Motto: „Scufița începu să introducă datele.
– Lupule, de ce îmi ceri atât de multe date?
– Ca să te profilez mai bine!”
Abstract: Această lucrare trece în revistă câteva idei despre obligațiile instituțiilor de învățământ în calitatea lor de operatori de date în temeiul RGPD în legătură cu prelucrarea datelor personale ale participanților (elevi, profesori) la cursurile online desfășurate prin platformele digitale. În secțiunea I (Introducere) am deschis o discuție despre viața privată și relația ei cu celelalte drepturi fundamentale. În secțiunea II am abordat o parte din obligațiile instituțiilor de învățământ, prin prezentarea a patru elemente-cheie. În secțiunea II.A am prezentat pe scurt particularități ale respectării principiilor RGPD în contextul școlii online. În secțiunea II.B am abordat problematica riscurilor și câteva soluții pentru reducerea la minimum a acestor riscuri. Mai departe, în secțiunea II.C am discutat despre drepturile persoanelor vizate (elevi, profesori) în contextul cursurilor online, iar în secțiunea II.D am analizat o parte din consecințele juridice ale utilizării unor platforme digitale terțe. Problematica prelucrării datelor în contextul școlii online este amplă și lucrarea se recomandă a fi parcursă și ca o fereastră spre generarea de noi idei și soluții concrete la intersecția dintre drept și tehnologie.
Cuvinte-cheie: digitalizare, drepturi și libertăți fundamentale, viața privată, protecția datelor cu caracter personal, RGPD, principii RGPD, legalitate, echitate și transparență, integritate și confidențialitate, platforme digitale, prelucrarea datelor copiilor, operatori asociați, competența autorităților de supraveghere, amenzi, Privacy by Design, Privacy by Default, drepturi RGPD, spațiu virtual, Facebook, Microsoft, Zoom.
I. Introducere
Ordinul nr. 5545/2020[1] pentru aprobarea Metodologiei-cadru privind desfăşurarea activităţilor didactice prin intermediul tehnologiei şi al internetului, precum şi pentru prelucrarea datelor cu caracter personal[2] este în vigoare începând cu data de 11 septembrie 2020[3].
Cu titlu preliminar, observăm că Metodologia reamintește principiile guvernării procesului didactic ale Legii Educației Naționale nr. 1/2011, printre care echitatea, nediscriminarea, calitatea, descentralizarea, egalitatea de șanse, responsabilitatea părinților.
Desfășurarea activității de învățământ la distanță prin intermediul unor mijloace digitale și de comunicare[4] implică, în mod inevitabil, prelucrarea de date cu caracter personal[5] ale preșcolarilor, elevilor, profesorilor și ale părinților, în anumite cazuri. În contextul școlii online, dacă datele personale depășesc sfera de siguranță, sunt prelucrate sau transferate către entități neautorizate în mod nelegal[6] sau sunt prelucrate fără a respecta principiile-cheie[7] ale Regulamentului, nu doar datele personale sunt afectate – ci este afectată direct persoana fizică și drepturile și libertățile sale fundamentale[8].
