Com o advento da pandemia do novo Coronavírus (Covid-19) e a consequente adoção de medidas de isolamento social para conter a disseminação da doença, o uso de tecnologias educacionais e estratégias de aprendizagem remota têm sido a solução empregada por instituições de ensino públicas e privadas para garantir a continuidade das atividades pedagógicas. Esse cenário de digitalização, todavia, chama a atenção para a coleta e uso massivo de dados pessoais por meio de ferramentas tecnológicas de ensino, o que deve ser analisado à luz da Lei n. 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD).
Com efeito, o tratamento de dados pessoais sempre foi bastante frequente no setor educacional, vez que grande parte das atividades desenvolvidas no cotidiano das instituições de ensino envolvem a coleta e manipulação de dados de estudantes, responsáveis legais, docentes, funcionários e demais profissionais envolvidas na prestação dos serviços educacionais. Diante disso, como meros exemplos de dados tratados em uma instituição de ensino, podemos citar os históricos escolares, registros de presença, boletins, controles de acesso e avaliações de desempenho de docentes, registro de pagamento de mensalidade, documentos de matrícula, entre tantos outros.
Contudo, a necessidade de adoção do modelo de aulas virtuais em razão das medidas de isolamento social fez com que outras categorias de informações também passassem a ser coletados pelas instituições educacionais, como IP de conexões, imagens de webcams, cookies e até a voz, todas abrangidas pelo conceito de dado pessoal constante da LGPD e, portanto, protegidas por esta legislação. No mais, as instituições tiveram de implantar ferramentas online de ensino, como salas de aula virtuais e serviços de videoconferência, por meio da contratação de empresas fornecedoras ou mesmo da utilização de soluções oferecidas online gratuitamente.
Nesse contexto, proporcionalmente ao aumento no uso de tecnologias digitais, também têm aumentado as preocupações com a forma como estas ferramentas tratam os dados pessoais de estudantes, docentes e funcionários envolvidos nas atividades remotas, especialmente diante de episódios largamente noticiados, como as investigações deflagradas no ano de 2020 a partir da suspeita de que a empresa de videoconferências Zoom havia fornecido dados pessoais dos usuários de seu aplicativo de videochamadas ao Facebook, sem o conhecimento destes .
Ainda, também são levantados debates acerca das medidas de segurança adotadas por essas aplicações, as quais, diante de sua fragilidade e da facilidade de invasão, têm se mostrado inaptas a garantir a privacidade e a proteção dos dados pessoais dos usuários. Nesse sentido, podemos citar os recentes casos de invasões hacker em aulas online, nas quais os agentes mal-intencionados invadiram as videochamadas e passaram a exibir vídeos e imagens pornográficas a estudantes do ensino fundamental .
Analisando estes casos sob o prisma da LGPD, vale tecer algumas considerações. Em primeiro lugar, um dos mais relevantes princípios trazidos pela lei, o qual irá nortear toda a sua aplicação, é o da finalidade, que prevê que o tratamento de dados pessoais somente pode ser realizado para propósitos legítimos, específicos, explícitos e previamente informados ao titular dos dados, sem possibilidade de tratamento posterior para outros fins (art. 6º, inc. I).
Assim, é extremamente importante se atentar às finalidades para as quais os dados pessoais dos usuários poderão ser utilizados pelas ferramentas virtuais, haja vista tratamos de informações que devem constar, de forma clara e acessível, em seus Termos e Condições de Uso e Políticas de Privacidade. Isto porque, em caso de tratamento posterior para fins não previstos expressamente nestes documentos, como no caso do compartilhamento de informações com redes sociais citado acima, estar-se-á diante de uma violação à LGPD.
A esse propósito, inclusive, é interessante citar a edição da Lei n. 8.973/2020 pelo Estado do Rio de Janeiro, que proíbe, com fundamento na LGPD, o uso de dados pessoais, dados pessoais sensíveis e metadados dos usuários de plataformas virtuais que ofereçam “ensino à distância” para fins de exploração comercial, ressalvados os casos em que o titular dos dados expressamente consentir com este tratamento .
Outro ponto que merece atenção é a possibilidade de responsabilização das instituições de ensino em caso de tratamento ilícito de dados realizado pelas plataformas virtuais que empregarem. Sobre essa questão, faz-se necessário elucidar, inicialmente, que a LGPD define a figura de dois agentes de tratamento de dados pessoais. São eles o controlador, que é a pessoa física ou jurídica a quem compete às decisões referentes ao tratamento de dados pessoais, e o operador, que é a pessoa física ou jurídica que realiza o tratamento de dados pessoais em nome do controlador.
Embora nos casos em análise ainda haja discussões sobre se as plataformas virtuais atuam como operadoras ou como co-controladoras dos dados pessoais dos estudantes, professores e demais profissionais, é certo que a LGPD prevê a responsabilização civil solidária dos agentes envolvidos na operação de tratamento que causar danos, patrimoniais, morais, individuais ou coletivos, ao titular dos dados (art. 42, § 1º, inc. I e II). Deste modo, sendo o tratamento de dados realizado pela plataforma no âmbito das atividades pedagógicas da instituição de ensino, esta poderá responder solidariamente em caso de a ferramenta violar as regras trazidas pela LGPD.
Por essas razões, é premente que as instituições de ensino tomem especiais cautelas quanto à escolha das ferramentas virtuais que serão utilizadas nas práticas de aprendizagem remota. A esse respeito, são interessantes as orientações trazidas pelo “Manual de Proteção de Dados para Gestores e Gestoras Públicas Educacionais”, lançado no final do ano passado pelo Centro de Inovação para a Educação Brasileira (CIEB) em conjunto com a Organização das Nações Unidas para a Educação, a Ciência e a Cultura (UNESCO) . Dentre outras recomendações, o documento destaca a importância de se verificar, previamente à utilização, os atributos da tecnologia, suas funcionalidades e aplicações, além de analisar a política de privacidade, os termos de uso e as medidas de segurança adotadas para proteger os dados pessoais dos usuários.
Por fim, o treinamento e conscientização de professores, gestores e funcionários é imprescindível para a disseminação de uma cultura de proteção de dados no setor educacional, bem como para capacitar tais profissionais a fazerem frente ao novos desafios trazidos pelo cenário atual de digitalização decorrente da pandemia.
Verônica do Nascimento Marques
E-mail: veronica.marques@brasilsalomao.com.br
Telefone: (14) 99743-9967
Alexandre Renato Gratiere
E-mail: alexandre.gratiere@brasilsalomao.com.br
Telefone: (19) 99199-3880
