A Secretaria de Educação do Estado de São Paulo (Seduc) está sendo acusada de instalar em massa aplicativos em dispositivos pessoais de alunos, sem consentimento (opt-in) ou aviso prévio. Tal ação fere a Lei Geral de Proteção de Dados (LGPD). O órgão teria usado o Google Classroom para adicionar o aplicativo Minha Escola SP (Android) de forma silenciosa nos handsets de estudantes da rede pública estadual. Vale lembrar que o serviço do Google é a plataforma oficial usada pelo governo de São Paulo para administrar as tarefas de educação online.
Em resposta, a Secretaria informou que instaurou um processo administrativo para apurar todas as circunstâncias relativas à instalação involuntária do aplicativo Minha Escola. Afirmou ainda que a falha ocorreu durante um teste promovido pela área técnica em dispositivos específicos da pasta.
“Assim que identificou o equívoco que levou à instalação do app em dispositivos conectados às contas Google institucionais, a reversão foi acionada com o envio de solicitações para exclusão do aplicativo. O usuário também pode excluir o app por conta própria, se preferir. A Seduc lamenta o ocorrido e reforça que as medidas cabíveis estão sendo adotadas” disse.
A Seduc foi questionada sobre quantos dispositivos foram afetados pela falha, se a ANPD foi avisada e se possui atualmente algum responsável pela política de dados da pasta, mas não respondeu até a publicação desta reportagem.
Efeitos
Procurado por Mobile Time, o Idec informou que vê “com grande preocupação” a instalação não consentida e nem informada de aplicativos. Por meio dos seus especialistas do programa de telecomunicações e direitos digitais, o instituto de defesa do consumidor considera a ação “ilegal” por conta do “potencial desrespeito ao direito fundamental à proteção de dados”.
“Ainda que a intenção possa ter sido garantir um avanço nas políticas educacionais, a adoção do aplicativo não pode ser realizada de maneira compulsória e muito menos ocorrer em descumprimento ao nosso ordenamento jurídico e, em especial, o direito fundamental à proteção de dados pessoais. Para além da violação constitucional, há descumprimento da LGPD. Isso porque não há indicação de base legal e não está garantido nem mesmo o direito à informação dos titulares de dados”, respondeu o Idec a esta publicação.
“Igualmente, isso viola a obrigação de transparência que deve reger as relações de fornecimento de serviços. Há uma clara quebra de confiança da relação do Estado com cidadãos – professores, pais e alunos – e sabemos que não é a primeira vez que algo do tipo acontece no Brasil e é preocupante a institucionalização desse tipo de prática”, complementou o instituto ao dizer que seguirá monitorando o caso para avaliar as providências.
A ONG Todos Pela Educação disse que “repudia qualquer medida que represente violação de direitos e da Lei Geral de Proteção de Dados Pessoais” de alunos, professores ou demais indivíduos da sociedade: “Acreditamos que novas políticas e medidas pela gestão pública devem ser baseadas em evidências técnicas, respeitando os fundamentos da lei e o amplo diálogo entre a comunidade escolar. Nosso papel é trabalhar por políticas públicas efetivas e por qualificar o debate em torno da Educação básica de qualidade”.
A ONG disse ainda que cabe aos órgãos de fiscalização “cobrarem as medidas cabíveis” quanto a possíveis violações da legislação.
Vale lembrar que este não é o primeiro problema da secretaria de educação de São Paulo envolvendo aplicativos e educação. Em abril deste ano, uma pesquisa da Human Rights Watch (HRW) revelou falhas na proteção de dados pessoais em aplicativos e sites de educação utilizados por alunos da rede pública dos governos estaduais de São Paulo e Minas Gerais entre 2021 e 2023, durante a pandemia de Covid-19. Na época, o Idec notou desconformidade à Lei Geral de Proteção de Dados, ao Estatuto da Criança e do Adolescente e ao Código de Defesa do Consumidor.
Regulador
Por sua vez, a ANPD respondeu que até o momento “não recebeu nenhum requerimento (ou seja, nem petição titular, nem denúncia)” sobre o assunto. Disse ainda que só deve se posicionar a respeito “após avaliação do caso em concreto”, mediante a realização de um processo fiscalizatório.
Informou ainda que o compartilhamento de dados pessoais, desde que realizado de maneira informada, para fins lícitos e não discriminatórios e que possua correspondência com a finalidade para a qual os dados foram coletados, pode ser compatível com a LGPD. Devem ser observadas, ainda, as limitações impostas pela lei, tais como os requisitos para o tratamento dos dados pessoais (capítulo II, seção I da LGPD).
“Nem todo o tratamento ou compartilhamento de dados pessoais precisa se fundamentar no consentimento do titular dos dados. A LGPD prevê outras hipóteses legais específicas e limitadas que podem justificar o tratamento de dados sem o consentimento do titular, desde que respeitados todos os seus direitos e os princípios previstos na LGPD (capítulo III da LGPD)”, pontuou o regulador.