Idealul școlii, inclusiv al școlii online, constă în „dezvoltarea liberă, integrală și armonioasă a individualității umane”[9]. Însă, ca orice nouă tehnologie, și învățământul online prin intermediul platformelor digitale implică nu doar beneficii, ci și riscuri. Ne putem imagina o serie de prejudicii la adresa elevilor printr-o prelucrare neconformă a datelor lor, care le poate afecta nu doar viața privată, ci și celelalte drepturi și libertăți fundamentale. Dacă „libera dezvoltare a personalității umane și demnitatea omului, valori proclamate prin chiar art. 1 din Constituția României, nu pot fi concepute fără respectarea și ocrotirea vieții intime, familiale și private”[10], în jurisprudența CEDO, „dreptul la viață privată reprezintă o dimensiune intimă, personală, dar și o dimensiune socială.”[11]. Tot CEDO a statuat că există viață privată și în amfiteatrele din Universități, afirmând că„ „viața privată” este un termen extins care nu poate fi supus unei definiții exhaustive și că ar fi prea restrictiv a limita noțiunea de „viață privată” la un cerc interior în care individul își poate trăi propria viață personală așa cum dorește (…) Astfel articolul 8 garantează dreptul la viață privată în sens larg, inclusiv „dreptul de a duce o viață socială privată” și anume posibilitatea persoanei de a-și dezvolta propria identitate socială. În această privință, dreptul la viață privată consacră posibilitatea persoanei de a se apropia de ceilalți și de a dezvolta relații cu aceștia. (…)”[12]
Cu privire la școala online, „transpunerea personalităţii într-un mediu ne-natural are consecinţe în plan juridic, inclusiv cu privire la drepturile și obligaţiile”[13]. În concret, în raport cu cele menționate anterior și cu principiile guvernării procesului didactic, suntem de părere că, pentru dezvoltarea lor armonioasă în context educațional și social, elevii ar trebui să se bucure de viață privată atât la școală, cât și în mediul virtual.
Prelucrarea incorectă a datelor poate afecta viața privată a elevilor, dar și încrederea în activitatea de învățământ online. Lipsa încrederii poate conduce, în viziunea noastră, și la scăderea randamentului la activitățile școlare deoarece îngrijorarea elevilor cu privire la securitatea și confidențialitatea datelor personale ar putea să îi distragă de la activitățile didactice. Asigurarea încrederii ar trebui să fie o condiție prealabilă[14] pentru introducerea oricărei noi tehnologii. În viziunea noastră, încrederea se poate construi printr-o prelucrare legală a datelor[15] cu respectarea principiilor-cheie introduse de RGPD (art. 5 RGPD), cu transparența vis-a-vis de noile tehnologii și de riscurile aferente (art. 13- 14 RGPD), cu prelucrarea atentă a categoriilor speciale de date (art. 9 RGPD)[16], cu introducerea unor mecanisme adecvate pentru a facilita cu ușurință exercitarea drepturilor în temeiul RGPD (art. 12-22 RGPD), cu responsabilitatea instituțiilor școlare, în calitatea lor de operator[17], cu respectarea principiilor Privacy by design și Privacy by default[18] în contextul noilor platforme digitale. Cu privire la responsabilitatea, instituția școlară ar trebui să identifice toții actorii care au acces la datele elevilor, profesorilor sau părinților pentru a verifica dacă aceștia prezintă garanții suficiente de protecție a datelor și să reglementeze, prin acorduri scrise, responsabilitatea fiecăruia și alte mecanisme pentru protecția datelor[19]. Instituțiile școlare ar trebui, de asemenea, să țină o evidență internă a activităților de prelucrare (art. 30 RGPD), să asigure securitatea prelucrării (art. 32 RGPD), să notifice ANSDPCP și persoanele vizate atunci când intervine o breșă de securitate, în condițiile legii (art. 33 -34 RGPD). Cu privire la activitățile de prelucrare care prezintă riscuri ridicate pentru drepturile și libertățile persoanelor vizate (pre-școlari, elevi, profesori, părinți etc), ar trebui efectuată, înaintea prelucrării, o evaluare a impactului (art. 35 RGPD), iar dacă rezultatul evaluării indică riscuri ridicate, ar trebui să se realizeze consultarea ANSPDCP (art. 36). Cu privire la transferul de date către statele din afara Uniunii, ar trebui respectate cerințele art. 44- 49 RGPD. De asemenea, responsabilul cu protecția datelor din cadrul instituțiilor școlare ar trebui să se bucure de independență și de resursele financiare, operaționale și umane necesare pentru monitorizarea aplicării RGPD[20].
