Proctoring nella procedura di candidatura: ammissibilità ai sensi della normativa sulla protezione dei dati secondo il GDPR

Come le aziende utilizzano il proctoring in modo conforme alla legge.
Categorie:
,
Immagine di Aristotelis Zervos

Aristotelis Zervos

Aristotelis Zervos, direttore editoriale di 2B Advice, unisce competenze giuridiche e giornalistiche in Protezione dei datiConformità informatica e regolamentazione dell'IA.

„Il termine “Proctoring" indica la sorveglianza digitale degli esami, in cui i candidati vengono monitorati tramite webcam e microfono durante un test online. L'obiettivo è quello di prevenire le frodi. Il Proctoring ha lo scopo di garantire che i candidati non utilizzino strumenti non autorizzati o intelligenza artificiale a casa. I fornitori di questo tipo di software spesso pubblicizzano la conformità al GDPR di questo sistema di sorveglianza. In pratica, tuttavia, i candidati devono prima acconsentire all'uso della telecamera (e, nella maggior parte dei casi, di software aggiuntivo). In teoria è possibile rifiutare il consenso, ma in tal caso sorge la domanda se la candidatura continuerà a essere presa in considerazione. Questo articolo esamina se e a quali condizioni il proctoring sia consentito dal punto di vista della protezione dei dati nell'ambito delle procedure di candidatura e fornisce raccomandazioni pratiche per un utilizzo conforme.

Rischi relativi alla protezione dei dati nel proctoring

In un test online basato sul proctoring, sono necessari ampi Dati personali Oltre alle registrazioni video e audio del candidato, spesso vengono registrati anche i contenuti dello schermo, i dati inseriti (ad es. movimenti della tastiera e del mouse) e i dati identificativi (ad es. mostrando un documento d'identità davanti alla telecamera). Alcuni strumenti di proctoring intervengono in profondità nel sistema: possono leggere la cronologia del browser, modificare le impostazioni del dispositivo o monitorare i programmi in esecuzione. Tali funzioni consentono di accedere ad aree molto personali (ad es. arredamento della casa, file privati).

Dal punto di vista della protezione dei dati, si tratta di una grave violazione della La privacy e il diritto di Autodeterminazione informativa. Esiste il rischio che anche i dati sensibili ai sensi dell'art. 9 GDPR essere registrati; ad esempio dati biometrici (caratteristiche facciali, movimenti oculari per la verifica dell'identità) o dettagli dell'ambiente domestico che consentono di dedurre l'origine etnica, la religione o lo stato di salute. Secondo la normativa sulla protezione dei dati, tale intervento è considerato altamente rischioso per i diritti delle persone interessate e può comportare una Valutazione dell'impatto sulla protezione dei dati (Art. 35 GDPR) necessario.

Inoltre, la volontarietà della partecipazione è messa sotto pressione: i candidati si trovano nel proprio spazio privato e difficilmente possono sfuggire alla sorveglianza se desiderano partecipare alla procedura di selezione. Questa situazione solleva questioni fondamentali circa l'ammissibilità e la base giuridica del trattamento dei dati.

Per la Elaborazione Il trattamento dei dati personali nella procedura di candidatura è generalmente effettuato da più soggetti. Base giuridica il GDPR In seguito vengono elencate le norme rilevanti per l'utilizzo del proctoring e le relative insidie.

Misura precontrattuale (art. 6, comma 1, lett. b GDPR)

Si potrebbe valutare se la sorveglianza tramite proctoring sia una parte necessaria del processo di candidatura ai sensi dell'art. 6, comma 1, lett. b). GDPR può essere giustificato (trattamento dei dati per la stipula di un contratto o per misure precontrattuali). Sebbene un test di assunzione rientri fondamentalmente nell'ambito precontrattuale, il monitoraggio digitale di tale test non è „necessario“ in senso stretto per lo svolgimento della procedura di candidatura. Lo scopo, ovvero determinare l'idoneità dei candidati, potrebbe essere raggiunto anche senza la videosorveglianza. Ad esempio, attraverso un test non sorvegliato (con un rischio residuo di frodi) o attraverso un test in presenza in loco. Il proctoring è una misura organizzativa facoltativa e non una parte indispensabile della procedura di selezione. Pertanto, l'art. 6, par. 1, lett. b) GDPR di norma come base giuridica.

