Per capire come le università gestiscono i dati personali degli studenti, si può fare riferimento alle regole stabilite dall’università di appartenenza. Per approfondire il tema, sono utili anche le Linee Guida sulla privacy del CODAU (2017), il Convegno dei Direttori Generali delle Amministrazioni Universitarie. Questo documento fornisce una prima disamina del GDPR e propone una “mappatura dei principali trattamenti che trovano svolgimento in ambito universitario”: 31 trattamenti descritti in maniera articolata di cui 11 afferenti agli studenti e 20 ad altri ambiti (dipendenti e collaboratori; attività trasversali; gestione federata di servizi).
Gli studenti che fanno parte delle rappresentanze, soprattutto quelli che fanno parte degli organi di governance come il Senato Accademico e il Consiglio di amministrazione, possono svolgere un ruolo importante nella protezione dei dati personali. Dovrebbero poter accedere al Registro dei trattamenti e ai rapporti periodici del Responsabile per la protezione dei dati (Data Protection Officer), che di solito presenta una relazione annuale sulle questioni legate alla protezione dei dati. Questa relazione, però, non sempre viene pubblicata, dato che non è obbligatorio farlo.
Anche le università possono essere soggette a controlli da parte del Garante per la protezione dei dati, e le decisioni prese possono essere utili per capire meglio la situazione dell’università in cui si studia. Un esempio è il Provvedimento 317/2021, che ha riguardato una grande università privata. Il problema, sollevato da uno studente, riguardava l’uso di un sistema di sorveglianza (proctoring) durante gli esami a distanza durante il periodo del Covid-19. Dopo aver analizzato il caso, il Garante ha multato l’università per 200.000 euro e le ha vietato di continuare a usare dati biometrici e di trasferire dati negli USA senza adeguate garanzie.
A.L