În continuare, vom trece în revistă principalele obligații ale instituțiilor școlare în contextul învățământului online, dar nu înainte de a reaminti că, pentru nerespectarea prevederilor RGPD, instituțiile școlare pot fi sancționate[21] (cu avertisment sau amendă) sau pot fi supuse unor măsuri corective. De asemenea, persoanele fizice afectate de o prelucrare neconformă a datelor personale, au, printre altele, dreptul de a depune o plângere la ANSPDPC (art. 77) și dreptul de a se adresa justiției, pe tărâmul răspunderii civile delictuale[22], pentru a solicita și obține, în condițiile legii, daune materiale și/sau morale (art. 82).
Așa cum spunea și Comisia, „ființa umană este și ar trebui să rămână în centrul tuturor preocupărilor noastre”[23], mai ales în contextul spațiului virtual unde „orice date postate pe internet pot rămâne accesibile pe o perioadă nedeterminată”[24]. Așa cum s-a afirmat în doctrină, „nicio instituție a Uniunii Europene, Agenția Drepturilor Fundamentale, Comitetul european pentru protecția datelor, Autoritatea europeană pentru protecția datelor sau vreo autoritate națională nu au comunicat suspendarea sau restrângerea dreptului la protecția datelor pe perioada pandemiei”[25].
Reamintim că RGPD reprezintă un set complex de norme, echipat să facă fața evoluţiilor preconizate în tehnologie[26], iar implementarea normelor RGPD în cadrul instituțiilor școlare trebuie să se realizeze în mod complet, cu respectarea tuturor cerințelor RGPD. Ordinul nr. 5545/2020[27] este bine-venit în actualul contextul al digitalizării învățământului, dar abordarea simplistă și incompletă poate deschide, în viziunea noastră, o fereastră către o implementare incompletă a RGPD în cadrul instituțiilor școlare, fapt ce poate avea drept urmare o încălcare a vieții private a elevilor și a celorlalte drepturi și libertăți fundamentale. O abordare simplistă ar putea afecta, în cazuri extreme, inclusiv randamentul la școală și libera dezvoltare a elevilor.
În continuare, vom aborda câteva elemente-cheie de care ar trebui să se țină cont în procesul de digitalizare al învățământului, elemente-cheie care ar putea fi dezvoltate în lucrări viitoare sau în coduri de conduită[28].
II. Elemente-cheie ale digitalizării învățământului cu respectarea vieții private
A. Să pornim de la principii…
Așa cum spune chiar RGPD în considerentul (4) din Preambul „prelucrarea datelor cu caracter personal ar trebui să fie în serviciul cetățenilor”, prelucrare care trebuie să respecte, în mod cumulativ, toate cele șapte principii ale RGPD[29]. Cele șapte principii sunt legalitatea, echitatea și transparența, principiul limitării scopului, principiul reducerii la minimum a datelor, exactitate, principiul limitării stocării, integritate și confidențialitate și responsabilitate[30].
Cu privire la principiul limitării scopului, art. 7 alin. (1) din Metodologie precizează limpede faptul că datele trebuie prelucrate exclusiv în scopul derulării activității didactice. La o primă citire remarcăm faptul că Ordinul încearcă o derogare de la prevederile RGPD care permite utilizarea datelor și în scopuri compatibile cu scopurile inițiale (art. 5 alin. (1) lit. b). Apare o întrebare deschisă și retorică: în ce măsură ar putea deroga un Ordin de la prevederile RGPD? Ar fi lipsit de sens să răspundem la întrebări retorice, însă, de lege ferenda, am considera necesar a se permite prelucrarea și în scopuri ulterioare, compatibile deoarece ne putem imagina cu ușurință situații în care prelucrarea în alte scopuri poate fi în interesul superior al elevilor.
