Per avere una prima idea di come le università trattino i dati personali si può fare riferimento alle disposizioni emanate da quella a cui si è iscritti; per sviluppare una più articolata visione della materia sono poi di interesse anche le Linee Guida sulla privacy (2017) del CODAU (Convegno dei Direttori generali delle Amministrazioni Universitarie).
Tale documento fornisce una prima disamina del GDPR e propone una “mappatura dei principali trattamenti che trovano svolgimento in ambito universitario”: 31 trattamenti descritti in maniera articolata di cui 11 afferenti agli studenti e 20 ad altri ambiti (dipendenti e collaboratori; attività trasversali; gestione federata di servizi).
Va precisato che quelle del CODAU sono linee guida di settore, che non hanno il valore di soft law generale come quelle emanate dall’European Data Protection Board, ma comunque danno indicazioni per perseguire un isomorfismo applicativo.
Le università possono essere oggetto di interventi del Garante
Circa il ruolo di componente delle rappresentanze degli studenti, in particolare per gli studenti che fanno parte degli organi di governance (Senato Accademico e Consiglio di amministrazione) vi è la possibilità di svolgere una particolare funzione di presidio circa la tutela dei dati personali. Fra l’altro dovrebbero poter prendere cognizione del Registro dei trattamenti e dei riferimenti periodici al titolare da parte del Responsabile per la protezione dei dati (Data Protection Officer) in genere una relazione annua (solo in taluni casi oggetto di pubblicazione , non essendoci un obbligo in tal senso) sulle questioni trattate.
Nelle vesti di componenti degli organi di governance o di collaboratori, gli studenti, sono anche titolati a presentare segnalazioni whistleblowing e, in tale veste, abilitati – anche sotto la particolare forma normata dal Dlgs 24/2023 sul whistleblowing - alla denuncia di fatti illeciti rispetto al diritto comunitario o nazionale, come alcuni Atenei chiariscono nelle loro pagine web sulla materia. Anche le università possono essere oggetto di interventi del Garante e la disamina delle decisioni assunte può essere utile anche come cartina di tornasole per la realtà in cui si studia.
A titolo esemplificativo, si richiama l’articolato Provvedimento 317/2021 nei confronti di una primaria università privata. La questione, sollevata dal reclamo da parte di uno studente, riguardava il ricorso a un sistema di supervisione (proctoring) delle prove d’esame a distanza (siamo nel periodo del Covid-19). In esito alla disamina della questione il Garante ha comminato una sanzione di 200.000 euro all’Ateneo e ingiunto di non continuare il trattamento con riguardo ad aspetti afferenti ai dati biometrici e al trasferimento dei dati verso gli USA in assenza di adeguate garanzie.
Rafforzare le competenze degli studenti
La sensibilità alla privacy di uno studente ha fatto quindi emergere una questione fondata e rilevante, - dal punto di vista di tutti gli stakeholder, circa la questione dei corretti presìdi necessari per condurre prove a distanza regolari e in sicurezza - e questo è apprezzabile.
Peraltro, sulla base di quanto illustrato, un rafforzamento delle competenze degli studenti e delle rappresentanze degli studenti in tema di trattamento dei dati personali potrebbe contribuire a far emergere questioni dubbie da sottoporre al Data Protection Officer e/o discutere negli organi di vertice dell’Ateneo prima che queste diano origine a lesioni alla privacy e sanzioni come nel caso di cui si è fatto cenno.
In conclusione, la privacy è qualcosa che interessa tutti, e per gli studenti universitari è essenziale apprenderne le caratteristiche per tenerne conto nel loro percorso di studi prima e professionale poi, quale che sia l’ambito.
