Covid-19: o e-learning e os desafios da privacidade

Esta é uma lista não exaustiva de procedimentos destinados a promover a proteção de dados. É necessário que todos – escolas, professores, pais e alunos – tomem consciência da necessidade de se promover uma cultura de privacidade.

Os tempos que vivemos, de crítica e inelutável volatilidade, obrigam a uma reformulação da forma como trabalhamos, sendo já medianamente claro que o quotidiano das nossas vidas será o de lavrar em constante adaptação e readaptação à realidade da pandemia da covid-19.

No que em concreto tange à educação, o estado de emergência recentemente decretado tornou impossível o tradicional modelo presencial de ensino, forçando os agentes educativos, escolas, professores, alunos e pais a virarem-se para o óbvio: o ensino e a interação à distância através dos meios tecnológicos. E com a utilização massiva de meios de comunicação à distância, mormente, com recurso a plataformas e aplicativos que disponibilizam uma interação com vídeo, a proteção dos dados pessoais de todos os intervenientes revela-se, agora, com particular acuidade e pertinência, porquanto se processam quantidades massivas do principal dado identificador de uma pessoa: a sua imagem.

Revela-se, assim, imperioso que as instituições de ensino ajam em compliance com o Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral de Proteção de Dados, doravante, RGPD) e, bem assim, da Lei n.º 58/2019, de 8 de agosto, que assegura a execução, na ordem jurídica nacional, do RGPD.

Sendo certo que depois da torrente de emails e sms com pedidos de consentimento nos idos de maio de 2018 (desnecessários e imbecis, na maior parte), tanto os responsáveis pelo tratamento como os próprios titulares dos dados têm vindo a progressivamente desvalorizar a proteção de dados (aqueles que alguma vez se preocuparam, pelo menos) – fenómeno a que não será seguramente alheia a consabida falta de meios da autoridade nacional de controlo em matéria de proteção de dados (Comissão Nacional de Proteção de Dados, adiante CNPD), que pouco mais pode fazer que fiscalizar por reação após denúncia e não preventivamente. A severidade das coimas previstas no RGPD não é suficientemente persuasora à adoção de um comportamento consentâneo com a proteção de dados pessoais porque falta a consciência, no seio da comunidade, da consequência coerciva jurídico-sancionatória decorrente da aplicação do RGPD.

Do ponto de vista histórico, a necessidade de criação de um quadro normativo no âmbito da proteção de dados nasceu primeiro nos Estados Unidos da América e foi motivada pelo surgimento dos riscos decorrentes do desenvolvimento da informática e do processamento dos dados pessoais. Mas foi na Alemanha, no dia 1 de janeiro de 1978, que surgiu a primeira lei mundial sobre proteção de dados – a Bundesdatenschutzgesetz.

Se bem que em Portugal a proteção de dados não nasceu com o RGPD, teve, todavia, este regulamento a virtualidade de trazer as questões de privacidade para a ordem do dia, ainda que a consciência social para o seu cumprimento seja ainda manifestamente despicienda.

Ora, desde que o Governo decretou o encerramento das escolas, foram muitas as instituições de ensino, públicas ou privadas, que adotaram metodologias de ensino à distância. Todavia, na esmagadora maioria dos casos, as escolas fazem-no ao arrepio das normas de privacidade, designadamente, do citado RGPD.

Até a UNESCO, que há pouco tempo publicou uma lista de plataformas de e-learning, tem estado debaixo de crítica por algumas destas plataformas alegadamente recolherem ilicitamente dados pessoais dos alunos.

Em primeiro lugar, as instituições de ensino deverão criar uma cultura de proteção de dados.

É cada vez mais necessário, em face da nova modalidade de aprendizagem que recorre, na maioria dos casos, a ferramentas de aprendizagem síncronas, promover-se um awareness da titularidade de direitos e deveres na proteção de dados. Em grande medida, tal ambiente passará pela elaboração de políticas de privacidade e códigos de conduta que obedeçam ao RGPD e que deverão estar acessíveis e ser conhecidos por todos os intervenientes, professores, alunos, pais, mas também de outros colaboradores das escolas e até de terceiros. Tais documentos deverão conter, em síntese, a identificação do responsável pelo tratamento, o tipo de informação que recolhe e armazena, a condição de licitude para esse tratamento, bem como os direitos dos titulares dos dados de acesso: retificação, apagamento, limitação do tratamento, portabilidade, oposição de retirar o consentimento previamente prestado e o de apresentar reclamação junto da CNPD.

Na verdade, isto não é novo nem exclusivo, mas o e-learning precipitou a necessidade de se elaborar e/ou adaptar estes documentos.

Por outro lado, as ferramentas utilizadas são de importância crítica. O ideal será a escola fornecer aos professores o material adequado para o ensino à distância, designadamente, webcams, computadores e software previamente aprovados. Todavia, se tal não for possível, e admito que não seja fácil no atual paupérrimo estado do ensino público, é altamente aconselhável que, no recurso à utilização de computadores privados para conexão com sistemas de informação da escola, o docente crie um utilizador/perfil diferente no seu computador no sentido de separar ficheiros pessoais de ficheiros escolares. Neste caso, o responsável pelo tratamento (as escolas, grosso modo) deve exigir dos professores a prévia autorização para a utilização de novas ferramentas ainda não validadas. O objetivo será o de evitar que o docente preste o seu trabalho com recursos domésticos partilhados por membros da família, o que aumentará severamente o risco da ocorrência de data breaches.

Por outro lado, dever-se-á incentivar a política de utilização de diferentes passwords para diferentes aplicações, bem como a sua alteração periódica, inclusivamente, a ativação da verificação de dois passos em logins.

Esta é uma lista não exaustiva de procedimentos destinados a promover a proteção de dados. Dentro de uns meses, estaremos seguramente em melhores condições de avaliar e melhorar os processos.

Em qualquer dos cenários, é necessário que todos – escolas, professores, pais e alunos – tomem consciência para a necessidade de se promover uma cultura de privacidade.

O autor escreve segundo o novo acordo ortográfico