La disputa non si è però chiusa qui. Il Garante ha presentato ricorso per la cassazione della sentenza, contestando l'interpretazione errata del Tribunale riguardo al trasferimento internazionale dei dati personali.

La Suprema Corte ha ribadito l'importanza delle clausole contrattuali tipo per il trasferimento dei dati personali a destinatari in Paesi terzi, sottolineando la necessità di garantire un livello di protezione equivalente a quello previsto dal Regolamento UE in materia di privacy.

Concludendo, la valutazione del livello di protezione garantito nel trasferimento di dati deve prendere in considerazione sia delle clausole contrattuali sottoscritte dal titolare del trattamento o dal responsabile del trattamento stabiliti nell'Unione e il destinatario del trasferimento stabilito nel Paese terzo sia degli elementi rilevanti del sistema giuridico del Paese terzo.

Per questi motivi la Corte ha cassato la sentenza impugnata, rinviando la causa al Tribunale (Cass. civ., sez. I, ord., 13 maggio 2024, n. 12967)