Bacalaureatul 2019, încă o provocare GDPR?

0

Publicat: 20.06.2019 09:17

Ultima actualizare: 03.08.2022 11:59

Care sunt premisele de la care pornim când analizam examenele de Bacalaureat şi ce soluţii există astfel încât să respectăm atât dreptul la viaţă privată a elevilor, minori sau nu, şi în acelaşi timp să respectăm şi prevederile Regulamentului UE 2016/679 (GDPR)?

Un articol publicat pe portalinvatamant.ro a stârnit un val de rumoare în rândul specialiştilor în protecţia datelor. Conform acestuia, rezultatele la bacalaureat vor fi afişate la avizierul unităţilor de învăţământ după finalizarea fiecărei probe, dar „mai târziu de 1 iulie 2019“. Dar care sunt premisele de la care pornim când analizam examenele de Bacalaureat şi ce soluţii există astfel încât să respectăm atât dreptul la viaţă privată a elevilor, minori sau nu, şi în acelaşi timp să respectăm şi prevederile Regulamentului UE 2016/679 (GDPR)?

Curios din fire, am căutat sursa acestei ştiri, o adresă pe care se regăseşte antetul Inspectoratului Şcolar Judeţean Ilfov alături de sigla Ministerului Educaţiei Naţionale.

Analizând atent adresa aflăm că decizia Inspectoratului se bazează pe respectarea unuia dintre principiile prelucrărilor de date impuse de Regulamentul General de Protecţie a Datelor (GDPR). Astfel, conform art. 5 e) din GDPR, datele personale sunt „păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depăşeşte perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice [...]“.

Prin urmare, Inspectoratul considera ca păstrarea la avizier a rezultatelor obţinute la examenul maturităţii după 1 iulie 2019 ar reprezenta o încălcare a GDPR prin depăşirea perioadei necesară îndeplinirii scopurilor pentru care sunt prelucrate datele.

Dar care este scopul acestei prelucrări?

Conform politicii datelor personale publicate pe site-ul Ministerului Educaţiei Naţionale, datele elevilor sunt prelucrate pentru a se realiza „servicii ale M.E.N. şi unităţilor subordonate pentru realizarea obiectului de activitate principal, respectiv: educaţie şi cultură. De asemenea datele/informaţiile colectate/stocate/arhivate de către M.E.N. prin intermediul unităţilor subordonate sunt folosite pentru analize şi prelucrări statistice necesare pentru fundamentarea deciziilor în managementul sistemului educaţional, în exercitarea autorităţii publice“. Deşi scopul prelucrării este unul clar, nu am găsit indicii referitoare termenele de stocarea datelor, adică strict ne ce roade în acest moment.

Într-un articol publicat de hotnews în 22 mai 2018, aceste aspecte păreau lămurite. Din răspunsul oferit de Ministerul Educaţiei Naţionale la solicitarea hotnews privind impactul GDPR-ului asupra activităţii sistemului de educaţie, am reţinut două pasaje esenţiale: „În cadrul unei întâlniri organizate de Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal au fost enunţate activităţile relevante ale MEN aflate sub incidenţa Regulamentului (UE) 2016/679. Concluziile întâlnirii clarifică aspectul «anonimizării» candidaţilor la examenele şi concursurile naţionale, în sensul că se păstrează principiul transparenţei în condiţiile minimizării informaţiilor, respectiv folosirea numelui şi prenumelui candidaţilor pe listele afişate.“ Un alt aspect important menţionat de reprezentanţii Ministerului este că „La solicitarea scrisă a elevilor/părinţilor rezultatele şcolare ale candidaţilor pot fi anonimizate. Până în prezent, fluxul cererilor de anonimizare a notelor de pe site-urile gestionate de MEN este relativ redus“.

Adunând cele două principii GDPR menţionate mai sus, ajungem la concluzia că Inspectoratul doreşte o transparenţă limitată în timp, un fel de struţo-cămilă astfel încât să pară că a întreprins măsuri de respectare a GDPR-ului dar fără o analiza prealabilă profundă a necesităţii unei astfel de decizii.