Questa interpretazione è in linea con le valutazioni in materia di protezione dei dati, secondo cui la procedura di candidatura in sé può rientrare nell'ambito di applicazione dell'articolo 6, lettera b), ma non le misure di sorveglianza che la accompagnano, che servono solo a controllare l'esame.

Interesse legittimo dell'azienda (art. 6, comma 1, lett. f GDPR)

Un'altra possibilità è quella di invocare l'interesse legittimo del responsabile (dell'azienda) ai sensi dell'art. 6, comma 1, lett. f). GDPR. L'azienda ha indubbiamente un interesse legittimo a garantire pari opportunità ed equità nei test e a prevenire le frodi. Tale interesse è stato riconosciuto anche dai tribunali come uno scopo importante, ad esempio per garantire la parità di trattamento dei candidati e la Integrità dei risultati degli esami. Pertanto, il Tribunale amministrativo superiore (OVG) della Renania Settentrionale-Vestfalia (decisione del 4.3.2021 – 14 B 278/21) ha ritenuto che Sorveglianza video degli esami online durante gli studi universitari al fine di evitare frodi. Ha persino ritenuto che si trattasse di una misura nell'interesse pubblico. Anche il Tribunale amministrativo superiore dello Schleswig-Holstein (decisione del 3.3.2021 – 3 MR 7/21) ha valutato la videosorveglianza come proporzionata e adeguata, poiché non erano evidenti mezzi meno invasivi.

Tuttavia è necessaria cautela. Nell'art. 6 lett. f GDPR è necessario valutare gli interessi in gioco. Gli interessi dell'azienda sono contrapposti ai diritti fondamentali dei candidati, in particolare il diritto a La privacy e Autodeterminazione informativa. L'intensità dell'intervento da parte del proctoring è elevata: i candidati vengono osservati nelle loro case, eventualmente anche registrati. Questo squilibrio ha un effetto negativo sulla valutazione. A differenza delle università (che agiscono in virtù di un mandato pubblico di istruzione), i datori di lavoro privati hanno difficoltà a far valere un interesse prevalente che superi i forti diritti della personalità delle persone interessate. Inoltre, esistono spesso alternative (esami in presenza), il che riduce l' Necessità relativizza la misura. Nella pratica, le autorità garanti della protezione dei dati avvertono che una giustificazione ai sensi dell'art. 6, comma 1, lett. f comporta dei rischi. La ponderazione dovrebbe essere a favore dei candidati, cosicché un'azione basata esclusivamente su questa base sarebbe giuridicamente contestabile.

Consenso dei candidati (art. 6, comma 1, lett. a) del GDPR)

Rimane quindi probabilmente l'unica strada percorribile: la Consenso il candidato ai sensi dell'art. 6, comma 1, lettera a) GDPR. Infatti, i fornitori di servizi di proctoring e alcune aziende pubblicizzano il fatto che i candidati possono dare il loro consenso volontario, legittimando così il trattamento dei dati. In linea di principio, la Consenso una base giuridica valida, se soddisfa i requisiti della GDPR corrisponde a: ovvero se avviene in modo volontario, informato, specifico ed esplicito. Tuttavia, proprio la volontarietà nel processo di candidatura rappresenta il punto cruciale (vedi paragrafo successivo).

Senza un valido Consenso l'uso del proctoring non è consentito. Come già illustrato, né la necessità contrattuale né l'interesse legittimo sono sufficienti a garantirne l'affidabilità. Un uso conforme alla normativa sulla protezione dei dati dovrebbe quindi basarsi sul consenso attivo preventivo dei candidati, che devono ricevere tutte le informazioni rilevanti (portata della sorveglianza, scopo, durata, destinatari, tecnologia del software, ecc.). Trasparenza è indispensabile: i candidati devono sapere esattamente a cosa vanno incontro, comprese eventuali valutazioni automatizzate tramite algoritmi di intelligenza artificiale. Quest'ultimo aspetto è tuttavia difficile da garantire, poiché il funzionamento degli algoritmi di proctoring proprietari è spesso poco trasparente. Ciononostante, il garante della protezione dei dati di Berlino, ad esempio, richiede che vengano resi noti anche i criteri della valutazione automatizzata.

