top of page
Ana Luiza Santos e Edgar Jacobs

Instituições de ensino e suas contratadas devem primar por não compartilhar dados de estudantes

A coleta dos dados de crianças e adolescentes sem consentimento dos pais ou responsáveis e o direcionamento de publicidade violam de forma inadmissível a privacidade deste público. Para eles, a Lei Geral de Proteção de Dados, em vigor desde 2020, estabelece que o tratamento de dados pessoais deve ser realizado "em seu melhor interesse", respeitando um princípio internacionalmente reconhecido de que a criança e o adolescente precisam ser tratados com prioridade absoluta. Não à toa as políticas de proteção para esta faixa etária são mais amplas.


E o fato é que vivemos em um período de transformação da ação social em dados on-line, monitorada em tempo real. É a codificação de aspectos da vida social, como as amizades, interesses, conversações, buscas por informação, expressão de gostos e até respostas emocionais.


A isto damos o nome de datificação da sociedade, hoje quantificada e que atinge a todos sem distinção, inclusive aqueles mais vulneráveis à exposição de informações pessoais. Já se sabe, por exemplo, que o uso comercial dos dados das crianças é frequente e o ideal seria que elas mesmas pudessem compreender - a partir de uma certa idade, claro - o ambiente digital e ter habilidades digitais e sua capacidade de consentimento levada em consideração na concepção de serviços, regulamentos e políticas.


Mas autonomia e dignidade das crianças como atores no mundo digital são complexas, pois ele já exerce uma persuasão desafiadora para os próprios adultos.


O único ponto pacífico é que os interesses da criança devem ser protegidos.


Consentimento


Há casos em que se dispensa o consentimento antes da coleta dos dados pessoais de crianças/adolescentes, mas o caráter é de exceção. Só ocorre quando a coleta for necessária para contatar os pais ou o responsável legal e os dados só podem ser utilizados uma única vez e sem armazenamento; outro caso é para a proteção do menor de idade; e, em nenhum caso, os dados podem ser repassados a terceiro sem o consentimento dos responsáveis.


A lei também entende que nem sempre o melhor interesse da criança será representado pela vontade dos pais ou responsáveis, mediante seu consentimento. Há situações, por exemplo, em que o interesse da criança pode estar em desacordo com a decisão destes adultos. E há casos em que a obtenção do consentimento é impossível. Havendo a separação física entre criança e pais ou responsáveis, por exemplo, não seria razoável esperar que o tratamento de dados se desse exclusivamente baseado no consentimento.


Pode ocorrer, inclusive, que, para proteção da própria criança, o tratamento de dados ocorra apesar da vontade dos pais, seja por desconhecimento da necessidade de proteção, seja por má-fé.


A propósito, no caso da Comissão Especial da lei brasileira a inspiração normativa foi a Children’s Online Privacy Protection Act, legislação norte-americana voltada à proteção de crianças no mundo virtual.

Leia mais:



Denúncia da Human Rights Watch (HRW)


Há poucos dias a Human Rights Watch (HRW) informou que os sites criados pelas Secretarias de Educação de Minas Gerais e São Paulo para a oferta de ensino online durante a pandemia coletaram – sem consentimento - dados pessoais dos estudantes e os enviaram para empresas especializadas em publicidade, por meio de tecnologias de rastreamento.


Segundo a apuração da ONG, outros sites educacionais agiram da mesma maneira, ou seja, com os dados dos alunos em mãos, puderam identificar o potencial de influência sobre cada estudante e, depois, direcionar conteúdos e anúncios personalizados para cada um.


Pior: as informações da organização não governamental dão conta que os sites não monitoravam os alunos somente dentro das salas de aula virtuais – o que já seria ilegal -, mas durante todo o tempo em que eles usavam a internet, recolhendo informações sobre sua vida privada. O relatório ainda mencionou que os estados e as empresas não "divulgaram plenamente as suas práticas de rastreamento, que permanecem invisíveis para usuários".


A denúncia de rastreamento desnuda mais uma vez empresas especializadas em publicidade comportamental usando dados de usuários de forma ilegal. Estas organizações, diga-se, analisam as informações obtidas do usuário e podem prever com grande margem de acerto o que ele quer/pode fazer em seguida.


A Human Rights Watch informou que, ainda em maio de 2022, alertou à Secretaria de Estado da Educação de Minas Gerais que o Estude em Casa enviava os dados dos usuários para uma empresa terceirizada e sua divisão de publicidade, por meio de quatro rastreadores de anúncios, três cookies de terceiros e a ferramenta de "públicos de remarketing" do Google Analytics, "permitindo que o site potencialmente direcionasse anúncios aos usuários enquanto navegavam na Internet".


