Sistemele de monitorizare cu recunoaștere facială din școli sunt ilegale

Am simțit nevoia să scriu acest articol văzând știrea cu Liceul Onisifor Ghibu din Oradea, liceu la care s-a decis implementarea unui sistem de monitorizare cu recunoaștere facială, pentru a preveni violența și pentru a crește siguranța elevilor. Un astfel de sistem există deja în București, la Școala 80 din Sectorul 3. Scopul, bineînțeles, „siguranța elevilor” – așa cum și Securitatea avea ca scop securitatea cetățenilor. Din păcate, multe alte școli evaluează astfel de sisteme, iar utilizarea lor este ilegală. Vedeți mai jos de ce.

Citeam în cartea lui Ion Mihai Pacepa, „Orizonturi roșii”, cum Ceaușescu era obsedat să știe tot timpul ce discută oamenii de el. Este o fază în carte, când i se demonstrează imbecilului conducător un sistem nou de interceptare, legat la telefonul fix, care se activa în momentul în care era apelat telefonul și rămânea activ, înregistrând tot ce se vorbea în casă.

Un întreg sistem de delaționiști, interceptări și filaje constituia cel mai crunt sistem de monitorizare și control al populației – Securitatea. Însă Securitatea nu era constituită doar din angajații Securității, ci și din sutele de mii (se zice că peste un milion) de colaboratori, care își dădeau în gât vecinii, părinții, soții sau soțiile, copiii etc. Și acest cancer a rămas adânc înfipt în ființa națională românească.

Securitatea nu a murit. Olecuțî s-a transformatî.

Oficial, Securitatea a reînviat după conflictul inter-etnic de la Târgu-Mureș din 1990, când în urma unei diversiuni organizate de foști ofițeri de Securitate (vorba vine „foști”), au avut loc conflicte între maghiari și români, soldate cu 5 morți. Așa s-a înființat Serviciul Român de Informații, cu securiștii de rigoare.

La ora actuală, România are șapte servicii de informații:

• Serviciul Român de Informații.
• Serviciul de Informații Externe.
• Serviciul de Transmisiuni Speciale.
• Serviciul de Pază și Protecție
• Direcția Generală de Protecție Internă (fosta „Doi și-un sfert”).
• Direcția Generală de Informații a Armatei.
• Direcția Operațiuni Speciale din Ministerul Afacerilor Interne.

Nu cred că există o altă țară care să aibă atâtea servicii de informații.

Spionita – boala românului.

O lungă vreme, în anii ’90, românii au continuat să-și toarne vecinii ce își cumpărau diverse, neștiind că legea „ilicitului” nu mai exista. Îi dădeau în gât la autorități fiindcă asta făcuseră o viață întreagă. Copiii lor, crescuți în această cultură, astăzi ajunși prin diverse instituții, sunt cei care decid implementarea sistemelor de monitorizare CCTV care să vadă ce fac angajații în birou, a sistemelor GPS funcționale 24/7 să vadă pe unde merg angajații, a aplicațiilor instalate pe calculatoarele angajaților care să pornească camera random și care să ia screenshot-uri de pe calculatoare, să vadă exact ce fac angajații.

Toate aceste practici sunt ilegale sau la limita legalității și nu doar din punctul de vedere al Regulamentului General de Protecție a Datelor (GDPR) ci și din punct de vedere al dreptului fundamental al omului la viață intimă.

Recunoașterea biometrică – o prelucrare de date personale extrem de intruzivă.

În GDPR există Articolul 9 – Prelucrarea de categorii speciale de date cu caracter personal care stabilesc care sunt datele personale cu caracter special a căror prelucrare este interzisă: originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice. Tot articolul 9 dă niște excepții privind prelucrarea acestor date, cea mai notabilă fiind consimțământul persoanei vizate – dacă este legal colectat, bineînțeles. Revenim imediat asupra consimțământului.

Însă, în general, prelucrarea acestor date este interzisă. Motivul este că prelucrarea acestor date poate avea efecte foarte nasoale asupra vieții oamenilor, începând de la discriminare, distrugerea imaginii unei persoane, afectarea vieții intime și până la sinucidere. Excepțiile menționate la articolul 9 sunt legate de prelucrările de date făcute de spitale, de ONG-uri pentru scop de donații, de situațiile reglementate de lege (de exemplu medicina muncii) etc. În niciun caz nu poți prelucra datele cu caracter special ale unei persoane fiindcă așa are chef șeful care vrea să știe câți din angajați sunt gay sau câți din angajați au vreo boală cronică (care nu le afectează capacitatea de a munci).

Necesitatea și proporționalitatea – cheia conformității în GDPR.

