Categoria: § 1 divieto generale dei dati c.d sensibili

Trattamento di dati biometrici da parte dell’Università col software che controlla lo svolgimento delle prove di accesso (sul software Respondus usato da Bocconi in epoca pandemica)

Cass. sez. I, ord. 13/05/2024   n. 12.967, rel. Tricomi:

<<3.1. – In sintesi, per quanto interessa nel presente caso, il trattamento dei dati biometrici intesi a identificare in modo univoco una persona fisica in mancanza del consenso dell’interessato è vietato ai sensi del Regolamento 2016/6790; il divieto viene meno e il trattamento è ammesso quando è necessario per motivi di interesse pubblico rilevante, in specifiche materie, tra cui rientra l’istruzione e la formazione in ambito scolastico, professionale, superiore o universitario, secondo quanto previsto dal D.Lgs. n. 196/2003, con la precisazione che il trattamento “deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”, in linea anche con il principio di “responsabilizzazione” dettato dall’art.5, par. 2 del Regolamento 2016/679.

3.2. – Il Tribunale ha affermato che Respondus, descritto come un software che “cattura le immagini video e lo schermo dello studente identificando e contrassegnando con un flag i momenti in cui sono rilevati comportamenti insoliti e/o sospetti mediante registrazione video e istantanee scattate a intervalli casuali per tenere traccia di comportamenti anomali… Al termine della prova, il sistema elabora il video, inserendo segnali di allerta in merito a possibili indici di comportamenti scorretti … affinché il docente … possa poi valutare se effettivamente sia stata commessa un’azione non consentita nel corso della prova” (fol.12), realizza la mera acquisizione di una foto (o una registrazione video) e non configura un trattamento di dati biometrici.

In questa sequenza, secondo il Tribunale, non vi sarebbe trattamento dei dati biometrici tesi a identificare in modo univoco una persona fisica, posto che lo studente esaminato dal software non sarebbe identificato attraverso i suoi dati biometrici raccolti e trattati dal sistema Respondus, ma dal docente chiamato a vagliare il video finale.

3.3. – La conclusione è in contrasto con le norme in materia di trattamento dei dati personali e l’errore che segna la ricostruzione del Tribunale riguarda la sussunzione della fattispecie concreta nella fattispecie astratta di trattamento di dati personali, genus nel quale rientrano i dati biometrici.

3.4. – Come si evince dalla descrizione del funzionamento del software Respondus (prima ricordata e desunta dalla sentenza impugnata), questo non si limita a registrare a video la prova di esame, ma nel corso della ripresa cattura immagini della persona fisica che svolge la prova di esame e seleziona, mediante la realizzazione di video, lo scatto di istantanee ad intervalli casuali e i momenti in cui rileva comportamenti insoliti. Proprio in ragione della contestuale selezione del materiale raccolto in merito a comportamenti anomali, al termine della prova, lo stesso software realizza un video in cui confluiscono gli elementi anomali (contrassegnati da flag) che possono attenere alla conferma o meno della corrispondenza fisica della persona esaminata con lo studente (già identificato dall’Università come da sottoporre alla prova) e a ulteriori anomalie registrate; video che viene sottoposto al docente, per la sua valutazione finale in ordine alla regolarità della prova sostenuta dalla persona.

Risulta da ciò palese che le riprese video e foto realizzate da Respondus non hanno solo la funzione di documentare la prova di esame, ma si connotano per la contestuale elaborazione e selezione del materiale, di momento in momento raccolto, selezione che converge nella individuazione ed alla segnalazione di comportamenti anomali, attraverso la produzione del video finale.

Il Tribunale ha mancato di considerare che questa complessiva attività integra un autonomo e articolato trattamento dei dati biometrici acquisiti ed elaborati dallo stesso software, e attiene anche alla conferma dell’identità della persona fisica esaminata, come previsto dall’art.4, n.14 del Regolamento, giacché l’esito di detta elaborazione risulta sottoposto solo ex post al docente per la sua valutazione in ordine alla regolarità della prova.

Come ricordato dallo stesso Tribunale, il ciclo di vita dei dati biometrici è costituito dalla sequenza in quattro fasi – secondo la Descrizione accreditata dal Garante per la protezione dei dati personali, Linee Guida in materia di riconoscimento biometrico e firma grafometrica, 12 novembre 2014 – che vede:

a) Una prima fase, con un rilevamento tramite sensori specializzati (ad es. scanner per il rilevamento dell’impronta digitale) o dispositivi di uso generale (ad es. videocamera) di caratteristiche biometriche (ad es. viso dell’individuo);

b) Una seconda fase: a seguito del rilevamento si acquisisce un campione biometrico (ad es. immagine del viso);

c) Una terza fase: dal campione biometrico vengono estratti tratti (ad es. specifici punti del viso) idonei a costituire il modello biometrico che sarà conservato in una banca dati;

d) Una quarta fase, cd. del confronto (o di match): il modello biometrico viene confrontato con le effettive caratteristiche dell’individuo ed il confronto in parola consente la identificazione univoca della persona fisica.