A SEE/MG negou à época, mas em novembro do ano passado e janeiro deste ano, a ONG apurou que a ilegalidade se mantinha ocorrendo, com o site enviando dados de usuários para a mesma empresa terceirizada e sua divisão de publicidade.


Apenas depois de uma nova comunicação, em 24 de março de 2023, a Secretaria de Educação de Minas Gerais removeu todo o rastreamento de anúncios do Estude em Casa.


Os analistas e técnicos da pasta negam a utilização e a coleta de dados de alunos e afirmam que constantemente são realizadas criteriosas análises técnicas, rastreamentos e adequações nas plataformas online utilizadas e que todo o processo é feito em diálogo com a Human Rights Watch, que assessora a SEE/MG na manutenção da proteção virtual à privacidade dos dados de crianças e adolescentes.


Ainda não se sabe se os dados foram coletados sem o conhecimento ou a intenção da Secretaria de Educação/MG.


Site educacional de São Paulo


Caso semelhante ocorreu em São Paulo e a Human Rights Watch, entre os meses de maioe novembro de 2022, pediu esclarecimentos à Secretaria de Educação por quatro vezes sem que alguma providência fosse tomada. A ONG comunicou que desde maio do ano passado percebe que o site educacional enviava dados dos usuários para duas empresas terceirizadas por meio de quatro rastreadores de anúncios, incluindo um script de rastreamento que poderia permitir a publicidade.


Infelizmente, mesmo com os quatro pedidos de esclarecimento, continuou-se endossando o uso de sete sites educacionais que coletam indevidamente dados pessoais de estudantes.


A Secretaria da Educação do Estado (Seduc-SP), em nota enviada ao site de notícias g1 disse que:


"o aplicativo do Centro de Mídias (CMSP) para plataformas Android/iOS/Web possui tratamento de dados reduzido somente ao necessário para prover a finalidade educacional pretendida" e que "todos os dados gerados são anonimizados e utilizados para a construção de políticas públicas voltadas aos próprios estudantes da rede".

A Seduc também informou que utiliza mecanismos de segurança em conformidade com a LGPD para garantir a privacidade das informações pessoais e impedir vazamento de dados, com mecanismos de criptografia.


"Todos os aplicativos parceiros da Seduc-SP têm que assinar um acordo de confidencialidade. A empresa que descumprir o acordo, poderá responder nos âmbitos civil, administrativo e criminal. A nova gestão da Secretaria da Educação de São Paulo conta com um time de tecnologia permanente que está revendo e aprimorando todos os sistemas da rede, de modo a corrigir eventuais falhas ou erros de desempenho ou segurança". (nota enviada ao site g1)

As empresas e a responsabilidade da instituição de ensino


Naturalmente, nos casos mencionados, as empresas contratadas para o desenvolvimento das plataformas se desincumbiram de qualquer responsabilidade. Elas afirmaram que não comercializam dados a terceiros, em nenhuma situação, e que todos os dados coletados dos alunos foram e são utilizados única e exclusivamente para melhorar a experiência durante o processo de aprendizagem.


E como fica a responsabilidade das instituições de ensino?


Pois bem: as instituições de ensino, mesmo tendo implementado a devida conformidade com a LGPD, lei efetiva desde 2020, inclusive via aplicação de sanções, precisam se ater às empresas que contratam para prestar serviços como os de criação de plataformas educacionais. É que os dados pessoais tratados por terceiros contratados também são de responsabilidade da instituição.


A instituição de ensino, é bom constar, é a controladora dos dados pessoais dos alunos e a decisão do tratamento dos dados pelo terceiro é sempre dela. Ou seja, caso ocorra algum incidente, a responsabilidade será solidária.


O que indicamos é que a instituição de ensino, em todos os casos em que precise contratar um terceiro, estipule no contrato cláusulas de proteção de dados e faça o procedimento de diligência prévia, ou seja, um estudo aprofundado dos eventuais riscos oferecidos pela relação comercial. É uma maneira de mitigar os riscos no caso do terceiro contratado realizar um tratamento inadequado dos dados.


Lembrando que sanções administrativas serão cabíveis às pessoas jurídicas - inclusive às instituições de ensino - que estiverem em desacordo com os preceitos da lei de dados e a aplicação se concretizará por meio das decisões da Autoridade Nacional de Proteção de Dados.


Leia mais:



Gostou deste texto? Faça parte de nossa lista de e-mail para receber regularmente materiais como este. Fazendo seu cadastro você também pode receber notícias sobre nossos cursos, que oferecem informações atualizadas e metodologias adaptadas aos participantes.

Temos cursos regulares já consagrados modelamos cursos in company sobre temas gerais ou específicos relacionados ao Direito da Educação Superior. Conheça nossas opções e participe de nossos eventos.


29 visualizações

Comentários


bottom of page