Nu putem să nu ne întrebăm care este rostul limitării în timp a afişării rezultatelor, odată ce acestea au fost făcute publice? Ca sa luăm un exemplu adecvat vremurilor noastre, exagerând, puţin teatral şi intenţionat, comparaţia, dacă am publica poze în care apar copii voştri, fără a avea acordul vostru, dar nu le-am lăsa foarte mult în spaţiul public, totul ar fi ok? Ce rost mai are să încerci să pară că acorzi importanţă protecţiei datelor odată ce ai făcut publice acele date? Aceasta este o întrebare la care nu am găsit încă răspuns.

Fiind un subiect sensibil, am decis sa solicităm părerea unui specialist în protecţia datelor cu experienţă în domeniul învăţământului, domnul Iulian Năstasă, Responsabil cu protecţia datelor al UMF Carol Davila şi membru al ASCPD - Asociaţia Specialiştilor în Confidenţialitate şi Protecţia Datelor din România:

M.D.: Cum vedeţi dumneavoastră decizia Inspectoratului de a limita termenul de publicare a rezultatelor de la bacalaureat? Este aceasta o decizie justificată prin invocarea GDPR-ului?

I.N.: Consider că da. Conform art. 5 lit. c şi e din GDPR se impune colectarea şi prelucrarea unui număr cât mai mic de date necesare îndeplinirii scopului / obligaţiei legale şi stocarea acestora până la îndeplinirea scopului. În cazul de faţă, publicarea listelor finale cu rezultatele examenelor mai are relevanţă după ce elevul/studentul a fost înmatriculat? Răspunsul este NU. Scopul afişării listei cu rezultatele este acela de a informa candidatul că a fost admis sau nu, de aceea mi se pare rezonabil ca acea listă să nu mai fie publică începând cu data înmatriculării.

Un alt exemplu mai des întâlnit: Fiecare administrator de bloc afişează lista cu sumele datorate de locatari către Asociaţie. Cât este păstrată acea listă la avizierul blocului? 30 de zile calendaristice (art. 77 din Legea 196/2018). Apoi este înlocuită cu noua listă. La fel ar trebui să se întâmple şi în cazul listelor cu rezultatele la examene.

M.D.: Credeţi ca publicarea numelui şi prenumelui prezintă un risc asupra drepturilor şi libertăţilor persoanelor?

I.N.: Deşi numele şi prenumele sunt date cu caracter personal conform Deciziei 37/2015 a ÎCCJ, afişarea acestora fără alte detalii care ar putea duce la identificarea exactă a persoanei vizate, nu afectează drepturile candidatului în sensul art. 71-76 din Codul civil, nici drepturile şi libertăţile prevăzute în Carta Uniunii Europene 2012/C 326/02.

Conform art. 78 alin. 11 din Legea 1/2011 şi art. 26 din Ordinul MEN 6102/2016, afişarea rezultatelor se face prin publicarea pe site-ul propriu şi la sediile instituţiei. Art. 28 alin. 2 din acelaşi Ordin, nu specifică ce date personale trebuie să conţină rezultatele afişate – „lista candidaţilor admişi“. În mod rezonabil, candidaţii se aşteaptă ca pe acele liste să apară numele şi prenumele împreună cu nota obţinută la examenul de admitere.

Conform art. 10 din Legea 1/2011 coroborat cu art. 6 lit. e din GDPR, prelucrarea (afişarea rezultatelor) rezultă din exercitarea autorităţii publice cu care este investit operatorul (unitatea de învăţământ) şi îndeplinirea unei sarcini ce serveşte un interes public, învăţământul fiind un serviciu de interes public.

Problema de fond nu este publicarea numelui şi prenumelui, ci asocierea numelui cu o notă mică la examen. Acest lucru îi deranjează de obicei pe elevii şi părinţii acestora din cauza faptului că vor fi „etichetaţi de vecini / cunoscuţi“ ca fiind „slabi la învăţătură“. Promovarea în mediul on-line şi la TV a GDPR-ului le-a oferit o cale legală (art. 21) de a „rezolva“ această problemă.

