Esami online fuorilegge, controlli mancati e video archiviati: il caso delle università telematiche

Per anni, anche dopo la fine dello stato di emergenza Covid, alcune università telematiche hanno continuato a svolgere esami di profitto in modalità online. Gli studenti venivano registrati durante le prove direttamente dalle proprie abitazioni, attraverso sistemi di proctoring e riconoscimento facciale. In alcuni casi, quelle stesse registrazioni risulterebbero oggi ancora archiviate e potenzialmente riutilizzate per verifiche retroattive su carriere già concluse.

Secondo una ricostruzione basata su fonti accademiche, sindacali e provvedimenti amministrativi, tra cui quelli relativi a UniPegaso, Universitas Mercatorum ed eCampus, il ricorso agli esami a distanza sarebbe proseguito anche dopo la cessazione delle deroghe legate all’emergenza.

Il punto, tuttavia, non riguarda più soltanto la qualità della didattica a distanza. Il nodo è giuridico e regolatorio: perché il quadro normativo su esami universitari e trattamento dei dati personali risultava già definito, almeno formalmente, da tempo.

Il quadro regolatorio post-emergenza è infatti chiaro e stratificato. Il primo passaggio decisivo arriva con il decreto-legge n. 24 del 24 marzo 2022, che sancisce la fine dello stato di emergenza dal 31 marzo dello stesso anno. Il D.M. 1154/2021 ha ridefinito i requisiti didattici senza distinguere tra atenei tradizionali e telematici, riportando la centralità della verifica in presenza. Successivamente, il D.M. 1835/2024, cosiddetto “Decreto Bernini”, ha ribadito in modo esplicito che le “verifiche di profitto e l’esame finale sono svolti in presenza per tutte le tipologie dei corsi di studio”, ammettendo deroghe solo in casi eccezionali legati a emergenze certificate o a condizioni di disabilità ai sensi della legge 104/1992.

A completare il quadro, le Faq del Ministero dell’Università e della Ricerca (Mur) aggiornate al 2025 hanno precisato che qualsiasi esame a distanza richiede un “preventivo nulla osta ministeriale”, mai concesso in via ordinaria nel periodo successivo all’emergenza.
Nonostante ciò, il modello operativo delle università telematiche più grandi ha continuato a basarsi su esami da remoto, elemento centrale del proprio sistema industriale. Il gruppo Multiversity — che controlla UniPegaso, Mercatorum e San Raffaele Roma — ha costruito negli anni un’offerta fondata proprio sulla riduzione della mobilità fisica degli studenti, con gli esami online come leva commerciale strutturale.

I dati Anvur fotografano un sistema in espansione: in dieci anni le iscrizioni alle telematiche sono quintuplicate. Nel 2022 il rapporto studenti-docenti era pari a 384,8 studenti per docente nelle università telematiche, contro i 28,5 degli atenei tradizionali. Una sproporzione che segnala una forte industrializzazione del modello.

Il nodo dei controlli e il vuoto istituzionale

Secondo analisi pubblicate in ambito accademico e documenti sindacali, tra cui quelli della FLC Cgil Roma e Lazio, il sistema avrebbe operato in assenza di controlli efficaci da parte degli organismi deputati: Mur, Cun e Anvur. Il sindacato ha parlato esplicitamente di “prassi illegittime” e di esami a distanza proseguiti “nonostante norme che indicano la presenza”, sottolineando la mancanza di interventi correttivi.

In parallelo, il quadro sanzionatorio sulla protezione dei dati ha iniziato a muoversi in autonomia. Il Garante per la protezione dei dati personali ha infatti già sanzionato più atenei per l’uso di sistemi di sorveglianza durante gli esami online.
Nel febbraio 2026 è stata inflitta a eCampus una sanzione da 50.000 euro per l’uso di proctoring biometrico, in violazione del Regolamento UE 2016/679 (Gdpr). Le violazioni contestate hanno riguardato l’assenza di base giuridica per il trattamento di dati biometrici (art. 9 Gdpr), la mancata valutazione d’impatto (Dpia) e la conservazione dei dati per periodi ritenuti sproporzionati rispetto alle finalità.

Il tema più sensibile: la conservazione dei video

Il punto più critico emerso riguarda la conservazione delle registrazioni degli esami online. Secondo diverse segnalazioni, parte delle università telematiche avrebbe mantenuto nei propri server i video delle sessioni svolte negli anni successivi all’emergenza. Si tratta di contenuti che includono riprese degli studenti nelle proprie abitazioni, con potenziale esposizione di terzi e ambienti privati. In questo caso entrano in gioco principi fondamentali del Gdpr, come la limitazione della conservazione, la minimizzazione dei dati, il diritto alla cancellazione e il divieto di trattamento dei dati biometrici senza base giuridica.

