Il “Proctoring” nei concorsi pubblici
Abstract:
In considerazione della recente tendenza della PA di avvalersi di sistemi di controllo a distanza volti a prevenire frodi nell’ambito dello svolgimento delle prove concorsuali, l’articolo inquadra i sistemi di c.d. proctoring e il loro funzionamento, concentrandosi sui principali aspetti problematici lato privacy. A tale analisi, segue l’autorevole soluzione (passata per lo più inosservata) fornita dal Garante privacy italiano nel corso di una recentissima audizione presso il Senato della Repubblica.
1. Introduzione sul proctoring
In tempo di pandemia si è molto discusso in relazione alle possibilità della Pubblica Amministrazione di operare le prove selettive dei concorsi pubblici in modalità “da remoto”, in modo che si possa non soltanto preservare la salute dei candidati, ma anche garantire una maggior celerità del procedimento di selezione, nonché permettere sia ai candidati che alla PA un certo risparmio economico (niente più costi per spostamenti e pernottamenti presso le sedi d’esame, oltre a un potenziale risparmio dal punto di vista organizzativo e per la predisposizione degli spazi fisici volti ad ospitare le prove).
In questo contesto e con queste ambizioni, è parso sin da subito di primaria importanza garantire che le prove a distanza non si trasformassero in sistemi idonei a favorire le frodi, anziché a verificare le effettive capacità e competenze dei candidati. Ciò in considerazione delle limitate possibilità di effettuare controlli su ciò che avviene nella stanza da cui si collega il singolo candidato: dal libro “sulle ginocchia” all’utilizzo indebito di internet per la ricerca delle risposte, dagli appunti incollati introno allo schermo sino al complice fuori campo che fornisce suggerimenti.
Ebbene, il proctoring è sembrato (e a molti sembra tuttora) una soluzione ottimale per prevenire le frodi e per garantire il corretto svolgimento ed il buon esito dei concorsi.
2. Il proctoring, cos’è e come funziona
Giova qui anzitutto precisare che con i termini “proctoring” o, più correttamente, “e-proctoring” si fa riferimento – in concreto – a soluzioni software di monitoraggio e controllo a distanza dei soggetti sottoposti a valutazione ed esame, prevalentemente in ambito accademico per lo svolgimento di test scritti e orali, al fine di prevenire comportamenti volti ad alterarne i risultati (es. suggerimenti da parte di persone non inquadrate dalla webcam, consultazione di appunti cartacei o a monitor da parte dello studente / candidato, ecc.).
Si tratta di sistemi che, in primo luogo, operano un trattamento di dati biometrici finalizzato al riconoscimento della persona che si sta effettivamente sottoponendo ad esame, incrociando i dati del volto con quelli presenti in archivio o sul documento di identità rammostrato in sede di esame; in secondo luogo – ed è questo l’aspetto più controverso – operano una profilazione sfruttando algoritmi ed intelligenza artificiale (IA) per l’individuazione automatizzata di comportamenti, gesti, movimenti del corpo e (in particolare) degli occhi, nonché suoni considerati “sospetti”, generando degli alert che appaiono agli esaminatori o impedendo al candidato di accedere alla prova o di proseguirla.
3. I principali problemi riscontrati, lato privacy
Con l’emergenza determinata dalla diffusione mondiale del virus Sars-CoV-2 (ormai più noto a tutti con il nome della patologia a questo associata, CoViD-19) il proctoring è stato sempre più impiegato, specie da scuole e università, tanto che Autorità garanti privacy e Corti nazionali dei singoli Paesi UE stanno cominciando a interessarsene e a rilasciare pareri e pronunce.
La preoccupazione maggiore riguarda le logiche che guidano il funzionamento di questi software e l’invasività del controllo a distanza operato.
Si tratta infatti di sistemi che impiegano algoritmi / IA spesso basati su mere presunzioni, cioè su comportamenti e gesti dell’individuo a cui non è scientificamente possibile attribuire un significato unanime e certo (distogliere lo sguardo dal monitor durante una prova può voler dire che il candidato sta sbirciando un appunto? Sta chiedendo aiuto a un complice? Oppure sta semplicemente guardando nel vuoto per concentrarsi sulla risposta da dare?).
Detti algoritmi, per di più, tendono sovente a considerare fraudolenti il comportamento e la gestualità di allievi / candidati portatori di disabilità. In alcuni casi, candidati con la pelle “scura” sono stati indicati come “non identificati”, poiché l’IA era stata addestrata a riconoscere esclusivamente soggetti di razza caucasica o asiatica.
