ULTIMA ORA
Loading...
EduNews24
Esami online e didattica digitale, il Garante privacy fissa i paletti: sì alle registrazioni, no agli algoritmi che profilano gli studenti
Università

Esami online e didattica digitale, il Garante privacy fissa i paletti: sì alle registrazioni, no agli algoritmi che profilano gli studenti

Disponibile in formato audio

Pubblicate le FAQ dell'Autorità garante sulla legittimità dei controlli durante le prove d'esame e i corsi a distanza. Via libera all'audio-video, ma resta il divieto di raccolta di dati biometrici e geolocalizzazione

La partita tra digitalizzazione della didattica e tutela della riservatezza degli studenti universitari ha un nuovo arbitro. O meglio, lo stesso arbitro che ora parla con maggiore chiarezza. Il Garante per la protezione dei dati personali ha pubblicato una serie di FAQ dedicate specificamente alla legittimità dei controlli durante le prove d'esame e le attività formative erogate in modalità telematica, mettendo nero su bianco ciò che gli atenei possono e non possono fare quando uno studente sostiene un esame davanti a uno schermo anziché in un'aula.

Il documento, reso disponibile il 16 aprile 2026, arriva dopo anni di prassi disomogenee tra le università italiane, accelerate dalla stagione pandemica e mai del tutto riassorbite. E traccia una linea netta: le registrazioni audio-video sono ammesse, ma la sorveglianza algoritmica sul comportamento degli studenti no.

Le nuove FAQ del Garante: cosa cambia per gli atenei

Stando a quanto emerge dal documento dell'Autorità, l'obiettivo dichiarato è fornire un quadro di riferimento uniforme a tutti gli atenei, statali e non statali, che ricorrono a strumenti digitali per l'erogazione di esami e corsi. Non si tratta di un provvedimento sanzionatorio, ma di un intervento interpretativo che chiarisce il perimetro entro cui le università possono muoversi senza violare il Regolamento europeo sulla protezione dei dati (GDPR) e il Codice della privacy italiano.

Le FAQ rispondono a domande concrete, quelle che studenti e atenei si pongono quotidianamente: è lecito registrare un esame orale svolto in videoconferenza? Si possono utilizzare software di proctoring che monitorano i movimenti oculari del candidato? È consentito geolocalizzare lo studente durante una prova scritta a distanza?

Le risposte, come vedremo, non sono tutte affermative. E alcune chiudono definitivamente la porta a pratiche che diversi atenei avevano adottato in via sperimentale.

Registrazioni audio-video: quando sono lecite

Il primo punto fermo riguarda le registrazioni audio-video delle sessioni d'esame. Il Garante le ha autorizzate, a condizione che rispondano a finalità specifiche e proporzionate: garantire la regolarità della prova, consentire la verbalizzazione, tutelare tanto l'ateneo quanto lo studente in caso di contestazioni successive.

In pratica, un'università può registrare un esame orale condotto via piattaforma digitale, così come può conservare la traccia video di una prova scritta svolta con strumenti di sorveglianza visiva. Ma ci sono vincoli precisi:

  • La registrazione deve essere comunicata preventivamente allo studente, con un'informativa chiara e completa ai sensi dell'articolo 13 del GDPR.
  • Le finalità devono essere determinate e legittime, tipicamente legate alla verifica dell'identità del candidato e alla regolarità dello svolgimento della prova.
  • I tempi di conservazione delle registrazioni devono essere limitati a quanto strettamente necessario.
  • L'accesso ai file deve essere ristretto al personale autorizzato.

Nessuna sorpresa, per chi conosce i principi del GDPR. Ma la precisazione era necessaria, perché non pochi atenei avevano operato in una zona grigia, registrando senza informare adeguatamente o conservando i file ben oltre il ragionevole.

Stop al proctoring algoritmico e alla profilazione comportamentale

È qui che il Garante alza la voce. L'uso di algoritmi per analizzare il comportamento degli studenti durante le prove d'esame è vietato. La formulazione non lascia spazio a interpretazioni elastiche.

