[informații primite thanks to @Gupi]
Bacalaureatul s-a terminat. Rezultatele au fost afișate. A venit vacanța.
Toate bune și frumoase, dar să privim mai atent site-ul http://bacalaureat.edu.ro. Imediat sub adresă veți observa un toolbar mai special, descărcat ca addon de la http://toolbar.netcraft.com. Pe lângă facilitățile de raportare rapidă a site-urilor de phishing, toolbar-ul mai are o funcționalitate interesantă: arată locația site-ului vizitat. Așa arată un printscreen cu site-ul pentru bacalaureat. Ați văzut ce am văzut și noi?! Brazilia?!?
Desigur, locația afișată nu este 100% certă, însă putem face niște verificări suplimentare, nu?
Toolbar-ul afișează cum că site-ul dedicat bacalaureatului e găzduit la Microsoft, cu locația undeva în Brazilia. Dar hai să fim sceptici și să verificăm și cu alte unelte. Mai jos sunt printscreen-uri cu informațiile arătate de ping.eu și site24x7.com care ambele arată că site-ul e găzduit în Irlanda.
Bun, să zicem că toolbar-ul de la Netcraft are informații false și că site-ul e găzduit într-adevăr în Irlanda. Totuși, prin acest toolbar aflăm informații interesante. Tehnic vorbind, de fapt bacalaureat.edu.ro este un CNAME pentru bacalaureat.cloudapp.net, care este cloud-ul Microsoft.
Ce înseamnă asta pentru datele personale?
Pe scurt, fiindcă datele sunt stocate în cloud, asta înseamnă că ele pot fi localizate pe orice server, oriunde din lume. Bineînțeles, din punct de vedere tehnic, traseul acestor datele poate fi predefinit și controlat (pentru a nu părăsi teritoriul Europei sau al unei țări care are un regim funcțional de protecție a datelor personale) – dar ne îndoim că s-a făcut asta în cazul datelor de la bac.
Pentru protecția datelor asta înseamnă că (1) poate fi mai dificil de identificat jurisdicția (adică legea cărui stat se aplică) și (2) chiar dacă identifici legea, e posibil să nu existe garanții suficiente pentru protecția datelor – de exemplu legislația din Venezuela nu este așa bine definită comparativ cu cea din Uniunea Europeană.
Ce se întâmplă dacă datele sunt stocate în cloud?
Problema care se ivește în cazul rezultatelor de la bacalaureat este că Ministerul Educației a prelucrat date cu caracter personal (nume, prenume, școala, clasa, etc), exportându-le în afara României. Și de aici apar o serie de alte întrebări:
- Este Ministerul înregistrat ca operator de date cu caracter personal?
Da, Ministerul este înregistrat ca operator doar pentru anumite operațiuni. Pe site-ul Ministerului sunt disponibile explicații în ceea ce privește prelucrarea de date personale. Alte informații aflăm de pe dataprotection.ro. Ministerul a notificat Autorității pentru Protecția Datelor o serie de prelucrări de date care se referă la prelucrarea în scopuri statistice, cercetare științifică, educație și cultură (plus protecție și asistență socială și monitorizarea și securitatea persoanelor și a spațiilor). Dar nu se menționează nicidecum că aceste date personale sunt transferate în străinătate.
- Are Ministerul consimțământul tuturor elevilor/persoanelor vizate pentru a le prelucra datele?
Având în vedere că persoanele vizate nici nu cunosc aspectul că datele lor personale ajung în străinătate, nu are cum să existe consimțământ pentru o astfel de prelucrare. În formularele notificate Autorității pentru Protecția Datelor se specifică doar faptul că persoanele vizate sunt informate verbal despre prelucrarea de date personale și că în cazul examenelor naționale de bacalaureat și a testelor naționale prelucrarea se realizează anual/ bianual. Deci lipsesc informații complete și corecte despre prelucrarea datelor.
- De ce nu este folosită rețeaua roedu.net pentru distribuirea rezultatelor?
….nu putem ști. Dar bănuim că nu rezistă… 
Nimic nu mai este sigur. Nu ar fi de mirare sa te trezesti ca esti vandut pe internet.
Nesiguranta totala. Daca nici datele de labac nu mai sunt sigure.
Nu ne mai surprinde nimic.Cred ca au facut asta intentionat.
De parca ar fi prima oara!