Ai dubbi che concernono la validità scientifica delle logiche legate alla profilazione si sommano
la carenza di informazioni solitamente rese all’Interessato (in particolare, per quanto attiene all’art. 13, par. 2 lett. f) del GDPR),
il fatto che l’automatizzazione riguardi anche dati biometrici (artt. 4, num. 14) e art. 9, GDPR),
nonché l’abuso della base giuridica consensuale (volta ad aggirare i divieti posti dall’art. 22 GDPR) in contesti in cui l’acquisizione del consenso vìola le disposizioni di cui alle Linee guida EDPB n° 5/2020, in ragione dello squilibrio di potere tra il Titolare e l’Interessato.
Ulteriori questioni riguardano poi le società che forniscono questi sistemi, il più delle volte aventi sede e centri di elaborazione dati negli Stati Uniti (sul punto, vedasi le questioni conseguenti alla nota sentenza “Schrems II” della CGUE, in punto trasferimento dati extra-SEE).
In considerazione dei potenziali pericoli insiti nell’impiego di tali sistemi, talune Autorità di controllo nazionali hanno per il momento cautelativamente imposto a scuole e università utilizzatrici di procedere ad approfondite DPIA (ex art. 35 GDPR) prima di scegliere se avvalersene, in alcuni casi dotandosi anche di vere e proprie linee guida volte ad accompagnare l’istituto nella valutazione in concreto del software che intende acquisire.
Con specifico riferimento ai concorsi pubblici, occorre dunque domandarsi se nel nostro Paese, tenuto conto della specifica normativa nazionale di riferimento, possa ritenersi sufficiente, ai fini di compliance ed accountability, procedere a previa DPIA per l’impiego dei sistemi di proctoring da parte della Pubblica Amministrazione.
4. Le indicazioni del Garante privacy italiano
Per quanto riguarda l’Italia, il 2 marzo 2021 il Dipartimento della funzione pubblica ha comunicato che, d’intesa con il Garante privacy, stava definendo delle apposite “Linee guida per l’organizzazione e lo svolgimento a distanza delle prove concorsuali” mediante sistemi di proctoring, considerando questi ultimi “una doverosa innovazione tecnologica per non bloccare la macchina delle assunzioni”.
Tuttavia, il 27 aprile u.s., nell’ambito dell’Audizione del Presidente dell’Autorità garante per la protezione dei dati personali avanti alle Commissioni riunite 7a e 12a del Senato della Repubblica, il Garante ha del tutto escluso (al momento) la possibilità di impiegare sistemi di proctoring nell’ambito dei concorsi pubblici, con la seguente motivazione:
“...si pone a fortiori l’esigenza di normare se e fino a che punto sia legittimo l’utilizzo di simili programmi informatici. Da ultimo questa esigenza appare allo stato essere stata superata dall’art. 10 del d.l. 44 2021 che non appare ammettere l’impiego di tali sistemi per le prove concorsuali pur richiedendo l’utilizzo di strumenti informatici. In ogni caso, nella misura in cui la remotizzazione dell’attività formativa e, appunto, delle prove d’esame o concorsuali dovesse proseguire, sarebbe certamente necessario subordinare l’ammissibilità di tali tecniche di rilevazione a una specifica disciplina, tesa a coniugare tutela della privacy ed esigenze di controllo di eventuali condotte scorrette dei candidati. Laddove il Parlamento intendesse accogliere questo invito, il Garante non farà certamente mancare il suo contributo.”
5. Conclusioni sul proctoring
Deve pertanto considerarsi vietata la possibilità di impiego dei sistemi di proctoring per i concorsi pubblici, in quanto i relativi trattamenti di dati personali non potrebbero – allo stato attuale – essere considerati leciti.
Ne consegue che, anche laddove l’Ente volesse procedere in autonomia a previa DPIA, la stessa dovrebbe portare alla conclusione per cui il trattamento non può essere avviato, non sussistendo idonea base giuridica legittimante.
Il Garante, tuttavia, non esclude che sistemi di proctoring possano in futuro essere impiegati dalla PA per i concorsi pubblici, purché il Parlamento ne disciplini l’applicazione, con ciò intendendosi non soltanto una previsione normativa generica che autorizzi l’utilizzo di tali sistemi, bensì una disciplina “specifica”, capace di operare un bilanciamento effettivo tra protezione dei dati e garanzie di corretto svolgimento delle prove concorsuali.