A Comissão Nacional de Protecção de Dados (CNPD) considera que recorrer ao software Respondus Lockdown Browser para avaliar estudantes à distância, como decidiu a Universidade do Minho (UMinho), “é susceptível de violar as disposições do Regulamento Geral de Protecção de Dados”. Aquela instituição do ensino superior garante que já deixou de usar tal instrumento tecnológico.

A deliberação, datada de 11 de Maio, responde a uma queixa apresentada por André Teixeira, então presidente da Associação de Estudantes de Direito da UMinho, actual membro do Conselho Geral da Universidade. A utilização estava prevista, num despacho do reitor, para vigorar ao longo do ano lectivo 2020/2021.

O software vigia o computador no período do exame, vedando a possibilidade de aceder a outros navegadores. Também capta imagem e som do estudante e do ambiente em redor. Analisa os movimentos faciais e corporais para calcular a probabilidade de estar a copiar. Se a probabilidade for elevada, a prova tem de ser repetida.

Na sua deliberação, CNPD entende que “há claramente a aplicação de padrões biométricos na utilização do rato, do teclado ou dos movimentos corporais do aluno, os quais não são transparentes nem para a UMinho nem para o utilizador”. E que aos estudantes, em plena pandemia, não é dada outra hipótese que não a de a aceitar. “Esta anuência obrigatória contraria obviamente as disposições do RGPD, pois o consentimento tem de constituir uma manifestação de vontade inequívoca, específica e livre”.

Aquela entidade levanta ainda outra questão. O software é propriedade de uma empresa norte-americana. Os dados viajam para um país cuja legislação não oferece protecção idêntica à da União Europeia. Essa transferência só poderia ocorrer se fossem adoptadas “medidas suplementares" capazes de impedir, "por meios técnicos e ou organizacionais, o acesso massivo pelas autoridades norte-americanas”.

Posto tudo isso, a CNPD avisou a UMinho que esta opção “é susceptível de violar os princípios da licitude, da finalidade, da minimização dos dados e da proporcionalidade”, reconhecidos no Regulamento Geral de Protecção de Dados actualmente em vigor. E ordenou-lhe que solicite à empresa de solftware que apague “todos os dados pessoais que eventualmente tenha recolhido, caso alguns estudantes já tenham instalado as aplicações, devendo lavrar o devido auto de destruição de dados e remetê-lo ao responsável pelo tratamento”.

A UMinho tinha até esta sexta-feira, 28 de Maio, para recorrer. Fê-lo no princípio da tarde.

Ao PÚBLICO, em email remetido pelo gabinete de comunicação e imagem, a UMinho salienta que os dados recolhidos estão limitados à realização de exames. E refuta que “nestas circunstâncias se possa classificar esta recolha como sendo intensiva”. Nega também que os computadores dos estudantes fiquem sob controlo total de um terceiro: “O Respondus LockDown Browser não permite qualquer tipo de controlo à distância, nem pela UMinho, nem pelo Respondus. Além disso, não são comunicadas, quer à UMinho ou à Respondus, informações sobre o ambiente no computador onde o Respondus está a executar.”

Ao que se pode ler no referido email, ainda em sede de contratação, a UMinho “indicou que a recolha de gravações vídeo e áudio dos estudantes para os próprios fins da Respondus (de melhoria do seu produto e de investigação) não seria aceitável”. “A nossa pretensão foi atendida em Junho de 2020 e os termos de utilização foram alterados em conformidade”, assegura. Começou a recorrer a este software em Setembro de 2020, mas deixou de o fazer quando recebeu a notificação da CNPD.

“Devo dizer que [a deliberação da CNPD] foi uma surpresa agradável”, reage André Teixeira, numa curta conversa telefónica. “Foi bastante positivo ver que o sistema pode funcionar, que mesmo a voz solitária de um estudante pode ter impacto na forma como gerimos as nossas instituições públicas e o ensino superior”, esclarece. "Creio que a questão da privacidade dos dados pessoais é um verdadeiro problema que iremos enfrentar nos próximos tempos e que não deve ser encarada como uma coisa menor.”

Na sua resposta, a UMinho afiança que “esteve sempre preocupada com a credibilidade da avaliação” e procurou conjuga-la com os “direitos e liberdades dos estudantes e o cumprimento dos princípios de protecção de dados”. Ainda agora entende que a sua opção correspondeu a uma interpretação “legítima” do documento da CNPD sobre avaliação à distância.