As ferramentas em causa (“Respondus Lockdown Browser” e “Respondus Monitor”) permitem fazer a monitorização dos estudantes durante as provas, através de um navegador de Internet que impede a utilização de outras aplicações e de um sistema de vigilância que regista o comportamento dos alunos.
No entanto, a CNPD adverte agora que a utilização destas duas ferramentas “é suscetível de violar os princípios da licitude, da finalidade, da minimização dos dados e da proporcionalidade” consagrados no Regulamento Geral sobre a Proteção de Dados (RGPD).
Por outro lado, a comissão ordena ainda que a universidade em causa, que promovia a instalação dos dois ‘softwares’ ainda antes da época de exames começar, solicite à empresa a eliminação de todos os dados pessoais que eventualmente tenham sido recolhidos.
Considerando as diferentes funcionalidades daquelas ferramentas, a CNPD considerou que violam em diferentes aspetos diversos princípios do RGPD, por tratarem de forma automática muitos dados pessoais, desde a gravação de som e imagem, bem como as interações do aluno com o computador, através de padrões biométricos.
“Quando em causa estão dados relativos ao comportamento dos estudantes e tratados num contexto analítico através de algoritmos, só pode concluir-se que há um tratamento de especial sensibilidade”, lê-se na deliberação.
Perante isto, a CNPD considera que a justificação da universidade para o recurso a estas ferramentas, de forma a assegurar a integridade das provas, é insuficiente e, por isso, o tratamento de dados associado é “desnecessário e excessivo”, em violação do regulamento geral.
Por outro lado, é também referida a falta de critérios “objetivos, uniformes e escrutináveis” para a forma como o ‘software’ é utilizado, acabando por poder gerar discriminação entre os alunos, já que o recurso ao “Respondus” é uma decisão dos coordenadores de cada curso.
Acresce ainda que os dados pessoais são, segundo a CNPD, alojados nos Estados Unidos em servidores da Amazon, ao abrigo das cláusulas contratuais. Uma vez que a utilização das aplicações seria obrigatória, acrescenta a comissão, não haveria um consentimento “juridicamente relevante” e o tratamento de dados ulterior seria ilícito.
“Esta anuência obrigatória contraria obviamente as disposições do RGPD, pois o consentimento tem de constituir uma manifestação de vontade inequívoca, específica e livre”, lê-se na deliberação.
Apesar de a deliberação não identificar a instituição de ensino superior em causa, foi noticiado em março que os docentes da Universidade do Minho poderiam exigir a utilização deste ‘software’ durante os exames ‘online’ e a CNPD confirmou na altura a abertura de uma investigação.
Além da Universidade do Minho e do ‘software’ Respondus, outras instituições quiseram implementar regras de vigilância para a avaliação à distância com recurso a ferramentas semelhantes.
Um desses casos foi na Faculdade de Direito da Universidade de Lisboa, que impunha a utilização da plataforma “Proctorio”, acabando por abandonar a decisão perante grande contestação dos alunos, que levou também à abertura de uma outra investigação por parte da CNPD.
A polémica não é recente e já no ano letivo passado as instituições de ensino superior se debateram com o problema da fraude nas avaliações, encontrando, por vezes, alternativas mais intrusivas e consideradas questionáveis do ponto de vista da proteção de dados.
Por isso, em maio a CNPD emitiu orientações sobre a avaliação à distância, em que alertava as instituições para a necessidade de respeitarem "os princípios e as regras legais de proteção dos dados".