Nel mirino finiscono quei software di proctoring avanzato che, attraverso l'intelligenza artificiale, analizzano i movimenti oculari, le espressioni facciali, la frequenza con cui il candidato distoglie lo sguardo dallo schermo, i suoni ambientali, i pattern di digitazione. Sistemi che assegnano un punteggio di "sospetto" allo studente, segnalando automaticamente ai docenti i comportamenti ritenuti anomali.

Per l'Autorità garante, queste tecnologie configurano un trattamento di dati personali sproporzionato rispetto alla finalità perseguita. In altre parole, il fine, pur legittimo, di prevenire i comportamenti fraudolenti durante un esame non giustifica il mezzo, cioè una sorveglianza algoritmica pervasiva che trasforma ogni studente in un soggetto potenzialmente sospetto.

Come sottolineato dall'Autorità, il rischio concreto è duplice: da un lato, la compressione della dignità e della libertà personale dello studente; dall'altro, l'inaffidabilità intrinseca di sistemi automatizzati che possono generare falsi positivi, penalizzando candidati il cui comportamento, del tutto innocuo, viene erroneamente classificato come irregolare. Un tic nervoso, un ambiente domestico rumoroso, una connessione instabile che costringe a distogliere lo sguardo: tutti fattori che un algoritmo potrebbe leggere come indizi di frode.

La questione, peraltro, non è nuova nel panorama europeo. Già diverse autorità garanti nazionali, a partire da quella olandese e da quella francese, avevano espresso riserve sull'utilizzo massivo del proctoring negli esami universitari, e la posizione italiana si allinea ora a un orientamento consolidato.

Dati biometrici e geolocalizzazione: il muro invalicabile

Oltre al divieto di profilazione algoritmica, il Garante ribadisce con fermezza un altro principio: non è consentita la raccolta di dati biometrici né la geolocalizzazione degli studenti durante le prove d'esame o le attività didattiche online.

Il riconoscimento facciale per verificare l'identità del candidato, la scansione delle impronte digitali, il tracciamento della posizione GPS dello studente: tutte pratiche che alcune piattaforme internazionali di e-proctoring offrono tra le loro funzionalità e che, nel contesto normativo italiano ed europeo, si scontrano con il divieto generale di trattamento delle categorie particolari di dati previsto dall'articolo 9 del GDPR.

Le eccezioni a questo divieto esistono, ma nessuna di esse, secondo il Garante, è applicabile al contesto degli esami universitari. Non c'è un interesse vitale da tutelare, non c'è un obbligo di legge che imponga il ricorso alla biometria per verificare l'identità di uno studente. E il consenso, in un rapporto strutturalmente asimmetrico come quello tra ateneo e studente, non può essere considerato liberamente prestato.

Un punto, quest'ultimo, che merita attenzione. Lo squilibrio di potere tra istituzione universitaria e studente è analogo a quello riconosciuto dalla giurisprudenza europea nel rapporto datore di lavoro-dipendente: il consenso, in queste condizioni, non ha il carattere di genuina libertà che il GDPR richiede.

Cosa devono fare le università adesso

Le FAQ del Garante non hanno formalmente forza di legge, ma rappresentano l'interpretazione ufficiale dell'Autorità di controllo, quella stessa Autorità che ha il potere di sanzionare le violazioni del GDPR con importi che possono raggiungere i 20 milioni di euro. Ignorarle sarebbe, quantomeno, imprudente.

Gli atenei che ancora utilizzano sistemi di proctoring con componenti di analisi comportamentale automatizzata dovranno rivedere i propri strumenti e, con ogni probabilità, tornare a soluzioni di sorveglianza più tradizionali: la presenza di un docente o di un tutor in videoconferenza, la verifica visiva dell'identità tramite documento, la registrazione della sessione con le garanzie sopra descritte.

Sarà inoltre necessario aggiornare le informative sulla privacy destinate agli studenti, verificare i contratti con i fornitori di piattaforme digitali e, nei casi più complessi, procedere a una valutazione d'impatto sulla protezione dei dati (DPIA), come previsto dall'articolo 35 del GDPR per i trattamenti che comportano un rischio elevato per i diritti e le libertà delle persone fisiche.

