A proteção de dados pessoais e a utilização de aplicações de realização de exames à distância: algumas notas em torno da deliberação 622/2021 da Comissão Nacional de Proteção de Dados de Portugal
| Autor | Ana Francisca Pinto Dias |
| Páginas | 293-326 |
16
A PROTEÇÃO DE DADOS PESSOAIS
E A UTILIZAÇÃO DE APLICAÇÕES DE
REALIZAÇÃO DE EXAMES À DISTÂNCIA:
ALGUMAS NOTAS EM TORNO DA DELIBERAÇÃO
622/2021 DA COMISSÃO NACIONAL DE
PROTEÇÃO DE DADOS DE PORTUGAL
Ana Francisca Pinto Dias
Docente na Faculdade de Direito da Universidade de Coimbra. Doutoranda em Ciência
Jurídico-Processuais na Faculdade de Direito da Universidade de Coimbra. Endereço
de correio eletrónico: francisca.dias@fd.uc.pt.
Resumo: A DPA portuguesa ordenou a uma instituição de ensino cessasse a utilização uma aplicação de
software voltados à scalização de alunos durante a realização de exames on-line.
Fundamentos: Art. 5 (1) b) GDPR / Art. 5 (1) a) GDPR / Art. 5 (1) c) GDPR / Art. 6 (1) e) GDPR / Art. 6 (1) f)
GDPR / Art. 22 GDPR.
Decisão completa:
https://www.cnpd.pt/umbraco/surface/cnpdDecision/download/121887
Sumário: 1. Descrição do caso – 2. Fundamentação legal para a imposição da sanção – 3. Comentários
e análise crítica; 3.1 Os sujeitos responsáveis pelo tratamento dos dados pessoais: o responsável pelo
tratamento e o subcontratante; 3.1.1 Relevância dos conceitos; 3.1.2 O responsável pelo tratamento
(data controller); 3.1.3 O subcontratante (data processor); 3.2 Os princípios relativos ao tratamento de
dados pessoais; 3.2.1 O princípio da licitude; 3.2.1.1 Da ilegitimidade do fundamento invocado pelo
responsável pelo tratamento; 3.2.1.2 O princípio da licitude, em particular: a ausência de consentimento
dos titulares dos dados; 3.2.2 O princípio da limitação das nalidades; 3.2.3 Princípio da minimização
dos dados; 3.3 Decisões individuais automatizadas; 3.4 Transferência transfronteiriça de dados pessoais
– 4. Conclusão – Referências.
ANA frANCISCA PINto dIAS
294
1. DESCRIÇÃO DO CASO
O presente texto propõe-se a analisar a deliberação 622/2021 da Comissão Nacional
de Proteção de Dados: o caso Respondus.
Esta decisão administrativa tem subjacente, do ponto de vista do seu quadro factual,
a introdução de um sistema de avaliação e monitorização à distância dos alunos de uma
instituição de ensino superior, através de duas aplicações: a Respondus Lockdown Browser,
um navegador de internet próprio que tem como nalidade impedir os estudantes de
aceder a outras aplicações no seu computador (como seja, impressão, captura de ecrã,
copiar e/ou colar, acesso a aplicação de mensagens), durante o período de realização
do exame, e a Respondus Monitor, que consiste num sistema de vigilância automatizada
(proctoring) dos estudantes durante a realização do exame, permitindo a monitorização
dos seus comportamentos através do recurso à webcam e a técnicas de análise de vídeo,
as quais podem ser utilizadas em diversos Learning Management Systems já existentes
nas instituições de ensino (v.g., moodle) e através das quais os docentes podem criar e
disponibilizar um exame aos estudantes.1
Previamente ao início da realização da avaliação, há lugar a um conjunto de ope-
rações, que visam capturar um conjunto de dados, nomeadamente: (i) Webcam Check
(vericação das condições de áudio e vídeo do aluno); (ii) Student Photo (solicita que
o aluno se enquadre com a área de captura da webcam, para recolha de fotograa); (iii)
Show ID (solicita a exibição da identicação de aluno e enquadramento, com a área de
captura, para recolha de fotograa); (iv) Environment Check (o aluno lma a área que o
envolve); e, (v) Facial Detection Check (detecção facial do aluno).2
Durante a realização do exame são capturados e gravados o som e a imagem do
aluno e a própria gravação da webcam é sucedida por uma etapa de tratamento auto-
matizado que utiliza a tecnologia de detecção facial e de reconhecimento facial, para
aferir se o estudante permaneceu no enquadramento do vídeo, se houve várias pessoa
a aparecer nesse enquadramento, se a pessoa que aparece no enquadramento do vídeo
é a mesma pessoa que iniciou o exame e, ainda, qual a posição da face do utilizador em
relação à câmara de vídeo.3
Ademais, em conformidade com os termos de utilização da aplicação Respondus
Monitor, os alunos para poderem aceder a ela, são obrigados a aceitar, em cada uma das
vezes que acessam a aplicação, todas as condições de utilização impostas pela Respondus
Inc., nomeadamente os termos relativos ao tratamento de dados pessoais e são alertados
de que utilizam a aplicação por sua conta e risco, isto é, são obrigados a aceitar que a
Respondus Inc. não será responsável pela ocorrência de eventuais violações de dados
