Il Garante per la protezione dei dati personali ha sanzionato l’Università eCampus con una multa di 50.000 euro per aver utilizzato un sistema di riconoscimento facciale durante corsi ed esami online senza una base giuridica adeguata e senza aver svolto la preventiva valutazione dei rischi per la protezione dei dati degli studenti.
Oltre alla sanzione economica, l’Autorità ha imposto l’interruzione immediata del trattamento biometrico e ha ordinato all’ateneo di adottare modalità alternative di verifica dell’identità. Non si tratta soltanto di un intervento tecnico, ma di una presa di posizione che tocca il rapporto tra tecnologia, controllo e diritti fondamentali nel mondo dell’istruzione digitale.
Indice
- Il volto come dato sensibile
- Il problema del consenso e della libertà effettiva
- La valutazione dei rischi che doveva precedere il sistema
- Un segnale per l’istruzione digitale
- Tecnologia e diritti: un equilibrio da costruire
Il volto come dato sensibile
Il riconoscimento facciale non è una semplice verifica visiva attraverso webcam. È un trattamento biometrico che consente l’identificazione univoca di una persona attraverso caratteristiche fisiche. Il volto diventa così una chiave digitale permanente, un’informazione che appartiene alla sfera più intima dell’identità individuale.
Proprio per questo motivo la normativa europea sulla protezione dei dati considera i dati biometrici particolarmente delicati. Il loro utilizzo richiede condizioni rigorose e una base giuridica solida. Non basta l’efficienza tecnologica o l’esigenza organizzativa per giustificarne l’impiego.
Nel contesto universitario, l’utilizzo di sistemi automatici di riconoscimento durante gli esami a distanza comporta un controllo costante e strutturato. È un salto qualitativo rispetto alla semplice identificazione tramite documento o alla supervisione umana. Significa trasformare un momento formativo in un processo di verifica algoritmica dell’identità.
Il problema del consenso e della libertà effettiva
Uno dei punti centrali riguarda la libertà di scelta dello studente. Quando il riconoscimento facciale diventa condizione necessaria per sostenere un esame, la possibilità di rifiutare è solo teorica. In un rapporto come quello tra università e studente, l’equilibrio di potere è inevitabilmente asimmetrico.
Il Garante ha ritenuto che non vi fosse una base giuridica adeguata a legittimare il trattamento. Questo aspetto è decisivo, perché riafferma un principio spesso sottovalutato nel dibattito pubblico: non tutto ciò che è tecnicamente possibile è automaticamente lecito.
La tecnologia può offrire strumenti sofisticati di controllo, ma la loro legittimità dipende da un quadro normativo preciso e da una valutazione attenta dell’impatto sui diritti individuali.
La valutazione dei rischi che doveva precedere il sistema
Un altro elemento rilevante è l’assenza della valutazione d’impatto sulla protezione dei dati. Prima di introdurre un trattamento potenzialmente invasivo, il titolare deve analizzare in modo approfondito i rischi per le persone coinvolte e individuare misure adeguate di mitigazione.
Questa analisi non rappresenta un adempimento burocratico, ma uno strumento di responsabilizzazione. Serve a chiedersi se la misura sia davvero necessaria, se esistano alternative meno intrusive e quali conseguenze possa avere un eventuale uso improprio o una violazione di sicurezza.
Nel caso in esame, questa fase preventiva non è stata svolta, e ciò ha inciso in modo significativo sulla valutazione dell’Autorità.
Un segnale per l’istruzione digitale
La decisione del Garante assume un valore che va oltre il singolo ateneo. Negli ultimi anni l’istruzione online è cresciuta rapidamente, spinta prima dall’emergenza sanitaria e poi dalla trasformazione strutturale dei modelli formativi. In questo contesto, anche gli strumenti di controllo si sono evoluti, spesso adottando soluzioni automatizzate basate su intelligenza artificiale.
Il punto non è negare l’innovazione. Garantire la regolarità degli esami è un obiettivo legittimo. Il tema è capire quale sia il limite oltre il quale il controllo diventa sproporzionato rispetto alla finalità perseguita.
La richiesta di adottare metodi alternativi dimostra che esistono soluzioni meno invasive per verificare l’identità degli studenti. La protezione dei dati non blocca la tecnologia, ma impone di utilizzarla in modo coerente con i diritti fondamentali.
Tecnologia e diritti: un equilibrio da costruire
Il caso eCampus riporta al centro una domanda più ampia: quale modello di società digitale vogliamo costruire? Uno in cui ogni attività è mediata da sistemi di identificazione automatica, oppure uno in cui l’innovazione si sviluppa entro confini chiari e rispettosi della persona?
L’episodio dimostra che il diritto non arriva sempre dopo la tecnologia. In alcuni casi interviene per ridefinirne i limiti. E nel farlo ricorda che l’efficienza non può essere l’unico parametro di valutazione.
Nel mondo dell’intelligenza artificiale applicata all’istruzione, la sfida non è solo tecnica. È culturale e giuridica. E passa dalla capacità di tenere insieme sicurezza, integrità e tutela della dignità degli studenti.
