Bom dia   ,

Bem-vindo(a) à newsletter n.º 49 da DPO Consulting, o nosso meio informativo sobre o mundo da Privacidade, Proteção de Dados e Segurança da Informação.

Numa deliberação recentemente publicada, a CNPD teceu duras críticas à utilização do software Respondus para avaliação à distância de estudantes, pela Universidade do Minho, afirmando que é suscetível de violar as disposições do RGPD.

A CNPD analisou duas aplicações, a Lockdown Browser e a Respondus Monitor, destinadas à vigilância remota dos alunos durante as provas de avaliação, na sequência de uma queixa sobre a utilização prevista deste software para a época de exames.

O software em causa bloqueia o computador do estudante e impede-o de aceder a outras páginas web durante o exame, filma e capta o som do estudante e do ambiente à sua volta e analisa os seus movimentos faciais e corporais através de um algoritmo de inteligência artificial que calcula a probabilidade de estar a copiar.

Entre as críticas apresentadas pela CNPD destacamos o facto de o estudante ser obrigado a aceitar os termos e condições do serviço, por não ter alternativa à avaliação, o que invalida a liberdade do consentimento do estudante e o facto de não ter sido realizada uma avaliação de impacto sobre a proteção de dados.

Ademais, os softwares "Respondus" são detidos pela Amazon Web Services, o que constitui outro problema para a CNPD, já que os dados pessoais dos estudantes são transferidos para os Estados Unidos da América, país que não se considera como mantendo um nível de proteção de dados equivalente ao da União.

Uma vez que o tratamento é suscetível de violar os princípios da licitude, da finalidade, da minimização dos dados e da proporcionalidade, a CNPD ordenou que a Universidade do Minho solicite à AWS o apagamento de todos os dados pessoais recolhidos.

O Parlamento Europeu votou a favor de uma resolução que insta a Comissão Europeia a abrir um processo de infração contra a Irlanda por não aplicação do RGPD.

Numa resolução sobre o caso Schrems II, os deputados europeus expressaram a sua insatisfação pelo facto de a autoridade de proteção de dados irlandesa ter preferido levar o processo a tribunal, em vez de adotar uma decisão por si só, com base nos poderes de que dispõe.

Contudo, a essência da insatisfação do Parlamento Europeu prende-se com o facto de a autoridade irlandesa ainda não ter emitido decisão sobre muitas das queixas de proteção de dados recebidas desde a entrada em vigor do RGPD.

A autoridade de proteção de dados holandesa anunciou a sua decisão de aplicar uma sanção de €525.000 à empresa Locatefamily.com, pelo facto de não ter nomeado um representante na EU, nos termos do artigo 27.º do RGPD.

A autoridade ordenou, ainda, à empresa que colmatasse esta lacuna no prazo de 12 semanas, sob pena de impor uma sanção adicional de 20.000 euros por cada duas semanas de incumprimento (até um máximo de 120.000 euros).

Esta coima é apontada como a primeira de uma autoridade de proteção de dados pela não designação de um representante na UE, nos termos do RGPD

A Autoridade Europeia de Proteção de Dados (EDPS) iniciou duas investigações sobre a utilização dos serviços de cloud da Amazon Web Services e da Microsoft e do Microsoft Office 365 pelas instituições, órgãos e agências da União.

As investigações surgem na sequência do acórdão Schrems II do Tribunal de Justiça, para garantir que as transferências internacionais são realizadas de acordo com a legislação europeia de proteção de dados.

A EDPS alerta que as instituições da União dependem cada vez mais de serviços prestados por grandes fornecedores de tecnologias de informação e comunicação, alguns dos quais estabelecidos nos EUA, sendo em particular para esse país que os dados estão a ser transferidos, salientando que essas empresas «ficam assim sujeitas a legislação que, de acordo com o acórdão Schrems II, permitem atividades de vigilância desproporcionadas pelas autoridades dos Estados Unidos».

Partilhe, querendo, a newsletter da DPO Consulting.

Ficamos ao dispor para qualquer esclarecimento que haja por conveniente e voltamos ao contacto na próxima newsletter, com mais novidades e informações de relevo.

Com os melhores cumprimentos,

Elsa Veloso
CEO da DPO Consulting

Siga-nos nas redes sociais:

DPO Consulting

Contacte-nos

A DPO Consulting tratará os seus dados pessoais,
nos termos da sua Política de Privacidade,
cuja leitura recomendamos.