Cu privire la principiul transparenței, RGPD subliniază că trebuie să fie clar pentru persoana vizată ce categorii de date personale sunt prelucrate (art. 13 și art. 14). Art. 4 alin (4) din Metodologie enumeră categoriile de date care trebuie prelucrate în contextul învățământului online. Cu toate acestea putem observa cu ușurință faptul că lista ar fi trebuit să fie prezentată în mod neexhaustiv deoarece, în mod sigur, activitatea de predare online prelucrează și alte categorii de date care nu sunt indicate în Metodologie, mai ales în situațiile în care se utilizează aplicații terțe (Zoom, Google Scholar, Microsoft etc). În aceste situații, prin utilizarea modulelor de tip cookies, se pot colecta o serie de informații despre modalitatea în care elevul interacționează cu site-ul[31], de exemplu adresa IP, tipul de browser utilizat, „locurile” din platformă unde elevul folosește funcția click, adresa de e-mail folosită la logare, iar în situația unor aplicații, nivelul de atenție al elevului și gradul de interacțiune. De asemenea există riscul ca aplicațiile terțe utilizate să transmită aceste informații către alte organizații fără ca elevul sau profesorul să cunoască existența acestui transfer. Considerăm că, pentru a da eficacitate principiului transparenței, este necesar a se identifica toate categoriile de date care sunt prelucrate de către instituția școlară și de către aplicațiile utilizate de aceasta. Totodată, după ce au fost identificate aceste informații ele trebuie prezentate persoanelor vizate, prin intermediul unei note de informare redactate în mod complet (cu toate informațiile necesare de la art. 13 și 14 RGPD) și într-un limbaj simplu și ușor de înțeles, pentru a înțelege pe deplin contextul prelucrării datelor și pentru a oferi persoanelor vizate posibilitatea reală a rămâne în control asupra propriilor date. De lege ferenda, am considera util a se introduce în textul Ordinului și alte categorii de date care pot fi prelucrate în contextul învățământului online însă, indiferent de existența unei modificări viitoare a Ordinului, cerințele RGPD sunt clare: persoana vizată, în anumite cazuri[32], trebuie informată cu privire la categoriile de date prelucrate (art. 14 alin. (1) lit d) RGPD). Totodată, deși art. 5 alin. (2) din Metodologie care enumeră elementele obligatorii pe care trebuie să le cuprindă informarea nu include și categoriile de date prelucrate, considerăm că și această informație ar trebui prezentată astfel încât elevii, profesorii și celelalte persoane vizate trebuie să aibă o viziune clară asupra contextului prelucrării și riscurile asociate.
Cu privire la principiul responsabilității și principiul integrității și confidențialității, Ordinul reamintește, prin art. 5, obligația unității de învățământ de a institui o serie de măsuri tehnice și organizatorice pentru protecția datelor, printre care securitatea în mediul online, asigurarea confidențialității datelor, interzicerea accesului neautorizat, împiedicarea modificării datelor, preîntâmpinarea riscului pierderilor. Deși Ordinul nu precizează, în situațiile în care se folosesc aplicații sau platforme dezvoltate de entități terțe, acestea din urmă vor avea, în unele cazuri, calitatea de persoană împuternicită[33], iar în alte cazuri, calitatea de operator asociat, prin urmare unitatea de învățământ va avea obligația de a verifica dacă aceste entități terțe și soluțiile lor tehnice prezintă garanții adecvate pentru securitatea datelor[34] și va avea obligația încheie cu aceștia un contract scris care să reglementeze, printre altele, rolurile responsabilitățile fiecărei părți în misiunea protecției datelor[35]. Conform doctrinei, operatorii pot delega prelucrarea datelor către terți, dar nu pot delega și răspunderea lor în temeiul GDPR.[36]
B. O privire către riscuri
Agenția pentru Drepturi Fundamentale a UE (FRA) a publicat într-un raport[37] răspunsurile unor persoane care au fost victime ale încălcării securității și confidențialității datelor cu caracter personal. Potrivit FRA[38], atunci când au fost întrebate despre prejudiciile care le-au adus încălcarea normelor privind protecția datelor, persoanele au descris prejudiciile în termeni psihologici sau sociali. Acestea au descris prejudiciul drept emoțional sau social (opinia altor persoane sau impactul asupra relațiilor cu ceilalți), menționând diferite grade de suferință, panică și insecuritate (inclusiv sentimentul de a fi urmărit sau aflat sub supraveghere), neputință, deteriorarea reputației sau neputință cu privire la un abuz de putere[39].
