Esami a distanza e proctoring: cosa chiariscono davvero le FAQ del Garante

Già il 9 aprile 2020, a poche settimane dall’inizio del lockdown, il Gruppo ICT CRUI organizzò un webinar dedicato alle piattaforme per esami online alla luce del GDPR. In quella sede, mentre le Università stavano ancora valutando gli strumenti da adottare, emersero con chiarezza alcuni nodi che il Garante avrebbe formalizzato solo successivamente:

• Base giuridica del trattamento: lo svolgimento di esami a distanza rientra nei compiti istituzionali degli atenei e non richiede il consenso degli studenti2;
• Rapporto con i fornitori: necessità di qualificare correttamente i gestori delle piattaforme come responsabili del trattamento ai sensi dell’art. 28 GDPR3;
• Privacy by design e by default: rischio connesso all’uso di piattaforme generaliste con funzionalità eccedenti le finalità didattiche4.

Particolare attenzione fu poi dedicata ai sistemi di proctoring automatico, rispetto ai quali si evidenziarono criticità significative:

• consenso non liberamente prestato nel rapporto studente-ateneo,
• possibile trattamento di dati biometrici,
• profilazione del comportamento mediante analisi algoritmica, con rischi elevati per i diritti e le libertà degli interessati.

Il confronto proseguì nel 2021, con webinar CRUI e interventi pubblici (Forum PA, giugno 2021), che sottolinearono come la base giuridica emergenziale non potesse legittimare trattamenti eccedenti l’equivalente della didattica in presenza e come ogni scelta tecnologica dovesse rispettare i principi di necessità, proporzionalità e minimizzazione.

Le FAQ pubblicate dal Garante nell’aprile 2026 forniscono finalmente un quadro di riferimento organico e pubblico5.

Il Garante chiarisce che università ed enti di formazione sono legittimati a trattare i dati personali dei partecipanti a corsi ed esami a distanza, ma esclusivamente nei limiti del quadro normativo di settore e per le sole finalità connesse al regolare svolgimento delle attività. Le piattaforme utilizzate non devono consentire la raccolta di dati non pertinenti, quali geolocalizzazione o dati biometrici.

In caso di utilizzo di sistemi di supervisione (proctoring), la responsabilità della conformità al GDPR rimane in capo al titolare del trattamento, anche quando i servizi siano forniti da soggetti terzi6.

Il Garante ammette la possibilità di registrazioni audio-video dell’esame, da valutare caso per caso in relazione al numero dei partecipanti e alla tipologia di prova, purché:

• non vi sia estrazione di dati biometrici;
• siano definiti termini di conservazione congrui7.

È invece escluso l’utilizzo di sistemi automatizzati di analisi del comportamento: movimenti del corpo, click del mouse, uso della tastiera, accesso ad altre applicazioni o attività online non possono essere analizzati mediante algoritmi per generare indici di rischio o segnali di allerta8.

Questo chiarimento segna una linea netta di discontinuità rispetto ad alcune prassi sperimentate negli anni precedenti.

Le FAQ del Garante arrivano dopo anni in cui le Università hanno dovuto operare in assenza di una disciplina specifica sul proctoring, orientandosi attraverso il confronto tra DPO, i webinar istituzionali e pratiche condivise a livello di sistema.

In questo contesto, alcune università avevano adottato soluzioni di proctoring facendo ricorso al consenso degli studenti come base giuridica: una scelta che il Garante aveva già dichiarato illegittima nel 2021, rilevando lo squilibrio strutturale del rapporto tra studente e ateneo.

Ciò che nel tempo era stato individuato come problematico, profilazione algoritmica del comportamento degli studenti, trasferimenti di dati all’estero senza presupposti adeguati, informative carenti, tempi di conservazione eccedenti, trova oggi un riscontro esplicito nelle indicazioni pubbliche del Garante.

Il chiarimento non ha solo valore retrospettivo. Gli Atenei che negli anni hanno adottato un approccio prudente e strutturato, elaborando valutazioni di impatto, selezionando piattaforme coerenti con i principi di minimizzazione e proporzionalità, si trovano oggi in una posizione di maggiore solidità giuridica e organizzativa.

Terminata la fase emergenziale, la didattica a distanza deve rientrare nel quadro ordinario di accreditamento. L’Allegato 3 del DM 635/2016, confermato dal DM 989/2019 e aggiornato dal DM 1835/2024, distingue chiaramente tra corsi convenzionali, misti, prevalentemente a distanza e integralmente a distanza9. Le modalità emergenziali non sono automaticamente replicabili senza adeguamenti formali.

L’obbligo di DPIA (Valutazione di impatto privacy) per trattamenti che implicano dati biometrici o altre forme di sorveglianza sistematica deriva dal Provvedimento del Garante n. 467 dell’11 ottobre 2018, adottato ai sensi dell’art. 35, par. 4, GDPR10. Le FAQ ne confermano l’attualità e la piena applicabilità al contesto universitario.

I docenti, in quanto soggetti autorizzati al trattamento, rientrano nell’ambito applicativo dell’art. 29 GDPR, che impone una formazione adeguata e specifica per chiunque agisca sotto l’autorità del titolare del trattamento11. L’esperienza della didattica online ha reso evidenti le implicazioni in termini di tracciabilità e responsabilità.

Senza svolgere funzioni prescrittive, il coordinamento promosso dalla CRUI ha contribuito in modo concreto alla diffusione di buone pratiche e alla costruzione di un linguaggio comune su temi complessi come il proctoring e la protezione dei dati personali.

Le FAQ del Garante rappresentano oggi uno strumento essenziale per tutti gli Atenei. La loro applicazione concreta continuerà però a richiedere confronto, scambio di esperienze e capacità di adattare indicazioni generali a contesti organizzativi differenti: esattamente il valore che il coordinamento tra Università può ancora offrire.