Fonte: Relazione annuale 2022 del Garante per la protezione dei dati di Berlino

Consenso volontario e possibilità di scelta “reale”

Il GDPR pone requisiti elevati a una volontaria Consenso, in particolare in caso di squilibrio di potere tra il responsabile e la persona interessata. Considerando 43 GDPR sottolinea che in situazioni di evidente squilibrio, ad esempio tra autorità e cittadini o tra datori di lavoro e candidati, è necessario un Consenso di norma non può essere considerato volontario.

Per il proctoring ciò significa che i candidati devono avere la possibilità di scegliere se partecipare o meno a un test online sorvegliato, senza che ciò comporti conseguenze negative. Le autorità di vigilanza raccomandano espressamente di offrire possibilità di test alternative. Concretamente, ciò può significare consentire ai candidati di sostenere un esame in presenza in loco come opzione equivalente, ad esempio in azienda o in un centro di valutazione. Solo se esiste un'alternativa equivalente si può parlare di una decisione volontaria.

Non sussiste invece una vera e propria scelta quando la Consenso può essere formalmente rifiutata, ma ciò significa di fatto la fine della candidatura. Anche una pressione sottile (ad esempio, l'indicazione che si “raccomanda” la partecipazione tramite proctoring) escluderebbe la volontarietà. A questo proposito, si veda anche la decisione della Corte d'appello della Turingia del 17 novembre 2025 (rif.: 3 U 885/24): Elaborazione Il trattamento dei dati biometrici, utilizzati ad esempio per il riconoscimento facciale e quindi per l'identificazione dei candidati, viola l'articolo 9. GDPR, se non esiste una reale possibilità di scelta.

Conclusione a questo punto: una conformità alla normativa sulla protezione dei dati Consenso nella procedura di selezione è possibile, ma solo nel rigoroso rispetto del principio di volontarietà. Ciò impone in pratica al datore di lavoro di offrire un'alternativa equivalente per la procedura di selezione. Solo in questo caso il consenso dei candidati può essere considerato efficace. Consenso che giustifichi il trattamento dei dati.

Raccomandazioni pratiche orientate all'azione

Di seguito trovate alcuni misure orientate alla pratica, per garantire la conformità alla normativa sulla protezione dei dati durante il proctoring:

  • Offrire un'alternativa al proctoring: Offrite una reale possibilità di scelta. Ad esempio, potete proporre in parallelo un test in presenza sotto supervisione in loco o in un centro di valutazione. Comunicate chiaramente che il rifiuto del proctoring online non comporta conseguenze negative.

  • Consenso ottenere informazioni: Prima del test, richiedete un'esplicita Consenso delle candidate (preferibilmente in forma scritta o elettronica). Assicurati che tutte le informazioni siano fornite in modo comprensibile: quali dati vengono raccolti (video, audio, screenshot, foto della carta d'identità, ecc.), a quale scopo, chi riceve i dati (ad esempio un fornitore di servizi di proctoring in qualità di responsabile del trattamento), durata della conservazione e diritti delle candidate. Indicate il diritto di recesso. I candidati devono sapere esattamente a cosa acconsentono.

  • Minimizzazione dei dati e limitazione della sorveglianza: Utilizzate i mezzi più moderati per raggiungere lo scopo (protezione dalle frodi). Ad esempio, invece di una registrazione completa, potreste effettuare un live proctoring senza memorizzazione permanente. Alcuni tribunali hanno ritenuto sufficiente archiviare le registrazioni solo in caso di necessità (in caso di anomalie o su richiesta per la conservazione delle prove). Rinunciate alle funzioni invasive del software che vanno oltre la sorveglianza con telecamera, come la ricerca nell'intero computer o il riconoscimento facciale automatico, a meno che non siano assolutamente necessarie. Ogni funzione aggiuntiva aumenta l'invasività e rende più difficile la giustificazione. Le funzioni di scansione della stanza dovrebbero essere utilizzate con molta cautela. Ai candidati dovrebbe essere consentito di mantenere uno sfondo neutro (ad esempio uno sfondo virtuale o una stanza vuota).

