Il Garante Privacy ha chiarito con FAQ dedicate quali condizioni legittimano l’uso di sistemi di supervisione automatica (proctoring) negli esami e nei corsi a distanza. Chi gestisce formazione professionale obbligatoria — inclusi ordini, enti di formazione e studi strutturati — deve verificare base giuridica, misure tecniche e obblighi informativi prima di attivare qualsiasi strumento di sorveglianza remota. Ignorare queste indicazioni espone al rischio di sanzioni fino al 4% del fatturato annuo globale ai sensi dell’art. 83 GDPR.
Punti chiave
- Punto 1 — Il proctoring remoto tratta dati biometrici e comportamentali: serve base giuridica esplicita ex art. 6 GDPR.
- Punto 2 — L’informativa agli utenti va aggiornata prima di attivare qualsiasi sistema di supervisione automatica.
- Punto 3 — La valutazione d’impatto (DPIA) ex art. 35 GDPR è obbligatoria quando il trattamento è sistematico e su larga scala.
Se il tuo studio organizza corsi di formazione obbligatoria online — o assiste enti che lo fanno — le FAQ pubblicate dal Garante Privacy sul proctoring diventano un documento operativo, non una lettura opzionale. Le indicazioni riguardano chiunque utilizzi software di supervisione remota per verificare la regolarità di prove d’esame o la presenza a corsi a distanza: università, ordini professionali, provider accreditati, ma anche aziende con piani formativi strutturati.
Il Garante ha pubblicato una serie di FAQ tematiche sul tema della formazione a distanza e dei sistemi di supervisione automatica, chiarendo i requisiti di conformità al GDPR applicabili a queste tecnologie. La notizia è riportata da La Gazzetta degli Enti Locali.
Il contesto normativo
Il quadro di riferimento è il Regolamento UE 2016/679 (GDPR). Gli articoli centrali sono tre. L’art. 6 GDPR impone l’individuazione di una base giuridica idonea prima di avviare qualsiasi trattamento: nel contesto formativo, il consenso è spesso la base più fragile perché difficilmente libero quando il candidato non può rinunciare all’esame. L’art. 9 GDPR entra in gioco se il sistema di proctoring acquisisce dati biometrici — riconoscimento facciale, analisi del movimento oculare — poiché si tratta di categorie particolari che richiedono una delle condizioni tassative del paragrafo 2. L’art. 35 GDPR obbliga alla DPIA (Data Protection Impact Assessment) quando il trattamento è sistematico, su larga scala e riguarda persone vulnerabili o dati sensibili: condizioni quasi sempre soddisfatte dal proctoring applicato a platee ampie di candidati.
Sul piano nazionale, il Codice Privacy (d.lgs. 196/2003, come novellato dal d.lgs. 101/2018) e i provvedimenti del Garante hanno valore integrativo. Le sanzioni per violazione dell’art. 83 GDPR arrivano fino al 4% del fatturato annuo mondiale o 20 milioni di euro, con prevalenza del massimo più alto.
Cosa cambia per lo studio
- Verifica la base giuridica adottata dal cliente per il trattamento: il consenso dell’esaminando è quasi sempre inidoneo in contesti dove la partecipazione all’esame è obbligatoria o necessaria per conseguire una qualifica. Meglio esplorare il legittimo interesse o l’obbligo legale, con relativa documentazione.
- Aggiorna l’informativa privacy prima dell’attivazione del sistema: deve indicare esplicitamente le finalità di sorveglianza, la tipologia di dati raccolti (video, audio, movimenti del mouse, screenshot), i tempi di conservazione e i soggetti che accedono ai dati.
- Verifica se il fornitore del software di proctoring agisce da responsabile del trattamento ex art. 28 GDPR: il contratto deve contenere tutte le clausole prescritte, inclusi i sub-responsabili e le garanzie per i trasferimenti extra-UE se i server sono fuori dallo Spazio Economico Europeo.
- Conduci o fai condurre la DPIA prima del lancio del servizio, non dopo: il Garante considera il proctoring sistematico un trattamento ad alto rischio e la DPIA preventiva è un requisito, non una raccomandazione.
- Conserva i dati raccolti solo per il tempo strettamente necessario alla contestazione delle irregolarità: periodi di retention sproporzionati sono tra le contestazioni più frequenti nei procedimenti del Garante.
Attenzione a
Il primo rischio sottovalutato è il trasferimento dati verso paesi terzi. Molte piattaforme di proctoring commerciali operano su infrastrutture cloud nordamericane. Dopo la sentenza Schrems II (CGUE, C-311/18), ogni trasferimento extra-UE richiede garanzie adeguate: le Clausole Contrattuali Standard adottate dalla Commissione nel 2021 restano lo strumento principale, ma devono essere accompagnate da una Transfer Impact Assessment documentata.
Il secondo rischio è confondere l’adempimento formale con la conformità sostanziale. Avere un’informativa aggiornata non basta se il sistema raccoglie più dati di quelli dichiarati o li conserva più a lungo. Il Garante italiano ha già sanzionato enti che avevano documentazione in regola ma pratiche operative difformi: la responsabilizzazione (accountability) ex art. 5, par. 2 GDPR impone coerenza tra documenti e processi reali.
Domande frequenti
Il proctoring online è legale in Italia per esami universitari o professionali?
Sì, ma a condizioni precise. Serve una base giuridica idonea ex art. 6 GDPR, un’informativa completa e, se si acquisiscono dati biometrici, una delle condizioni dell’art. 9 par. 2 GDPR. Per trattamenti sistematici e su larga scala è obbligatoria anche la DPIA preventiva ex art. 35 GDPR. Il Garante ha chiarito questi requisiti nelle proprie FAQ tematiche sulla formazione a distanza.
Quando è obbligatoria la DPIA per un sistema di proctoring?
La DPIA è obbligatoria ogni volta che il proctoring tratta dati biometrici, monitora sistematicamente i candidati su larga scala o incide su persone vulnerabili, come studenti minorenni. Tutte e tre le condizioni ricorrono frequentemente. La DPIA va completata prima dell’avvio del trattamento e tenuta aggiornata: l’art. 35 GDPR non ammette valutazioni retroattive.
Il fornitore del software di proctoring deve firmare un contratto ex art. 28 GDPR?
Sì, sempre. Il fornitore che tratta dati per conto del titolare è un responsabile del trattamento e il contratto scritto ex art. 28 GDPR è obbligatorio. Deve specificare oggetto, durata, natura e finalità del trattamento, categorie di dati, eventuali sub-responsabili e le garanzie per trasferimenti extra-UE se i server sono fuori dallo Spazio Economico Europeo.
Fonte di riferimento: GazzettaEntiLocali