Ne putem imagina o serie de riscuri la adresa drepturilor și libertăților elevilor, profesorilor și ale altor participanți la orele online, printre care pierderea controlului asupra informațiilor confidențiale, furt de identitate, fraudă electronică[40], profilarea ascunsă a persoanelor[41] care ar putea conduce, în viitor, pe măsură ce se dezvoltă inteligența artificială, către decizii automate[42], de exemplu, decizii cu privire la evaluări educaționale (în cazul elevilor) sau profesionale (în cazul profesorilor).
Putem identifica și alte riscuri și la adresa drepturilor și libertăților fundamentale. Asociația Privacy International este de părere că fără viață privată, celelalte drepturi și libertăți sunt în pericol[43]. Într-un articol, această asociație explică cum dreptul la viață privată înseamnă ca persoana să aibă o opțiune (o opțiune de a decide cui se dezvăluie informații personale, o opțiune să se stabilească limite, o opțiune de a limita accesul la datele privind sănătatea, la locurile vizitate, la cercul de prieteni), înseamnă ca persoana să aibă o posibilitate de a fi în control asupra cine este cu adevărat și asupra modalității în care interacționează cu mediul înconjurător, înseamnă ca persoana să fie în siguranță împotriva abuzului nejustificat de putere, ca persoana să aibă libertatea de gândi liber, fără a fi discriminat, de a fi autonomă și de a trăi în demnitate[44].
În eventualitatea nefericită a unei breșe de securitate, trebuie realizată o analiză concretă a riscurilor asupra drepturilor și libertăților persoanelor vizate și, în urma analizei, să se afle dacă este necesară notificarea ANSPDCP (art. 33 RGPD) și/sau notificarea persoanelor vizate (art. 34 RGPD).
ICO, Autoritatea de supraveghere din UK, a elaborat un cod de conduită cu privire la prelucrarea datelor copiilor în mediul online, cod care a intrat în vigoare la 2 septembrie 2020 și care introduce 15 principii-cheie pentru prelucrarea legală, echitabilă și transparentă a datelor copiilor[45]. Deși, până în prezent, ANSPDCP nu a elaborat un cod sau un ghid cu privire la prelucrarea datelor copiilor, considerăm că instituțiile școlare ar putea găsi informații valoroase pentru protecția datelor în ghidul ICO.
Suntem de părere că, pentru a reduce la minimum riscurile prelucrării datelor în contextul școlii online, trebuie realizată o evaluare a impactului, în conformitate cu prevederile art. 35 din RGPD, iar dacă rezultatul evaluării indică riscuri ridicate pentru persoanele fizice, ar trebui consultată ANSPDCP în conformitate cu art. 36.
În lumina acestor idei, reamintim că Autoritatea de Supraveghere din Suedia a amendat un liceu cu 20.000 EURO pentru introducerea unei tehnologii de recunoaștere facială (care înregistra automat prezența la cursuri) deorece, printre altele, liceul nu a efectuat o evaluare de impact suficientă[46]. Întrebați despre opinia lor cu privire la înregistrarea automată a prezențelor utilizând un sistem de recunoaștere facială, elevii au răspuns că noua tehnologie este „înfricoșătoare și invazivă”[47].
Indiferent de metodologia aplicată la efectuarea evaluării de impact, aceasta trebuie să fie o evaluare reală a riscurilor, permițând operatorilor (unităților educaționale) adoptarea de măsuri în vederea atenuării acestora[48]. În acest context al școlii online, considerăm că ar trebui să se țină cont și de punctul de vedere al elevilor și profesorilor.