  • Misure di protezione tecniche e organizzative: È indispensabile stipulare un contratto di trattamento dei dati con il fornitore del servizio di proctoring (art. 28 GDPR), che tra le altre cose Riservatezza, Sicurezza dei dati, rigoroso Stanziamento di fondi e Cancellazione regola. Controllare la conservazione dei dati: le registrazioni/i protocolli devono essere conservati solo per il tempo necessario (idealmente in modo automatico). Cancellazione poco dopo la conclusione della procedura, purché non sussistano sospetti di frode). Se il fornitore di servizi ha sede al di fuori dell'UE (ad esempio negli Stati Uniti), sono necessarie misure aggiuntive.

Selezione dell'IA e valutazione dell'impatto sulla protezione dei dati

  • Nessuna decisione individuale automatizzata: Non è consentito affidarsi esclusivamente alla valutazione AI dello strumento di proctoring per selezionare i candidati. Se il software boccia automaticamente un candidato in caso di sospetto di frode, ciò viola il divieto di decisioni automatizzate (art. 22 GDPR). È preferibile verificare manualmente i risultati sospetti e decidere caso per caso con discernimento umano. In questo modo il processo rimane più trasparente e conforme alla legge per i candidati.

  • VVT creare: Documentare l'intero processo nel registro delle attività di trattamento.

  • Analisi dei valori soglia e DSFA: Eseguite inoltre un'analisi dei valori soglia per chiarire se l'utilizzo del proctoring nella vostra azienda comporti un rischio elevato per i diritti e le libertà dei candidati. Se così fosse, è necessario Valutazione dell'impatto sulla protezione dei dati necessario.


Suggerimento di lettura: Che cos'è un'analisi dei valori soglia e quando è obbligatoria?

Avete intenzione di utilizzare il proctoring nella procedura di selezione o utilizzate già test di selezione digitali? Allora dovreste agire subito. I requisiti legali sono elevati, così come i rischi in caso di errori.

Ailance vi supporta nella scelta delle soluzioni di proctoring Conforme al GDPR, pratico e sicuro dal punto di vista giuridico . Con la nostra piattaforma per la protezione dei dati e la conformità potete creare Trasparenza su Base giuridica, consensi, responsabili del trattamento, periodi di conservazione e rischi. Un'analisi dei valori soglia e una preparazione strutturata a una Valutazione dell'impatto sulla protezione dei dati sono anch'essi inclusi.

Saremo lieti di accompagnarvi anche come responsabile esterno della protezione dei dati (RPD esterno):

  • Valutazione giuridica della vostra configurazione di proctoring
  • Verifica dei processi di consenso e offerte alternative
  • Assistenza per VVT, analisi dei valori soglia e DSFA
  • Consigli pratici che funzionano anche nella routine quotidiana delle candidature


Trasformate la protezione dei dati in un vantaggio competitivo nel reclutamento. Contattateci per discutere di Ailance e dei nostri servizi come responsabile esterno della protezione dei dati. Vi aiuteremo a coniugare in modo sicuro innovazione e protezione dei dati.

Aristotelis Zervos è direttore editoriale di 2B Advice, avvocato e giornalista esperto di protezione dei dati, GDPRconformità informatica e governance dell'IA. Pubblica regolarmente articoli di approfondimento sulla regolamentazione dell'IA, sulla conformità al GDPR e sulla gestione del rischio. Per saperne di più su di lui, visitate il sito Pagina del profilo dell'autore.

Contattateci
Tag:
Condividi questo post :

Categorie più popolari

Newsletter

Iscrivetevi alla nostra newsletter sulla protezione dei dati per ricevere gli ultimi aggiornamenti, consigli e approfondimenti direttamente nella vostra casella di posta elettronica.
Abbonarsi

Ultimi messaggi