No dia 09 deste mês de agosto, pais de alunos, alunos e professores da rede estadual de São Paulo relataram a instalação em massa do aplicativo "Minha Escola" em seus celulares pessoais sem qualquer consentimento prévio.
Foram dezenas de milhares de pessoas com o aplicativo instalado de maneira inusitada, sem nenhuma notificação ou consulta prévia, incluindo professores já aposentados.
Obviamente, os passos determinados pela legislação de dados não foram seguidos e a análise de impacto de privacidade foi esquecida.
É bastante provável que o estado tenha fornecido ao Google alguma base de dados como e-mails, identificador do celular e números de telefones vinculados à Secretaria de Educação, pois são as ferramentas que possibilitariam a instalação do aplicativo via conta Google, do chip fornecido pelo estado a algumas pessoas durante a pandemia, ou de alguma atualização do sistema operacional do celular.
É que a Secretaria da Educação do estado de São Paulo tem convênio com o Google para uso de plataformas educacionais, o que poderia favorecer uma instalação desta natureza. A empresa desconversa e informa que sua plataforma Google for Education, é realmente utilizada por diversas instituições de ensino no Brasil e no mundo, mas que são os gestores das instituições de ensino os responsáveis pela administração, configuração, gestão e controle dos dados dos usuários e aparelhos cadastrados, de modo que ela não exerce qualquer ingerência nos comandos escolhidos e implementados pelas instituições. O Google informou também que não participa do desenvolvimento ou da instalação do aplicativo alvo dos aborrecimentos.
A Secretaria de Educação de São Paulo informou ter instaurado um processo administrativo para apurar as circunstâncias relativas ao caso e que a "falha ocorreu durante um teste promovido pela área técnica da pasta".
Relatou também que, identificado o equívoco que levou à instalação do app em dispositivos conectados às contas Google institucionais, acionou a reversão pelo envio de solicitações para exclusão do programa, lançado em agosto de 2018 para alunos e responsáveis acessarem notas e faltas, horário de aulas e mesmo uma versão digital da carteirinha estudantil com foto, nome, série e unidade do aluno.
O Consentimento
A necessidade de uma lei específica de Proteção de Dados surgiu da verificação da constante afronta a um direito básico, o Direito à Privacidade. Ela surge como a lei n. 13.709/18 para garantir este e outros direitos, como o Direito à Explicação, o Direito à Revisão e o Direito ao Desenvolvimento da Personalidade.
Estes três direitos são aspectos da Autodeterminação Informativa, um dos fundamentos da disciplina da proteção de dados pessoais e, ao mesmo tempo, um desmembramento do Direito à Privacidade, cuja finalidade é tutelar de forma eficiente o conjunto de dados considerados pessoais do cidadão, garantindo-lhes o controle.
Em relação às instituições de ensino Superior, a regra contida na LGPD é a da necessidade de o aluno/responsável, titular do direito, fornecer o consentimento para que possa haver tratamento de seus dados, o que inclui toda operação realizada com dados pessoais: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (art.5º, X da LGPD).
Caso o controlador necessite comunicar ou compartilhar os dados com outros controladores deverá obter novo e específico consentimento, ressalvadas as hipóteses de dispensa.
A regra, portanto, é a necessidade de consentimento. As exceções são discriminadas na norma e, no caso, o evento ocorrido em São Paulo nelas não se inclui.
Leia mais:
A questão de como os dados pessoais de estudantes, professores e até de professores do estado já aposentados foram parar nas mãos de quem desenvolveu o aplicativo ainda está em aberto, mas a partir de todos os fatos já expostos já se admite uma violação dos fundamentos e princípios da LGPD, pois – repetindo - não houve consentimento ou base legal para a instalação do aplicativo.
E mais: acessar o celular de outras pessoas ou instalar programas sem autorização prévia de seu dono é crime.
Sobre o caso, ainda é preciso descobrir os responsáveis e a ANPD deverá verificar quais medidas serão tomadas, inclusive para preservar os dados das vítimas daqui pra frente. Uma representação para investigar as ações da Secretaria de Educação envolvida foi protocolada ao Grupo de Atuação Especial do Ministério Público.
Denúncias
Não é a primeira vez que dados de alunos são vazados. Em abril deste ano a Human Rights Watch (HRW) alertou que sites criados pelas Secretarias de Educação de Minas Gerais e São Paulo para a oferta de ensino online durante a pandemia coletaram – também sem consentimento - dados pessoais dos estudantes e os enviaram para empresas especializadas em publicidade, por meio de tecnologias de rastreamento.
Outros sites educacionais teriam agido da mesma maneira: com os dados dos alunos em mãos, tiveram condições de identificar o potencial de influência sobre cada estudante e, depois, direcionar conteúdos e anúncios personalizados para cada um.
O relatório da denúncia ainda mencionou que os estados e as empresas privadas não "divulgaram plenamente as suas práticas de rastreamento, que permanecem invisíveis para usuários", o que é preocupante.
No caso do estado de São Paulo, a HRW informou na ocasião ter feito quatro alertas sobre seu site educacional enviar dados dos usuários para duas empresas terceirizadas por meio de rastreadores de anúncios, incluindo um script de rastreamento que poderia permitir a publicidade. E que, mesmo com os pedidos de esclarecimento, foi dada continuidade ao uso dos sites que coletavam indevidamente dados pessoais de estudantes.
Responsabilidade
Mais uma vez alertamos que todas as instituições de ensino, ainda que em conformidade com a LGPD, devem estar atentas às empresas que contratam para prestar serviços como os de criação de plataformas educacionais ou aplicativos específicos. Pois os dados pessoais tratados por terceiros contratados também são de sua responsabilidade.
A instituição de ensino é a controladora dos dados pessoais dos alunos e a decisão do tratamento dos dados pelo terceiro é sempre sua; caso ocorra algum incidente, a responsabilidade será solidária.
Em todos os casos em que precise contratar um terceiro, a instituição de ensino deve estipular no contrato cláusulas de proteção de dados e fazer o procedimento de diligência prévia, o que seja: um estudo aprofundado dos eventuais riscos oferecidos pela relação comercial. É uma forma de mitigar os riscos no caso do terceiro contratado realizar um tratamento inadequado dos dados.
As sanções administrativas serão cabíveis a todas as pessoas jurídicas que estiverem em desacordo com os preceitos da lei de dados e a aplicação se concretizará por meio das decisões da Autoridade Nacional de Proteção de Dados.
Leia também:
Enfim, em se tratando de segurança, a palavra é prevenção. Toda instituição deve manter bons hábitos rotineiramente, ser atendida por profissionais especializados e ter um excelente plano para situações de crise. Caso ela se apresente, as medidas de contenção de danos devem ser tomadas o mais rapidamente; tudo deve ser feito com a maior transparência possível seguindo o plano de respostas a incidentes e, muito importante, sem fugir de suas responsabilidades.
Gostou deste texto? Faça parte de nossa lista de e-mail para receber regularmente materiais como este. Fazendo seu cadastro você também pode receber notícias sobre nossos cursos, que oferecem informações atualizadas e metodologias adaptadas aos participantes.
Temos cursos regulares já consagrados e modelamos cursos in company sobre temas gerais ou específicos relacionados ao Direito da Educação Superior. Conheça nossas opções e participe de nossos eventos.