Ca să poți argumenta respectarea celor două principii, trebuie să ai un răspuns foarte clar la următoarele întrebări:

• Necesitate – de ce alte prelucrări mai puțin intruzive nu sunt viabile pentru atingerea scopului dorit? De exemplu, în cazul permiterii accesului elevului în școală, un card de acces.
• Proporționalitate – Cât timp sunt stocate datele? Cine mai are acces la ele și de ce? Care este complexitatea datelor biometrice colectate și prelucrate? Cum evităm ca persoanele ce trec prin fața școlii să nu fie „scanate” de sistem?

Însă, ghinion, mai avem și alte principii ce trebuie respectate:

• Legalitate, echitate, transparență – cum se face informarea persoanelor vizate?
• Limitări legate de scop – care sunt scopurile în care se fac prelucrările? Vorbim doar de acces sau și de monitorizare, măsuri disciplinare etc? Care sunt temeiurile legale pentru prelucrarea datelor?
• Minimizarea datelor – de ce colectăm date automat de la toată lumea ce trece prin dreptul sistemului?
• Corectitudinea datelor – dacă un elev/profesor/vizitator vine în școală după o procedură medicală ce are impact asupra fizionomiei faciale, ce controale există pentru a verifica dacă sistemul nu dă erori?
• Limitarea stocării – cât timp sunt stocate datele?
• Securitatea datelor – ce controale de securitate sunt implementate pentru a asigura confidențialitatea, integritatea și disponibilitatea datelor personale?

Să vorbim și de drepturile persoanelor vizate de acces, rectificare, restricționare, ștergere, obiecție și export de date? Sau să vorbim mai specific de Articolul 22 din GDPR care interzice explicit deciziile bazate exclusiv pe prelucrarea automată (în special prin AI) care produc efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă (gen interzicerea accesului)? Cu excepțiile de rigoare, unde din nou vorbim de consimțământ – nefuncțional în acest caz, explic mai jos de ce.

Riscuri și DPIA.

Articolul 35 din GDPR, Evaluarea impactului asupra protecției datelor, obligă operatorii de date ce fac prelucrări de date personale ce aduc riscuri asupra drepturilor și libertăților persoanelor vizate să facă o analiză formală asupra impactului asupra protecției datelor – celebrul DPIA (Data Protection Impact Assessment).

Analiza DPIA trebuie să identifice absolut toate riscurile privind afectarea drepturilor și a libertăților persoanelor vizate, să le prioritizeze și să le adreseze cu măsuri tehnice și organizaționale de atenuare. Dacă un risc nu poate fi atenuat la un nivela acceptabil, operatorul este obligat fie să contacteze autoritatea de protecție a datelor – ANSPDCP în cazul de față, fie să renunțe la prelucrare cu totul.

Articolul 35 menționează câteva prelucrări la care obligatoriu trebuie să se facă DPIA, una dintre ele fiind „prelucrarea pe scară largă a unor categorii speciale de date”. În cazul monitorizării cu recunoaștere facială, vorbind de o școală, obligativitatea DPIA este evidentă.

Încă ceva: DPIA-ul nu se face la mișto, atrage răspunderea instituțională și chiar personală. Astfel, evaluarea trebuie să fie obiectivă, ea este făcută de reprezentanții instituției, DPO-ul instituției o contrasemnează, conducerea o semnează și ea poate fi solicitată de către ANSPDCP. Care, dacă vede că ai făcut-o la mișto, dă amendă și oprește prelucrarea cu totul.

Ce riscuri văd eu în cazul unor astfel de prelucrări?

• Risc de discriminare – persoanele cu tenul mai închis la culoare sunt mai greu de recunoscut de sistemele de recunoaștere facială.
• Risc de prelucrare incorectă a datelor – persoanele care au trecut prin proceduri medicale ce au efecte asupra feței – extracții, operații la ochi, julituri la față etc – nu vor fi recunoscute.
• Risc de prelucrare excesivă a datelor – persoanele ce nu au treabă cu școala, în momentul în care trec prin dreptul camerelor, sunt scanate și datele biometrice le sunt colectate.
• Risc de reutilizare a datelor în alte scopuri – la sistemele GPS firmele spun că le implementează pentru securitatea bunurilor și a angajaților, ca apoi să îi pedepsească pe angajați că au stat prea mult într-un loc sau că nu au fost pe unde ar fi trebuit să fie. Acestea sunt alte scopuri. Un sistem de monitorizare cu recunoaștere facială poate fi folosit pentru a monitoriza „copiii-problemă” (cine stabilește criteriile unui „copil-problemă”? Un copil inteligent care supără pe dl director la oră, corectându-l sau punând întrebări dificile intră în această categorie subiectivă?) sau chiar „profesorii-problemă” ce nu sunt pe placul d-lui sau d-nei directoare.
• Stres psihic – gândul că un sistem Big Brother, desprins parcă din 1984 a lui Orwell, te monitorizează știind exact unde ești și ce faci, generează un stres înfiorător și asupra elevilor dar și asupra personalului didactic și non-didactic. Practic, nu ai voie să greșești, nu ai voie să protestezi, nu ai voie să nimic.
• Risc de acces ilegal la date – fără proceduri, procese și controale de securitate dure, oricine poate avea acces la date foarte sensibile, date ce pot fi descărcate pentru a putea fi refolosite în scenarii de furt de identitate, de exemplu.
• Risc de nerespectare a drepturilor persoanelor vizate – cum se va respecta dreptul persoanelor vizate privind accesul la datele personale, inclusiv la o copie a acestor date? Cum se va respecta dreptul la restricționarea datelor?