C. Drepturi într-un spațiu virtual?
Dacă ne-am putem imagina o societate a viitorului unde profesorii și elevii sunt evaluați automat de către mașină, ce mecanisme de apărare ar avea omul în fața unei decizii greșite a mașinii?
Deși această imagine pare desprinsă dintr-un scenariu SF, în China, de exemplu, camerele de recunoaștere facială sunt deja folosite pentru a detecta starea de spirit și nivelul de focalizare al elevilor bazate pe analiza expresiilor faciale. Totuși, inclusiv în China, guvernul crede că lucrurile au mers prea departe – și acum caută să reducă utilizarea lor în școli[49].
Potrivit Comisiei, în 2016, s-au investit în inteligență artificială aproximativ 3,2 miliarde EURO în Europa, 12,1 miliarde EURO în America de Nord și 6,5 miliarde EURO în Asia[50]. Mai departe, Comisia precizează faptul că „IA poate aduce beneficii importante, inclusiv prin sporirea siguranței produselor și a proceselor, însă poate cauza și prejudicii. Aceste prejudicii ar putea fi atât materiale (siguranța și sănătatea persoanelor, inclusiv pierderea de vieți omenești, daunele materiale), cât și morale (nerespectarea vieții private, limitarea dreptului la libertatea de exprimare, nerespectarea demnității umane, discriminarea, de exemplu, la ocuparea unui loc de muncă) și pot fi legate de o serie de riscuri foarte diverse.”[51]
Este lesne de observat că dezvoltarea inteligenței artificiale este un topic important pe agenda tuturor țărilor din lume. Prin urmare, noi ne-am întrebat într-un alt articol: dacă inteligența artificială este inevitabilă, nu cumva RGPD e chiar scutul care protejează omul în fața mașinii?[52]
Legislația privind protecția datelor prevede mecanisme puternice ale persoanei vizate care înglobează o serie de drepturi, dintre care enumerăm dreptul la informare (art. 12-13 RGPD), dreptul de acces (art. 15), dreptul la rectificare (art. 16), dreptul la ștergerea datelor (art. 17), dreptul la restricționarea prelucrării (art. 18), dreptul la portabilitate (art. 20), dreptul la opoziție (art. 21), dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri (art. 22). Și RGPD, asemenea legislației privind protecția consumatorului, urmărește să protejeze partea mai slabă[53] – persoană vizată în raport cu partea mai puternică, cea care deține controlul asupra prelucrării, operatorul, dar și în raport cu persoana împuternicită.
În acest context al școlii online, putem vorbi despre o protecție a persoanelor vizate (elevi, profesori) în raport cu cei care dețin controlul asupra prelucrării, fie că vorbim de instituțiile publice sau de giganții IT ale căror soluții se utilizează pentru funcționarea cursurilor online (de exemplu, Zoom, Google Scholar, Microsoft etc).
Ordinul indica drepturile, dar nu precizează si acțiunile necesare pe care trebuie să le parcurgă unitățile educaționale pentru a facilita exercitarea drepturilor de mai sus de către persoanele vizate. În concluzie, considerăm că unitățile școlare ar trebui să implementeze strategii concrete pentru a comunica în mod transparent cu persoanele vizate și a le permite să își exercite cu ușurință drepturile, în condițiile legii[54], în termenul legal[55].
D. Despre asocierile în spațiul virtual
Astfel cum preciza Comisia, Europa se află în prezent într-o situație mai defavorabilă în privința aplicațiilor pentru consumatori și a platformelor online în comparație cu Asia și SUA[56]. Prin urmare, în absența platformelor dezvoltate intern în România, unele școli ar putea recurge la furnizori externi aflați în afara Uniunii, de exemplu Microsoft, Google, Zoom.