pessoais.4
1. Cfr., parágrafos 7, 8, 11, 12, 14 e 15 da Deliberação 2021/622 da CNPD.
2. Cfr., parágrafo 16 da Deliberação 2021/622 da CNPD.
3. Cfr., parágrafos 18, 20 e 21 da Deliberação 2021/622 da CNPD.
4. Cfr., parágrafo 24 da Deliberação 2021/622 da CNPD.
295
A PROTEÇÃO DE DADOS PESSOAIS E A UTILIZAÇÃO DE APLICAÇÕES DE REALIZAÇÃO DE EXAMES À DISTÂNCIA
As aplicações mencionadas foram criadas pela Respondus Inc., uma empresa
norte-americana pioneira na prestação de serviços de tecnologia e soware para a área
educativa, em especial no domínio da realização de exames online, que autorizou, atra-
vés de um contrato de licenciamento, uma instituição de ensino superior portuguesa a
utilizar as aplicações Respondus Lockdown Browser e Respondus Monitor.5
O referido contrato de licenciamento foi complementado com um Data Processing
Agreement (DPA), outorgado entre a instituição de ensino e a Respondus Inc., nos termos
do qual se reconhece que aquela instituição é responsável pelo tratamento de dados dos
estudantes e a Respondus Inc. é a subcontratante que trata os dados pessoais em nome
do responsável pelo tratamento e sob as suas instruções, sob a forma de armazenamento
dos dados, nos seus servidores.
Os servidores da Respondus Inc., que alojam as aplicações Respondus Lockdown
Browser e Respondus Monitor e os respetivos dados pessoais objeto de tratamento, estão
localizados fora do Espaço Económico Europeu – havendo, portanto, transferência in-
ternacional de dados pessoais –, sendo os dados pessoais tratados controlados e operados
por um subcontratante, a Amazon Web Services, com a devida autorização da entidade
licenciada6.
Relativamente à transferência internacional de dados pessoais, o Data Processing
Agreement prevê, ainda, que os dados pessoais são transferidos para os Estados Unidos
da América para uma entidade certicada ao abrigo dos Princípios do Escudo da Pri-
vacidade (Privacy Shield Framework) ou para um destinatário ao abrigo de cláusulas
contratuais-tipo aprovadas pela Comissão Europeia, constando, em anexo ao acordo
de tratamento de dados, um contrato de transferência de dados para os EUA entre a
instituição licenciada, enquanto exportadora de dados, e a Respondus Inc., na qualidade
de importadora de dados, ao abrigo da então Diretiva 95/46CE, a Diretiva sobre a Prote-
ção de Dados Pessoais, revogada pelo RGPD7. Conforme este contrato, são transferidos
para os Estados Unidos da América dados pessoais, quer de trabalhadores da instituição
licenciada, quer dados pessoais dos estudantes inscritos na instituição licenciada, de
diversas categorias, como sejam dados de autenticação (nome de utilizador), dados de
identicação (nome e apelido), dados de contacto (e-mail opcional, em caso de pedido
de apoio técnico), números únicos de identicação e assinaturas (cartão de identicação
de estudante), fotograas, vídeo e áudio (v.g., gravação vídeo/aula do examinando), da-
dos de natureza educativa (v.g., dados resultantes da análise da vigilância dos exames),
identicação do dispositivo (endereço IP).8
O responsável para o tratamento fundou o tratamento de dados pessoais, no âmbito
das aplicações Respondus Lockdown Browser e Respondus Monitor, na prossecução do
5. Cfr., parágrafos 9 e 10 da Deliberação 2021/622 da CNPD.
6. Cfr., parágrafos 25 e 26 da Deliberação 2021/622 da CNPD.
7. Cfr., parágrafo 27 da Deliberação 2021/622 da CNPD.
8. Cfr., parágrafos 28 e 29 da Deliberação 2021/622 da CNPD.
Para continuar a ler
PEÇA SUA AVALIAÇÃO