A Comissão Nacional de Proteção de Dados (CNPD) concluiu, em deliberação recente, que a utilização do software "Respondus" para avaliação à distância de estudantes "é suscetível de violar as disposições do Regulamento Geral de Proteção de Dados".
Corpo do artigo
A Universidade do Minho, que o usou, fica advertida e deve ordenar a eliminação dos dados pessoais recolhidos.
A deliberação de 11 de maio da CNPD surge em resposta à queixa apresentada por André Teixeira, presidente da Associação de Estudantes de Direito da Universidade do Minho, que pediu que a comissão considere ilegal a utilização dos softwares "Respondus Lockdown Browser" e "Respondus Monitor".
Na deliberação, a CNPD adverte que o uso destas aplicações para avaliação à distância dos alunos "é suscetível de violar os princípios da licitude, da finalidade, da minimização dos dados e da proporcionalidade", consagrados no Regulamento Geral de Proteção de Dados. A Universidade do Minho, que utilizou até há bem pouco tempo este software e ainda não o proibiu, fica advertida da possível ilegalidade do mesmo.
A CNPD ordena ainda que a academia minhota solicite à empresa do "Respondus" que apague "todos os dados pessoais que eventualmente tenha recolhido, caso alguns estudantes já tenham instalado as aplicações, devendo lavrar o devido auto de destruição de dados e remetê-lo ao responsável pelo tratamento".
O "Respondus" bloqueia o computador do estudante e impede-o de aceder a outros navegadores durante o tempo do exame, ao mesmo tempo que filma e capta o som do estudante e do ambiente à sua volta, analisando os seus movimentos faciais e corporais através de um algoritmo de inteligência artificial que calcula a probabilidade de estar a copiar. No limite, se a probabilidade indicada pelo algoritmo for alta, o aluno tem de repetir a prova.
Para a CNPD, "há claramente a aplicação de padrões biométricos na utilização do rato, do teclado ou dos movimentos corporais do aluno, os quais não são transparentes nem para a UM nem para o utilizador".
A comissão acrescenta que o estudante é obrigado a aceitar os termos do serviço, pois não tem alternativa à avaliação: "Esta anuência obrigatória contraria obviamente as disposições do RGPD, pois o consentimento tem de constituir uma manifestação de vontade inequívoca, específica e livre". Para além disso, "não foi feita uma avaliação sobre o nível de intrusão na privacidade quando o computador do estudante fica sob o controlo total de um terceiro", lê-se na deliberação.
Os softwares "Respondus" são detidos pela empresa norte-americana AWS, o que constitui outro problema para a CNPD, pois os dados pessoais dos estudantes são transferidos para aquele país, onde a legislação "não permite que seja garantido um nível de proteção de dados essencialmente equivalente ao da União Europeia".
Ao JN, André Teixeira diz estar "bastante satisfeito" com a resposta dada pela CNPD: "Devo dizer que sabe bem ver o sistema a funcionar, que é uma coisa que muitas vezes as pessoas duvidam, mas a decisão prova que uma voz pode influenciar positivamente a forma como as nossas instituições funcionam".
O estudante afirma que "valeu o esforço" de colocar a participação à CNPD e congratula-se ainda "por ver que a ferramenta não voltará a ser usada e por ver que qualquer abuso de dados que possa ter ocorrido ou pudesse ocorrer no futuro vai ser prevenido".
Universidade do Minho recorre
A Universidade do Minho apresentou, esta sexta-feira à tarde, recurso da decisão da CNDP. Em resposta ao JN, a academia minhota esclarece que utilizou o software desde setembro do ano passado, tendo terminado a utilização quando recebeu a notificação da CNPD.
A resposta rebate os argumentos utilizados pela comissão, pois a UMinho entende que "os dados que se recolhem nestas provas estão bem delimitados no tempo e no âmbito", dizendo apenas respeito à realização do exame.
Sobre a circunstância do computador do estudante ficar sobre o controlo total de um terceiro, a UMinho diz que "tal é um equívoco" pois o software "não permite qualquer tipo de controlo à distância".
Já sobre a questão da exportação dos dados para a empresa norteamericana, a UMinho assegura que salvaguardou a questão, tendo acordado com a empresa que tal "não seria aceitável", o que levou a que os termos de utilização, que inicialmente previam o envio de dados para a empresa fossem "alterados em conformidade".