Il nodo giuridico è aggravato da un elemento contrattuale: in alcune informative privacy degli atenei telematici era previsto che le registrazioni video venissero conservate “sino al conseguimento del titolo”. In assenza di cancellazione successiva, la conservazione oltre tale soglia potrebbe configurare inadempimento contrattuale oltre che violazione del Gdpr.

Il passaggio decisivo: il riutilizzo dei video

Un ulteriore elemento emerso riguarda l’ipotesi di utilizzo retroattivo delle registrazioni per verifiche post-laurea. Qualora questi casi si fossero realmente verificati, gli atenei avrebbero avviato controlli su esami già sostenuti e su studenti già laureati, analizzando i video delle prove.

Questo punto è giuridicamente rilevante perché introduce una seconda violazione: il cambio di finalità del trattamento. L’articolo 6 del Gdpr richiede una base giuridica specifica per ogni trattamento, mentre gli articoli 13 e 14 impongono l’obbligo di informare preventivamente gli interessati su tutte le finalità. L’articolo 17, inoltre, impone la cancellazione dei dati quando viene meno la finalità originaria.

Nel 2025 è stato introdotto un ulteriore strumento: il cosiddetto “Room Tour”, che obbliga gli studenti a inquadrare la propria abitazione prima dell’esame online. Il sistema, adottato da UniPegaso, Mercatorum e San Raffaele Roma, amplia il perimetro del trattamento dati includendo ambienti domestici, oggetti personali e potenzialmente terzi presenti. Qui si intrecciano due livelli normativi: la protezione dei dati personali e la tutela costituzionale del domicilio, oltre all’art. 7 della Carta dei diritti fondamentali dell’UE.

Il punto di caduta: vigilanza e responsabilità

Il decreto ministeriale del 2024 ha formalmente chiuso il vuoto normativo, ma non ha sanato gli anni precedenti. Resta aperta la questione della vigilanza: chi ha controllato l’applicazione delle regole tra il 2022 e il 2025? Il sistema delle università telematiche ha operato in una zona grigia regolatoria in cui il modello economico — basato su esami da remoto, scalabilità e riduzione dei costi — si è sovrapposto a norme che, formalmente, imponevano il ritorno alla presenza.

Il risultato è un quadro in cui convivono tre livelli di criticità: la possibile violazione delle norme ministeriali sugli esami, le sanzioni già emesse dal Garante Privacy e il problema aperto della conservazione e del riutilizzo dei dati video degli studenti.

Un sistema che, nella sua evoluzione post-pandemica, non ha semplicemente mantenuto alcune pratiche emergenziali, ma ha strutturato su quelle pratiche un modello stabile. E che oggi si confronta con una domanda ancora senza risposta istituzionale: quanti esami, e quanti dati personali, sono stati gestiti fuori dal perimetro delle regole.

Il quadro normativo: cosa dice la legge

D.L. 24 marzo 2022, n. 24 — Dispone la cessazione dello stato di emergenza Covid dal 1° aprile 2022. Vengono meno tutte le deroghe temporanee che autorizzavano esami a distanza.
D.M. 1154 del 14 ottobre 2021 (Governo Draghi, Ministra Messa) — Riforma i requisiti didattici per tutti gli atenei, telematici e non, senza distinzione; reintroduce l’obbligo generale della presenza per le verifiche di prodotto.
D.M. 1835 del 6 dicembre 2024 (c.d. “Decreto Bernini”) — Ribadisce esplicitamente che le verifiche di prodotto e l’esame finale “sono svolti in presenza per tutte le tipologie dei corsi di studio”, ammettendo deroghe solo per emergenze temporanee certificate o per studenti con disabilità accertata ai sensi della L. 104/1992. Entrato in vigore dall’A.A. 2025/2026.
FAQ ufficiali MUR (aggiornate 2025) — Chiariscono che qualsiasi deroga per l’esame da remoto richiede «preventivo nulla osta ministeriale», mai rilasciato agli atenei telematici in via ordinaria nel periodo post-emergenza.
Le norme sulla privacy violate nella conservazione dei video
Art. 5, par. 1, lett. e) GDPR — Principio di “limitazione della conservazione”: i dati personali devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.
Art. 5, par. 1, lett. c) GDPR — Principio di “minimizzazione dei dati”: i dati trattati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità. Riprese video degli ambienti domestici eccedono chiaramente tale limite.
Art. 9 GDPR — Divieto generale di trattamento di categorie particolari di dati, tra cui i dati biometrici, salvo specifici presupposti di liceità. Le riprese che consentono identificazione facciale rientrano in questa categoria.
Art. 83 GDPR — Prevede sanzioni fino a 20 milioni di euro o al 4% del fatturato annuo mondiale totale per violazioni dei principi fondamentali del trattamento.
D. Lgs. 196/2003 (Codice Privacy italiano), come modificato dal D. Lgs. 101/2018 — Recepisce il GDPR nell’ordinamento italiano e attribuisce al Garante i poteri sanzionatori e correttivi.

