M

Questo sito fa uso di cookie tecnici per migliorare l’esperienza di navigazione degli utenti e per raccogliere informazioni sull’utilizzo del sito stesso. Per maggiori informazioni si veda la Cookie Policy.

Esami universitari da remoto: software e trattamento di dati biometrici

(Cass. civ., Sez. I, Ord. n. 12967 del 13 maggio 2024).

La Corte di Cassazione, con l’ordinanza n. 12967 del 13 maggio 2024, ha affermato che, ai sensi dell’art. 9 del Regolamento 679/2016, ricorre un trattamento di dati biometrici quando i dati personali di una persona fisica sono ottenuti attraverso un trattamento tecnico automatizzato e specifico realizzato con un software, il quale, utilizzando le riprese delle caratteristiche comportamentali e fisiche di una persona, le elabora, ed evidenzia comportamenti che consentono l’identificazione univoca della persona stessa.
Nel caso in esame, il Tribunale di Milano aveva parzialmente accolto il ricorso proposto da una università milanese contro un provvedimento del Garante per la protezione dei dati personali, il quale aveva ravvisato, dopo un’attività di controllo, una violazione inerente al trattamento dei dati biometrici degli studenti a causa dell’utilizzo di un software per far svolgere agli stessi gli esami con il sistema della video conferenza.
L’università, in particolare, contestava che la sola acquisizione di una foto o di un video non configurasse alcun trattamento di dati biometrici, bensì dati comuni, enunciando così l’esclusione dell’applicazione dell’art. 9 del Regolamento 679/2016, inerente al trattamento di categorie particolari di dati personali.
A riguardo, vale la pena ricordare che, secondo quanto disposto dall’art. 4, n. 14 del Regolamento n. 679/2016, i dati biometrici vengono identificati come ‘’i dati personali ottenuti da un trattamento tecnico e specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici’’.
Sono, dunque, dati che vengono utilizzati per poter identificare in modo univoco una persona.
Il ciclo di vita dei dati biometrici, secondo la Descrizione accreditata del Garante per la protezione dei dati personali, è costituito dalla sequenza in quattro fasi che vede:

  • una prima fase, con rilevamento tramite sensori specializzati o dispositivi di uso generale di caratteristiche biometriche;
  • una seconda fase: a seguito del rilevamento si acquisisce un campione biometrico (ad esempio l’immagine del viso);
  • una terza fase: dal campione biometrico vengono estratti tratti idonei a costruire il modello biometrico che sarà conservato in una banca dati;
  • una quarta fase, di confronto nell’ambito della quale il modello biometrico viene confrontato con le effettive caratteristiche dell’individuo. Tale confronto consente l’esatta e univoca identificazione della persona fisica.

Alla luce di ciò, il Tribunale, accogliendo la tesi dell’università, ha affermato che il software realizzava una mera acquisizione di foto o video.
Non si configurava così, secondo il Tribunale, un trattamento di dati biometrici idonei a identificare in modo univoco una persona fisica, posto che l’identità dello studente veniva identificata attraverso l’attività del docente.
Avverso la sentenza del Tribunale di Milano, proponeva ricorso per cassazione il Garante per la protezione dei dati personali.
Il Garante sottolineava che il software non si limitava alla sola registrazione video della prova d’esame, bensì, durante la ripresa video, catturava immagini dello studente, selezionando lo scatto di istantanee nel momento in cui rilevava comportamenti insoliti, realizzando, alla fine del procedimento, un video in cui confluivano gli elementi anomali sottoposto al controllo del docente.
Ebbene, nella decisione della controversia il Tribunale aveva omesso di considerare che tale complessa attività integrava un autonomo e articolato trattamento dei dati biometrici.
La Cassazione ha accolto il ricorso del Garante.
Secondo la Cassazione, infatti, la decisione del Tribunale era viziata, non avendo tenuto in considerazione che, nel procedimento attuato dal software, la quarta fase attinente al confronto del modello biometrico con le effettive caratteristiche dell’individuo, si svolgeva nel corso di tutta la ripresa, nell’ambito della quale il software verificava, costantemente, la presenza di eventuali comportamenti anomali da parte dello studente.
Tale attività ben rientrava nella quarta fase del ciclo di vita dei dati biometrici (fase di confronto).
Pertanto, il controllo che concludeva tale procedura, affidato al docente, non escludeva il precedente trattamento automatizzato dei dati biometrici effettuato dal software.
Ne consegue che l’utilizzo del software costituiva una violazione della disciplina delineata dall’art. 9 del Regolamento 679/2016, che vieta, fatta eccezione per specifici casi individuati dal Regolamento stesso, il trattamento di dati biometrici idonei ad identificare in modo univoco una persona fisica.
Per questo motivo, la sentenza è stata cassata con rinvio al Tribunale di Milano.

Data di pubblicazione
1.07.2024
Argomento trattato
Data Protection

Iscrizione Newsletter

Share