Aceste riscuri nu pot fi tratate prin simple măsuri listate la mișto într-un document! Sunt curios dacă cele două școli au făcut vreun DPIA.

Consimțământul – glonțul de apă al GDPR-ului.

Lumea crede – greșit – că dacă ai consimțământul unei persoane, poți face orice. Până la consimțământ – care este unul din cele șase temeiuri legale disponibile – trebuie să te asiguri de necesitate, proporționalitate și de respectarea restului de principii GDPR.

Însă consimțământul are niște cerințe dure, ce vin din articolul 4 GDPR – Definiții și din articolul 7 GDPR – Condiții privind consimțământul. Astfel, consimțământul trebuie să fie liber dat, specific, informat și lipsit de ambiguitate. Liber dat înseamnă că nu trebuie să existe niciun factor de presiune – incentive sau dimpotrivă, repercursiuni (gen presiuni din partea profesorilor), trebuie să existe o alegere (dacă de exemplu nu vrei să fii scanat, cum poți totuși intra în școală), trebuie o informare completă privind prelucrările de date personale, datele nu pot fi folosite în niciun alt scop decât cel previzionat inițial (două scopuri necesită două consimțăminte) șamd. Există o publicație a European Data Protection Board, instituția europeană ce este o organizație-umbrelă care reunește autoritățile naționale pentru protecția datelor, legată de condițiile pentru consimțământ.

În cazul prelucrărilor de date legate de sistemele de monitorizare cu recunoaștere facială, consimțământul nu poate fi luat în calcul ca temei legal de prelucrare a datelor. Ar trebui să faci un culoar separat pentru cei care vor să fie scanați, culoar care să nu bată în stradă, în care să intre doar cei care și-au dat consimțământul (sau ai căror părinți și-au dat consimțământul), culoar pe care să fie camerele cu recunoaștere facială, plus un alt culoar pe care să ai alt mod de acces în școală. Asta ca să dai iluzia de alegere. Însă revenind, nu rezolvi problema relației debalansate dintre operator – școala ce cere consimțământul și persoana vizată – elev, părinte, angajat al școlii, vizitator.

Ilegalitatea sistemelor de monitorizare prin camere video cu recunoaștere facială.

Problematica acestor sisteme este atât de sensibilă încât în viitorul AI Act, legislația de utilizare a sistemelor cu inteligență artificială, se interzice utilizarea algoritmilor de AI ce prelucrează date biometrice pentru identificarea persoanelor, inclusiv de către organele de securitate, cu foarte mici excepții.

Dar nu este nevoie de AI Act pentru ca astfel de prelucrări să fie catalogate drept ilegale și intruzive. Avem pentru asta Ghidul 3/2019 al EDPB privind prelucrarea datelor cu caracter personal prin mijloace video. Există acolo capitolul 5 care se ocupă de Prelucrarea de categorii speciale de date, care explică în detaliu ce se poate și ce nu se poate.

Concluzie.

Sistemele de acces bazate pe recunoașterea facială în școli nu sunt legale. Sistemele de monitorizare din școli bazate pe camere cu recunoaștere facială nu sunt legale. Legislația este foarte clară.

Ca să faci un astfel de sistem să fie legal, ai nevoie de o legislație specială care să adreseze protecția elevilor ca fiind un deziderat național, adresabil doar prin intermediul unor soluții tehnice adecvate. O astfel de legislație ar permite utilizarea interesului public ca temei legal, însă este nevoie de enorm de multe controale de securitate și de măsuri de limitare a prelucrărilor de date pentru a respecta drepturile oamenilor.

Însă o astfel de legislație nu ar trece de Curtea Constituțională care ar vedea clar limitările legate de dreptul la intimitate. Și oricum vine AI Act care interzice cu totul astfel de prelucrări.

Există la ora actuală demersuri ale specialiștilor și ale ONG-urilor de oprire a acestor sisteme. Sper doar ca ANSPDCP să vină cu un punct de vedere oficial și să mai oprim puțin din elanul securist al oficialităților.