Αναγνώριση προσώπου για επιβεβαίωση συμμετοχής σε εξ αποστάσεως εκπαίδευση

Ακριβά κόστισε στο ιταλικό πανεπιστήμιο Università Telematica e-Campus η ιδέα να χρησιμοποιήσει συστήματα αναγνώρισης προσώπου στο πλαίσιο εξ αποστάσεως μαθημάτων για την αναγνώριση πιστωτικών μονάδων σε εκπαιδευτικούς, με την ιταλική αρχή προστασίας δεδομένων Garante να διαπιστώνει παραβάσεις και να επιβάλλει πρόστιμο ύψους 50.000 ευρώ.

Η υπόθεση κινήθηκε κατόπιν καταγγελίας, με την οποία η Garante ενημερώθηκε ότι το πανεπιστήμιο, στο πλαίσιο κύκλου μαθημάτων για την απόκτηση πιστωτικών μονάδων αναγκαίων για την άσκηση του επαγγέλματος του εκπαιδευτικού, είχε θέσει σε λειτουργία σύστημα αναγνώρισης προσώπου για την ταυτοποίηση των συμμετεχόντων και την επαλήθευση της πραγματικής και συνεχούς παρακολούθησης. Η παρακολούθηση γινόταν μέσω σύγχρονων διαδικτυακών σεμιναρίων, ενώ οι φοιτητές καλούνταν να παράσχουν συγκατάθεση για την επεξεργασία, η οποία παρουσιαζόταν ως υποχρεωτική προϋπόθεση για τη συμμετοχή στο πρόγραμμα.

Ερωτηθέν από την ιταλική αρχή, το πανεπιστήμιο ανέφερε ότι, σε πρώτη φάση, η επιβεβαίωση παρουσίας γινόταν μέσω αναδυόμενου μηνύματος (pop-up), πλην όμως το σύστημα αυτό κρίθηκε ανεπαρκές για την «πιστοποιημένη» επαλήθευση της συμμετοχής. Ως αποτέλεσμα αυτού, από τον Απρίλιο του 2024 υιοθετήθηκε σύστημα βιομετρικής επαλήθευσης ταυτότητας, ενσωματωμένο στην πλατφόρμα τηλεδιάσκεψης. Οι φοιτητές, κατά την εγγραφή τους, καλούνταν να αποστείλουν φωτογραφία προσώπου και εικόνα εγγράφου ταυτότητας, βάσει των οποίων δημιουργείτο βιομετρικό πρότυπο, που αποθηκευόταν για μελλοντικούς ελέγχους. Κατά τη διάρκεια του μαθήματος, ο διδάσκων μπορούσε να ενεργοποιεί έλεγχο ταυτοποίησης, ζητώντας από τον φοιτητή να φωτογραφηθεί εκ νέου μέσω της κάμερας της συσκευής του. Το σύστημα συνέκρινε το νέο βιομετρικό πρότυπο με το αρχικό και, σε περίπτωση θετικής αντιστοίχισης, η παρακολούθηση συνεχιζόταν, ενώ σε αντίθετη περίπτωση, διεξαγόταν έλεγχος ταυτοπροσωπίας.

Ως νομική βάση, το e-Campus επικαλέστηκε τη συγκατάθεση των φοιτητών κατ’ άρθρο 9 παρ. 2α’ ΓΚΠΔ, υποστηρίζοντας ότι αυτή ήταν ελεύθερη, δεδομένου ότι οι ενδιαφερόμενοι δεν ήταν υποχρεωμένοι να χρησιμοποιήσουν τις υπηρεσίες του, αφού μπορούσαν να επιλέξουν άλλα κέντρα που παρείχαν δια ζώσης εκπαίδευση. Η Garante απέρριψε τον ισχυρισμό, επισημαίνοντας ότι τα πανεπιστήμια, δημόσια ή ιδιωτικά, επιτελούν σκοπούς δημοσίου συμφέροντος και ότι η επεξεργασία για την οργάνωση αναγνωρισμένων εκπαιδευτικών προγραμμάτων οφείλει να ερείδεται στις νομικές βάσεις του άρθρου 6 παρ. 1γ’ ή ε’ ΓΚΠΔ και, ως προς ειδικές κατηγορίες δεδομένων, στο άρθρο 9 παρ. 2ζ’. Από τη στιγμή που δεν υπήρχε ειδική νομοθετική διάταξη που να προβλέπει την επεξεργασία βιομετρικών δεδομένων για τον συγκεκριμένο σκοπό, η νομιμότητα του εγχειρήματος δεν μπορούσε να εκπληρωθεί.

Παράλληλα, η ιταλική αρχή ευλόγως έκρινε ότι η συγκατάθεση που δινόταν δεν ήταν ελεύθερη, αφού η άρνησή της συνεπαγόταν αποκλεισμό από το συγκεκριμένο πρόγραμμα και από την απόκτηση του τίτλου, ενώ στοιχείο που αξιολογήθηκε ήταν και η σαφής ανισορροπία μεταξύ φοιτητή και ιδρύματος.

Ως προς τις αρχές ελαχιστοποίησης και περιορισμού του χρόνου αποθήκευσης, διαπιστώθηκε ότι από τον Μάρτιο έως τον Ιούλιο 2024 τα δεδομένα διατηρούνταν έως δώδεκα μήνες από τη συλλογή τους. Η Garante έκρινε ότι, ανεξαρτήτως της έλλειψης νόμιμης βάσης, η περίοδος αυτή δεν ήταν αναλογική σε σχέση με τον επιδιωκόμενο σκοπό. Σε περίπτωση επιτυχούς ταυτοποίησης δεν υπήρχε λόγος διατήρησης μετά τη λήξη του μαθήματος ή της εξέτασης, ενώ σε περίπτωση αποτυχίας, η ταυτότητα μπορούσε να επαληθευθεί με παραδοσιακό οπτικό έλεγχο.

Περαιτέρω, η ιταλική αρχή έκρινε ότι το πανεπιστήμιο όφειλε να έχει διενεργήσει εκ των προτέρων εκτίμηση αντικτύπου (DPIA), δεδομένης της μεγάλης κλίμακας επεξεργασίας ειδικών κατηγοριών δεδομένων και της χρήσης τεχνολογίας αναγνώρισης προσώπου. Η εκτίμηση που προσκομίστηκε κατά τη διάρκεια της έρευνας, χωρίς βέβαιη χρονολόγηση και υπογραφή, δεν κρίθηκε επαρκής για την απόδειξη συμμόρφωσης με το άρθρο 35 ΓΚΠΔ πριν από την έναρξη της επεξεργασίας.

Λαμβάνοντας υπόψη ότι η παράβαση αφορούσε ειδικές κατηγορίες δεδομένων, διήρκεσε από τον Μάρτιο έως τον Νοέμβριο 2024, η Garante προσδιόρισε το επίπεδο σοβαρότητας ως υψηλό. Συνεκτιμώντας ελαφρυντικά την απουσία προηγούμενων παραβάσεων και τη συνεργασία του πανεπιστημίου, το οποίο αρχικά τροποποίησε και στη συνέχεια διέκοψε τη λειτουργία του συστήματος, η ιταλική αρχή αποφάσισε την επιβολή διοικητικού προστίμου ύψους 50.000 ευρώ.