Защита данных требует от правительства Андалусии дополнительных гарантий в отношении профилей 738 502 учащихся, переданных Google

В правильном направлении, но требует улучшений. Таково сообщение, которое Совет по прозрачности и защите данных Андалусии направил региональному правительству (PP) в отношении гарантий и мер защиты, предоставляемых 738 502 несовершеннолетним учащимся, 43 2020 учителям и 2676 учебным заведениям, профили которых хранятся в многонациональной компании Google через ее виртуальную образовательную платформу Workplace for Education. В течение пяти лет правительство Андалусии нарушало защиту данных студентов невузовских учебных заведений и преподавателей, не соблюдая Общий регламент по защите данных (RGPD), за что получило шесть санкций. Сейчас оно готовит почву и разрабатывает новое соглашение, которое будет подписано в ноябре этого года с технологическим гигантом, чтобы избежать дальнейших наказаний и соблюдать закон. В своем решении, вынесенном год назад, Совет по прозрачности возложил обязанности на правительство Андалусии, а 10 февраля, на следующий день после публикации в СМИ информации о передаче данных Google, орган выпустил отчет о соблюдении требований, чтобы проверить, выполняет ли правительство его рекомендации. Вывод заключается в том, что Министерство образования и профессионального обучения Андалусии находится на правильном пути в деле защиты профилей своих учащихся, но все еще должно исправить некоторые существенные аспекты. Правительство допустило серьезное нарушение, не проведя надлежащую оценку воздействия на защиту данных учащихся, «основополагающий инструмент принципа проактивной ответственности». Речь идет о плане по оценке рисков возможных нарушений безопасности, которые затронут тысячи людей. «Оценка воздействия представляет собой значительный прогресс в выполнении обязательств, вытекающих из европейского регламента и наложенных корректирующих мер . Документ является необходимым, но недостаточным отправным пунктом. Он должен быть дополнен и углублен в указанных аспектах, чтобы достичь строгости, соответствующей обработке данных, которая затрагивает более миллиона потенциальных пользователей, в большинстве своем несовершеннолетних, в сфере государственной системы образования Андалусии», — отмечается в отчете о защите данных. Одно из двух очень серьезных наказаний, наложенных на правительство, было связано с передачей данных учащихся в такие страны, как Сингапур, Сальвадор или Филиппины, которые не соблюдали GDPR. Теперь орган считает, что закон соблюдается. Однако он делает это на основании документа, направленного американской компанией, в котором она уверяет, что все передачи данных андалузских учащихся соответствуют европейскому регламенту. «Передача данных в США и последующая передача из США в третьи страны гарантируется Data Privacy Framework [обязательством Google о соблюдении европейских норм]», — говорится в документе. В связи с этим министерство Андалусии подчеркнуло, что оно «несет ответственность за обработку персональных данных» учащихся. «Поскольку персональные данные принадлежат министерству, они абсолютно недоступны для Google, а учетные записи полностью анонимизированы», — утверждает представитель министерства Кармен Кастильо, подписавшей соглашение с компанией в 2020 году и дополнение к нему в 2024 году, срок действия которого истекает в конце этого года. Профессор философии права Университета Пабло де Олавиде в Севилье Рафаэль Родригес ставит под сомнение намерение правительства продлить бесплатное соглашение с технологическим гигантом: «В меняющемся правовом контексте, когда трансатлантические отношения между ЕС и США переживают не лучшие времена, привлекает внимание то, что принимаются такие риски. Нельзя игнорировать тот факт, что между нынешней администрацией США и ЕС существует конфликт в отношении европейских правил регулирования интернета. Фактически, признается очень высокий риск, и тем не менее проявляется довольно трогательное доверие к доброжелательности Google». ЕС наложил на компанию три штрафа на общую сумму 8,257 млрд евро за злоупотребление доминирующим положением. Родригес считает «невероятным», что правительство возлагает на руководство школ и институтов ответственность за контроль и ограничение контента, размещаемого на виртуальной образовательной платформе компании. «Конечно, странно, что учителя, помимо проведения уроков, общения с родителями и учениками и решения бюрократических вопросов, вдруг должны стать экспертами по защите данных», — критикует он после сертификации 8004 учителей в ходе 96 семинаров, проведенных министерством. Эксперт рекомендует использовать систему с открытым исходным кодом Moodle, «не исключая другие открытые, коллективные и творческие способы». Потому что риски существуют. Учитывая, что платформа Workplace for Education очень интуитивна и предлагает привлекательное разнообразие инструментов для проверки заданий, обмена документами и упрощения бюрократических процедур, некоторые руководящие группы проявляют слепую веру и игнорируют минимальные меры предосторожности для защиты данных своих учеников. Эта газета установила, что по крайней мере одно учебное заведение в Андалусии хранило протоколы оценивания в Google Drive, несмотря на то, что они должны храниться в Séneca, платформе, созданной правительством провинции, которая имеет гарантии безопасности. Кроме того, провинциальная инспекция образования сообщила учебному заведению, что оно не нарушило никаких норм, перенеся протоколы на виртуальную платформу технологической компании. Эти протоколы являются официальными документами, в которых регистрируются имена и фамилии учащихся, их заболевания, медицинские диагнозы, социально-экономические проблемы, а также их успеваемость в течение учебного года. «Никто не задумывается о том, что ученик, который сегодня не занимается физкультурой из-за шума в сердце, через 10 лет захочет оформить страховку, но не сможет этого сделать, потому что страховая компания будет знать, что его сердце не работает нормально», — критикует учитель, пожелавший остаться анонимным из-за страха мести. В связи с этим министерство ограничивается напоминанием о том, что Séneca — единственная официальная платформа, на которую должны загружаться протоколы оценок школ. Данные о здоровье особо защищены европейским регламентом, поскольку являются особой категорией конфиденциальных данных, злоупотребление которыми может нарушить неприкосновенность частной жизни и основные права человека. «Администрация игнорирует все: подписывает соглашение с Google и не проводит оценку воздействия. Все нужно регулировать, нельзя соглашаться с их условиями из-за личной заинтересованности или незнания. В конце концов, компания получит дезагрегированные данные, чтобы с помощью тепловых карт узнать интересы и мировоззрение детей в зависимости от их возраста, чтобы использовать их и идентифицировать возрастные сегменты, что также не является правильным», — прогнозирует Марио де ла Пенья, член комиссии по делам несовершеннолетних в Профессиональной ассоциации по вопросам конфиденциальности и искусственного интеллекта (Apep). В четверг министр образования Кармен Кастильо выступила с категоричным заявлением в парламенте автономной области: «Никогда не было утечки личных данных учащихся и преподавателей Андалусии . Единственное, о чем нас попросил Совет по прозрачности, — это информировать и обучать семьи и преподавателей, чтобы избежать рисков. То, что обнаружил Совет, представляло собой нарушение, поскольку у нас, по-видимому, не было достаточных гарантий для защиты данных, а не то, что существовал разрыв. А 10 февраля он сообщил нам, что у нас есть эти гарантии и наши данные защищены». Политическая оппозиция, назвавшая этот случай «скандалом», потребовала от Кастильо расторгнуть соглашение с Google, провести внутренний аудит и взять на себя политическую ответственность.