La decisione impugnata non risulta avere tenuto conto, rettamente, di tali indicazioni, perché ha trascurato di considerare che, nel procedimento attuato mediante l’utilizzo del software Respondus, per come descritto dalla stesso Tribunale, la quarta fase di confronto appare svolgersi nel corso di tutta la ripresa, sulla scorta della elaborazione informatica dei dati di volta in volta acquisiti ed elaborati mediante la creazione di flag relativi ai comportamenti anomali, che possono riguardare anche la conferma della corrispondenza identitaria della persona ripresa in video con quella dello studente da esaminare, proprio perché già identificato dall’Università, e che il controllo conclusivo della prova di esame, affidato al docente persona fisica non esclude (ne è incompatibile con) il trattamento automatizzato dei dati biometrici, ove già attuato mediante l’impiego del software, e non lo sottrae alla disciplina dettata dall’art.9 del Regolamento 2016/679.

3.5. – Il motivo, che è dunque fondato, va accolto e il Tribunale, in sede di rinvio, dovrà procedere al riesame, attenendosi al seguente principio di diritto:

“In tema di trattamento dei dati personali, ai sensi dell’art. 9 del Reg (UE) 2016/679, ricorre un trattamento di dati biometrici, come definiti dall’art. 4, n.14 del Regolamento 2016/679, quando i dati personali sono ottenuti mediante un trattamento tecnico automatizzato specifico, realizzato con un software che, sulla base di riprese e analisi delle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, le elabora, evidenziando comportamenti o elementi anomali, e che perviene a un esito conclusivo, costituito da una elaborato video/foto che consente (o che conferma) l’identificazione univoca della persona fisica, restando irrilevante la circostanza che l’esito finale del trattamento sia successivamente sottoposto alla verifica finale di una persona fisica“>>.

Dichiarazioni personali dei dirigenti pubblici e tutela della privacy ex art. 6.1.e ed ex art. 9.1 GDPR

Se ne occupa Corte di Giustizia 01.08.2022, C-184/20.

In Lituania i dirigenti di enti pubblici, o  pubblicamente finanziati, devono presentare all’assunzione una dichiarazione di interessi privati, con questo contenuto:

  L’articolo 6 della legge succitata, intitolato «Contenuto della dichiarazione», così recita:

«1.      Il dichiarante indica nella sua dichiarazione le seguenti informazioni relative a sé stesso, al proprio coniuge, convivente o partner:

1)      nome, cognome, numero identificativo personale, numero di previdenza sociale, datore/i di lavoro e mansioni;

2)      persona giuridica di cui il dichiarante o il coniuge, convivente o partner riveste la qualità di associato o di socio;

3)      attività indipendente, come definita nella legge della Repubblica di Lituania sull’imposta sui redditi;

4)      appartenenza a imprese, enti, associazioni o fondi e funzioni ivi esercitate, fatta eccezione per l’appartenenza a partiti politici e a sindacati;

5)      doni (diversi da quelli di parenti) ricevuti nel corso degli ultimi dodici mesi civili, se il loro valore supera EUR 150;

6)      informazioni sulle operazioni concluse nel corso degli ultimi dodici mesi civili e sulle altre operazioni in corso, se il valore dell’operazione è superiore a EUR 3 000;

7)      parenti o altre persone o dati noti al dichiarante idonei a far insorgere un conflitto d’interessi.

2.      Il dichiarante può omettere i dati relativi al coniuge, convivente o partner se vivono separati, non formano un nucleo familiare comune ed egli non dispone pertanto di tali dati» (§ 29)-

Dichiarazione che viene resa poi pubblica in rete (§ 30).

Il giudice a quo chiede se ciò contrasti con le disposizioni in oggetto.

Riposta della CG:

<< 1) L’articolo 7, lettera c), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e l’articolo 6, paragrafo 1, primo comma, lettera c), e paragrafo 3, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), letti alla luce degli articoli 7, 8 e 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea, devono essere interpretati nel senso che ostano a una normativa nazionale che prevede la pubblicazione in rete della dichiarazione di interessi privati che qualsiasi direttore di un ente percettore di fondi pubblici è tenuto a presentare, in quanto, in particolare, tale pubblicazione riguardi dati nominativi, relativi al coniuge, convivente o partner nonché ai parenti o conoscenti del dichiarante che possono dar luogo a un conflitto di interessi, nonché qualsiasi operazione conclusa nel corso degli ultimi dodici mesi il cui valore ecceda EUR 3 000.

2)      L’articolo 8, paragrafo 1, della direttiva 95/46 e l’articolo 9, paragrafo 1, del regolamento 2016/679 devono essere interpretati nel senso che la pubblicazione, sul sito Internet dell’autorità pubblica incaricata di raccogliere le dichiarazioni di interessi privati e di controllarne il contenuto, di dati personali idonei a divulgare indirettamente l’orientamento sessuale di una persona fisica costituisce un trattamento di categorie particolari di dati personali, ai sensi di tali disposizioni>>.