În situația în care se utilizează soluții terțe, identificăm două probleme. Prima problemă este aceea că ne aflăm în prezența unui transfer de date internațional care trebuie să respecte prevederile RGPD. A doua problemă este aceea că relația (asocierea) dintre cele două entități (școala și furnizorul platformei) ar trebui reglementată.
Cu privire la transferul internațional de date, reamintim faptul că utilizarea unor soluții tehnice din afara Uniunii se poate realiza doar cu respectarea strictă a condițiilor și principiilor de la art. 44-49 RGPD. Tema-cheie a majorității discuțiilor din sfera Privacy din anul 2020 o reprezintă Hotărârea CJUE din 16 iulie 2020 în Cauza C-311/18[57] care a avut drept consecință invalidarea Deciziei privind Scutul de Confidențialitate UE-SUA („Privacy Shield”)[58]. Unul dintre motivele reținute de Curte a fost acela că Decizia nu prevedea, pentru cetățenii europeni, garanții adecvate, drepturi opozabile și de căi de atac eficiente împotriva autorităților și serviciilor secrete americane.[59] Desigur că transferurile de date personale între UE – SUA se pot realiza în continuare în baza altor mecanisme legale, cum ar fi cele prevăzute la art. 44-49 RGPD. În situația în care se utilizează consimțământul explicit al utilizatorilor, acesta trebuie să respecte toate cerințele de la art. 7 RGPD, iar dacă se utilizează mecanismul clauzelor contractuale standard, unitățile școlare ar trebui să negocieze atent clauzele contractuale.
Desigur că ne putem întreba astăzi ce posibilități reale ar avea o unitate școlară să negocieze cu un gigant IT al cărui contract standard funcționează pe mecanismul „take it or leave it”. Totuși, în acest context, opinia AEPD ar trebui luată în calcul. Într-o investigație independentă asupra produselor și serviciile Microsoft, AEPD a observat că anumite clauze contractuale standard care permit lui Microsoft să transfere date din UE către SUA nu sunt suficient de clare, specifice și nu respectă toate standardele în materie de protecție a datelor.[60] Potrivit AEPD, concluziile anchetei sunt de interes atât pentru instituțiile UE, cât și pentru restul autorităților publice din statele membre UE[61]. Noi suntem de părere că aceste concluzii pot fi de interes și pentru unitățile școlare în contextul digitalizării sistemului educațional.
Cu privire la „asocierile în spațul virtual”, facem inițial precizarea că utilizarea unor aplicații și platforme furnizate de terți implică, în mod clar, transferul datelor personale de la unitatea școlară către furnizorul respectivei soluții. Prin urmare, ne punem, în mod rezonabil, întrebarea: ce calitate are furnizorul respectivei aplicații – persoană împuternicită, operator independent sau operator asociat? Deși calificarea drept persoană împuternicită ar fi, în viziunea noastră, în beneficiul persoanelor fizice deoarece datele nu ar putea fi prelucrate de către furnizorul soluției decât în scopurile indicate de operator (unitatea școlară)[62], în realitate giganții IT utilizează datele și în scopuri proprii.
În cauza C-210/16[63], Wirtschaftsakademie c .Facebook Ireland Ltd, CJUE a stabilit că o școală privată care administrează o pagină de Facebook, este în raport cu acea activitate de prelucrare este operator împreună cu Facebook și au o responsabilitate comună cu privire la protecția datelor persoanelor vizate[64]. Un an mai târziu, în cauza C-40/17[65], CJUE a stabilit că prin acțiunea de a integra butonul de Like pe un site, administratorul unui site este operator împreună cu Facebook și are, în consecință, o responsabilitate comună de protecție a datelor[66].