La privacy degli studenti universitari torna così al centro del dibattito, in un momento in cui la didattica digitale non è più l'eccezione emergenziale del periodo pandemico ma una componente strutturale dell'offerta formativa di moltissimi atenei italiani. Il messaggio del Garante è chiaro: la tecnologia è benvenuta, purché non diventi uno strumento di sorveglianza indiscriminata. Il confine tra controllo legittimo e compressione dei diritti fondamentali passa, oggi più che mai, dalla proporzionalità delle misure adottate.

Pubblicato il: 17 aprile 2026 alle ore 07:48

Domande frequenti

Le università possono registrare gli esami online?

Sì, le università possono registrare gli esami online, purché la registrazione sia comunicata preventivamente agli studenti con un'informativa chiara e sia limitata a finalità specifiche e legittime, come la verifica dell'identità e la regolarità della prova.

È consentito l'uso di software di proctoring algoritmico durante gli esami universitari?

No, il Garante vieta l'uso di software che analizzano algoritmicamente il comportamento degli studenti, perché considera sproporzionato il trattamento dei dati personali rispetto alle finalità di controllo e perché tali sistemi possono generare errori e ledere la dignità degli studenti.

Le università possono raccogliere dati biometrici o geolocalizzare gli studenti durante gli esami?

No, la raccolta di dati biometrici e la geolocalizzazione degli studenti non sono consentite durante esami o attività didattiche online, poiché non sussistono motivi giuridici validi o interesse vitale che giustifichino questi trattamenti secondo il GDPR.

Cosa devono fare le università per adeguarsi alle nuove indicazioni del Garante?

Le università devono rivedere i propri strumenti di sorveglianza, eliminare sistemi di proctoring con componenti algoritmiche, aggiornare le informative privacy, verificare i contratti con i fornitori di piattaforme digitali e, se necessario, effettuare una valutazione d’impatto sulla protezione dei dati (DPIA).

Per quanto tempo possono essere conservate le registrazioni degli esami online?

Le registrazioni possono essere conservate solo per il tempo strettamente necessario alle finalità dichiarate, come la verbalizzazione o la gestione di eventuali contestazioni, e l’accesso deve essere limitato al personale autorizzato.

Cosa succede se un ateneo non rispetta le indicazioni del Garante sulla privacy?

Le FAQ del Garante hanno valore interpretativo, ma ignorarle può esporre l’ateneo a sanzioni fino a 20 milioni di euro per violazioni del GDPR e del Codice della privacy italiano.

Michele Monaco

Articolo creato da

Michele Monaco

Redattore Michele Monaco è imprenditore, ricercatore e docente universitario con oltre vent'anni di esperienza nell'innovazione digitale, nella formazione e nella consulenza strategica. Laureato in Scienze Politiche e Internazionali, è CEO di Adventus Consulting Jdoo (Umag, Croazia dove risiede stabilmente) e Presidente Nazionale di ENBAS, ente bilaterale attivo nella formazione professionale e nelle politiche attive per il lavoro. In qualità di Coordinatore Nazionale dei Progetti di Ricerca presso ERSAF, guida iniziative che coniugano intelligenza artificiale e formazione, tra cui FindYourGoal.it, piattaforma di orientamento scuola-lavoro basata sul modello LifeComp, Avatar4University.Org, sistema AI per la creazione di corsi universitari con avatar docente, KeepYouCare.it, piattaforma di telemedicina, telesoccorso e telerefertazione. È inoltre Delegato della Regione Calabria presso il Ministero degli Esteri per la Cooperazione Internazionale ed è membro del tavolo delle regioni, dove coordina un progetto per la creazione di un Hub Formativo in Tunisia. Docente a contratto di Diritto dell'Economia e Diritto Internazionale presso la SSML di Lamezia Terme e presso l'Università Telematica eCampus, è autore di pubblicazioni in ambito pedagogico sulle competenze caratteriali e il framework LifeComp. Ha tenuto interventi al Senato della Repubblica, alla Camera dei Deputati, in Regione Lombardia e a Buenos Aires su temi che spaziano dalla pedagogia speciale, alla telemedicina ed alla cooperazione internazionale. Innovation Manager certificato MISE, unisce visione strategica e competenza tecnologica con una vocazione per il dialogo istituzionale e la ricerca applicata.

Articoli Correlati

ULTIMA ORA