M.D.: Consideraţi că pseudonimizarea este atât de greu de realizat având în vedere sistemele actuale ale ministerului?

I.N.: Nu este greu, deoarece, la înscrierea candidaţilor în mediul universitar se generează o legitimaţie de concurs care conţine pe lângă datele de identificare ale acestuia şi un număr de concurs. Acesta din urmă, ar putea fi folosit pentru pseudonimizare.

La bac, situaţia este diferită, având în vedere că înscrierile se fac centralizat pe sate/oraşe/judeţe, dinamica fiind foarte mare, ar fi foarte greu de aplicat şi gestionat o cheie unică de pseudonimizare pe toată ţara.

M.D.: Consideraţi că pseudonimizarea este o soluţie bună pentru a publica rezultatele examenelor de admitere în unităţile de învăţământ?

I.N.: Dacă ar fi să privesc strict din punct de vedere GDPR, aş spune că DA. În realitate, majoritatea elevilor „uită“ legitimaţia de concurs pe care exista acel număr unic. Dacă privim calendarul activităţilor la examenele naţionale şi admiteri în universităţi, observăm că elevii au la dispoziţie câteva ore să depună contestaţii. Problemele acum ar începe: dacă nu mai are legitimaţia, trebuie să apeleze un număr de telefon, să fie identificat, apoi să i se comunice acel număr de identificare afişat în loc de nume. Un astfel de apel ar dura, să presupunem 1 minut. Conform statisticilor serviciului de apel 112 pentru Bucureşti în luna aprilie 2019, s-au efectuat aproximativ 7 apeluri pe minut. La nivelul municipiului Bucureşti în anul 2018 au fost înscrişi aproximativ 13.000 de elevi la bac. Dacă 25% dintre aceştia pierd legitimaţia de concurs şi apelează acel număr de telefon unic, vă provoc să vă imaginaţi cam ce resurse ar trebui alocate pentru astfel de activităţi.

Desigur, problema ar putea fi rezolvată prin dezvoltarea de softuri, care, pe baza CNP-ului introdus într-o aplicaţie web să îţi comunice numărul de concurs, dar aici vorbim de investiţii ce ar trebui bugetate pentru respectarea tuturor prevederilor GDPR.

M.D.: De ce credeţi că aceasta decizie vizează doar rezultatele de la bacalaureat şi nu menţionează nimic despre cele ale examenului de capacitate?

I.N.: În cazul examenului de bacalaureat, vorbim de persoane majore care completează fişe tip în vedere susţinerii examenului în care işi oferă consimţământul pentru prelucrarea datelor conform Legii 363/2018 aşa cum este scris în Procedura documentele tip înscriere la examenul de bac 2019.

Din punctul meu de vedere, la capacitate vorbim de prelucrarea datelor personale aparţinând minorilor, iar acestea, după cum ştim (art. 8 alin 1 din GDPR) se prelucrează doar în cazurile prevăzute de lege sau pe baza consimţământului liber exprimat de către tutore.

În ambele cazuri vorbim de prelucrarea datelor derivată din obligaţiile legale (art. 6 lit. e din GDPR) ce le revin instituţiilor de învăţământ (şcoală gimnazială / liceu) în raport cu elevii, deci orice opinie exprimată pentru un tip de evaluare (bacalaureat) poate fi folosită drept orientare pentru alte situaţii similare (capacitate).

În concluzie, deşi publicarea numelui şi prenumelui celor care au urmat examenul de bacalaureat nu reprezinta un real pericol asupra drepturilor si libertăţilor persoanelor, una dintre soluţiile pe care specialiştii în protecţia datelor o întrevăd este pseudonimizarea, menţionată la art. 32 din GDPR ca fiind una dintre soluţiile de securizare a prelucrării datelor. Cum se poate face aceasta pseudonimizare? Simplu, prin înlocuirea numelui şi a prenumelui cu numărul matricol al fiecărui elev, alocat acestuia în momentul înscrierii acestuia la o forma de învăţământ.