Con la recente sentenza del 13 maggio 2024, n. 12967, la prima sezione civile della Corte di Cassazione ha affrontato un caso riguardante l’uso di sistemi di Intelligenza Artificiale in un’importante università italiana.
Il caso in questione coinvolgeva un software utilizzato dall’università per monitorare eventuali comportamenti scorretti degli studenti durante gli esami a distanza. Il software catturava immagini video e schermate degli studenti, segnalando i momenti in cui venivano rilevati comportamenti sospetti tramite registrazioni video e istantanee scattate a intervalli casuali.
Al termine dell’esame, il sistema elaborava un video inserendo segnali di allerta per indicare possibili comportamenti scorretti, permettendo ai docenti di valutare se ci fossero state irregolarità durante la prova.
A seguito di una lamentela da parte di uno studente, il Garante per la protezione dei dati personali ha sanzionato l’università con una multa di 200.000 euro, sostenendo che il programma comportava un trattamento illegittimo di dati biometrici, vietato dall’art. 9 del GDPR.
Il Tribunale di Milano ha successivamente ridotto la sanzione a 10.000 euro, ritenendo che il programma trattasse semplici dati comuni e non dati biometrici, poiché le immagini e i video erano esaminati dai docenti e non dal software stesso.
La Corte di Cassazione ha annullato la sentenza del Tribunale di Milano, confermando la decisione del Garante. La Corte ha stabilito che, sebbene il trattamento di fotografie non costituisca di per sé un trattamento di dati particolari, diventa un trattamento di dati biometrici quando le fotografie sono elaborate da un dispositivo tecnico che permette l’identificazione univoca di una persona.
Nel caso del software universitario, le riprese video e le foto non servivano solo a documentare l’esame, ma includevano una selezione ed elaborazione del materiale raccolto per identificare e segnalare comportamenti anomali, costituendo così un trattamento di dati biometrici.
Questa sentenza sottolinea i rischi connessi all’uso dei dati biometrici, in particolare il riconoscimento facciale, per i diritti degli interessati. Come indicato nelle linee guida dell’European Data Protection Board n. 3/2019, l’uso delle tecnologie biometriche deve rispettare i principi di liceità, necessità, proporzionalità e minimizzazione dei dati personali. I titolari del trattamento dovrebbero sempre valutare l’impatto sui diritti e le libertà fondamentali e preferire mezzi meno invasivi.
LG
