La autoridad italiana de protección de datos, Garante Per la Protezione dei Dati Personali (GPDP), ha sancionado a la universidad Luigi Bocconi por varias infracciones del RGPD en relación al software que utilizaba la universidad para el control de los exámenes online.
Aunque el objetivo que perseguía la universidad con el uso de este software era el de intentar garantizar las mismas condiciones para aquellas personas que realizaban el examen tanto de manera online como presencial, la universidad contrató un software conocido como Respondus, el cual en su calidad de encargado de tratamiento tiene su sede en Estados Unidos.
Así, entre las acciones que se llevaba a cabo con este software se encontraban la de grabar las pantallas de los estudiantes en distintos momentos durante las pruebas, llegando a detectar momento que pudieran ser considerados como sospechosos por los estudiantes, por ejemplo, cuando los estudiantes intentaban salir de la aplicación. Además, según se observó, el software también era capaz de detectar las caras de los estudiantes, por lo también en el tratamiento de datos biométricos.
Con todo ello, se detectaron deficiencias a la hora de la información que se facilitaba a los propios estudiantes sobre cómo se tratarían sus datos personales. En concreto, en las políticas de la universidad no se informaba que serían grabados para una posterior revisión manual en la que se les solicitaría enseñar su DNI y el entorno del lugar donde iban a realizar el examen. Junto a ello, tampoco se informó que se produciría una transferencia internacional a Estados Unidos, infringiendo así el principio de transparencia del artículo 5 del RGPD.
Respecto al tratamiento de datos biométricos, la autoridad italiana constató que la universidad carecía de una base legitimadora ya que había obtenido un consentimiento viciado de los estudiantes al entender que no se había prestado libremente, ya que la única alternativa era realizar el examen de manera presencial, lo cual debido a la situación de riesgos por la pandemia.
Por último, también se constató que la universidad no había realizado una evaluación de impacto previa sobre el uso de este software, habiendo sido necesario por el posible impacto en los derechos y libertades de los estudiantes, ni tampoco se había cerrado correctamente el contrato con la empresa proveedora del software puesto que el acuerdo se había fundamentado en el Privacy Shield.