Cosa dice il contratto di Pegaso sulla conservazione dei video

5.1 — Durata del trattamento: “i Suoi Dati Personali saranno trattati solo per il tempo necessario a garantire il regolare svolgimento e la verbalizzazione dell’esame”.
5.2 — Conservazione dei dati di carriera: i dati della carriera universitaria (verbali, CFU, voti) sono conservati in modo permanente ai sensi dell’art. 43 c. 3 del Codice di Amministrazione Digitale. L’aggravante: se i video sono stati analizzati da società esterne vi è infine una circostanza che, qualora confermata, trasformerebbe quello che già appare come un illecito in una violazione di proporzioni sistemiche.
5.2 — Conservazione dei video d’esame: “la registrazione audio-video della prova, nonché le foto scattate dalla webcam […] verranno conservati sino al conseguimento del titolo finale del corso di studi frequentato”.

Conseguenza giuridica: qualsiasi utilizzo dei video dopo il conseguimento del titolo è contrattualmente illegittimo, oltre che in contrasto con il principio GDPR di limitazione della conservazione (art. 5, par. 1, lett. e).
Possibile rimedio per gli studenti: il mancato rispetto dell’informativa contrattuale fonda un’azione di risarcimento del danno non patrimoniale ai sensi dell’art. 82 GDPR, azionabile sia davanti al Garante sia davanti al giudice civile ordinario.

Le norme violate dalla revisione retroattiva dei video

Art. 5, par. 1, lett. b) GDPR — Limitazione delle finalità — I dati raccolti per una finalità specifica (verifica dell’identità in sede d’esame) non possono essere ritrattati per finalità incompatibili come l’accertamento disciplinare ex post, salvo esplicita previsione di legge.
Art. 6 GDPR — Liceità del trattamento — Il ritrattamento dei video per indagini amministrative postume richiede una base giuridica autonoma e specifica, che non risulta essere stata individuata né comunicata agli interessati.
Art. 13-14 GDPR — Obblighi di informativa — Gli studenti avevano diritto di essere informati, già al momento della raccolta, della possibilità che i video venissero utilizzati per scopi disciplinari futuri. L’assenza di tale informativa integra una violazione autonoma.
Art. 17 GDPR — Diritto alla cancellazione — Il titolare del trattamento è tenuto a cancellare i dati personali senza ingiustificato ritardo quando vengono meno le finalità per cui erano stati raccolti. La conservazione dei video dopo il superamento dell’esame viola questo obbligo.
Art. 28 GDPR — Responsabile del trattamento esterno — Se la revisione dei video è stata affidata a società esterne, il trasferimento dei dati richiede un contratto scritto che ne definisca finalità e limiti, mai autorizzato dagli studenti. In caso di violazione, ateneo e società terza rispondono in solido davanti al Garante.
Art. 83, par. 5, lett. a) GDPR — Le violazioni dei principi fondamentali del trattamento sono punite con sanzioni fino a 20 milioni di euro o al 4% del fatturato annuo mondiale totale dell’impresa.

Cosa dice il contratto Pegaso sulla conservazione dei video

Durata dichiarata (§ 5.1) — I dati personali saranno trattati “solo per il tempo necessario a garantire il regolare svolgimento e la verbalizzazione dell’esame”.
Conservazione video e foto webcam (§ 5.2) — “La registrazione audio-video della prova, nonché le foto scattate dalla webcam in fase di riconoscimento e durante lo svolgimento della prova medesima, verranno conservati sino al conseguimento del titolo finale del corso di studi frequentato”.
Violazione contrattuale accertata — L’utilizzo dei video per revisioni postume rivolte a ex laureati dimostra che i dati non sono stati cancellati al termine del rapporto, in contrasto diretto con quanto dichiarato nell’informativa.
Responsabilità civile — Art. 1218 c.c. (inadempienza contrattuale) + art. 82 GDPR (diritto al risarcimento del danno per trattamento illecito) + Corte di Giustizia UE, causa C-300/21: il danno non patrimoniale da violazione del GDPR è risarcibile anche senza prova di un pregiudizio materiale concreto.

L’articolo Esami online fuorilegge, controlli mancati e video archiviati: il caso delle università telematiche è tratto da Forbes Italia.