Observând viziunea comună a CJUE în cele două cauze prezentate anterior, ajungem la concluzia că dacă se vor utiliza soluții digitale ale terților (de exemplu, Google Scholar, Zoom, Microsoft) care vor prelucra datele și în scopuri proprii, unitatea școlară și furnizorul soluției vor avea, în sensul prevederilor RGPD, calitatea de operatori asociați. Aceasta este și opinia altor autori care afirmă că nu doar administratorii de pagini de Facebook, ci toate entitățile care utilizează terțe platforme (puternice) vor avea calitatea de operatori asociați în raport cu acele platforme[67].
În lumina raționamentului de mai sus, în opinia noastră, instituția de învățământ și furnizorul serviciului (dacă acesta prelucrează datele și în scopuri proprii), vor avea calitatea de operatori asociați, iar acordul dintre ei va trebui să prevadă „într-un mod transparent responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor care le revin în temeiul prezentului regulament, în special în ceea ce privește exercitarea drepturilor persoanelor vizate și îndatoririle fiecăruia de furnizare a informațiilor.”[68] În practică va fi interesant de urmărit cum se va realiza efectiv informarea elevilor și profesorilor cu privire la prelucrarea datelor în contextul acestei asocieri și ce modalități concrete vor avea aceștia de a-și exercita drepturile prevăzute de RGPD. În prezent, instituțiile de învățământ din România se află într-un stadiu incipient al conștientizării și înțelegerii fenomenului de prelucrare al datelor în context digital, dar, cu toate acestea, chiar și în acest stadiu incipient, persoanele vizate ar trebui să aibă acces ușor la o listă a tuturor organizațiilor terțe și la link-uri către notele de informare ale acestora.
Din calificarea relației de operatori asociați, rezultă o altă consecință, așa cum s-a afirmat deja în doctrină. În situația a doi operatori asociați, de exemplu primul în România – instituția de învățământ, iar celălalt într-un alt stat membru, ambele autorități de supraveghere (cea din România și cea din celălalt stat membru) vor avea competența, fără vreo prioritate, de a-și exercita atribuțiile în raport cu oricare operator asociat[69]. Am putea vorbi, în această situație, despre o competența alternativă.
Desigur, această interpretare, așa cum afirmă chiar autorii la finalul articolului, rămâne deschisă[70]. În consecință, dacă vom adera la opinia de mai sus, am putea considera că ANSPDCP, în contextul prelucrării datelor personale ale elevilor și profesorilor în contextul școlii online, ar putea să aplice sancțiuni ambilor operatori asociați, inclusiv celor situați în afara României sau în afara Uniunii. Deși discuția rămâne în continuare deschisă, suntem de părere că această abordare este în armonie cu unul dintre obiectivele fundamentale ale RGPD, acela de asigura o protecție eficientă și completă a drepturilor și a libertăților fundamentale ale persoanei. Astfel, persoana fizică ar avea posibilitatea de a depune o plângere împotriva unui operator din alt stat membru sau din afara UE în țara unde își are domiciliul/reședința, fără a se pune în discuție disjungerea dosarului către autoritatea de supraveghere de la sediul principal al operatorului.
Concluzii
* * *
Vom vedea dacă și în ce măsură va supraviețui viața privată contextului accelerat al digitalizării. Când miza este chiar supraviețuirea drepturilor și libertăților fundamentale în contextul noului spațiu virtual, de ce am integra simplist și formal principiile RGPD? Termeni vagi și un buton de accept, fără prea multe întrebări. Scufița a adresat lupului întrebarea esențială, iar despre prelucrarea datelor în contextul școlii online se va scrie mult pentru că basmele viitorului vor fi despre impactul noilor tehnologii.
Ne-am conectat suficient și aspirăm, măcar ocazional, la o deconectare reală. Este de nevoie de implicarea tuturor pentru crearea unui internet sigur unde copiii își pot dezvolta personalitatea în mod liber, integral și armonios. Sperăm și la o opțiune de fi în mediul online – o nouă libertate.
Cine știe ce va aduce următorul click? Cu fiecare click, noi știm. Și copiii ar trebui să afle că le-a mai rămas o opțiune.
Note de subsol