Dados pessoais de 220 mil estudantes estiveram acessíveis no site da DGES

Foto
A situação só ontem foi corrigida e será investigada pela Comissão Nacional de Protecção de Dados Melanie Map"s

Erro da plataforma de candidatura a bolsas de estudo permitia conhecer nomes e números do BI e contribuinte de alunos e pais. Sistema deixou ontem de estar acessível, depois de detectado o problema

Os dados pessoais de 220 mil estudantes bolseiros do ensino superior estiveram acessíveis durante várias semanas no site da Direcção-Geral do Ensino Superior (DGES). A situação foi ontem corrigida pela empresa responsável pelo desenvolvimento da plataforma, mas vai ser investigada pela Comissão Nacional de Protecção de Dados (CNPD).

Os nomes completos e os números dos bilhetes de identidade e de identificação fiscal dos mais de 220 mil alunos candidatos a bolsas de estudo podiam ser consultados sem grandes dificuldades numa área específica do site da DGES. O sistema permitia também aceder aos mesmos dados pessoais dos pais e restantes elementos do agregado familiar destes estudantes do ensino superior.

O problema prendia-se com o acesso à área reservada do site a bolseiros, que era feita através de um endereço inseguro, que podia ser manipulado. O link à vista no browser (programa de navegação na Internet) de qualquer computador mostrava os parâmetros de acesso "ID" preenchidos com vários X. Substituindo os X pelos números de contribuinte ou de BI dos estudantes era possível aceder a essa zona do site. Uma vez ultrapassada a barreira, os dados pessoais estavam inteiramente disponíveis.

Uma denúncia anónima fez com que o portal pplware.com, associado à rede Sapo Tek, tivesse detectado o problema, dando origem a uma publicação naquele site feita anteontem. A forma como a notícia se começou a espalhar levou também o Ministério da Educação e Ciência (MEC) e a DGES a olhar para o caso e, a meio do dia de ontem, já havia uma solução, ainda que temporária.

O endereço de acesso à zona "reservada" a candidatos foi desactivado, o que impede agora o acesso à área onde os dados pessoais estavam acessíveis. A solução não corrige, todavia, o problema em definitivo. Numa nota escrita enviada ao PÚBLICO, o MEC garante que "têm vindo e estão a ser desenvolvidos os procedimentos normais nestas circunstâncias, designadamente em matéria de auditoria informática".

"O endereço já não se encontrava acessível através da plataforma de candidatura, onde tinha sido substituído, na sequência da adopção de um método diferente de geração de formulários", informa o gabinete de Nuno Crato. Segundo o ministério, "nunca esteve em risco a divulgação de qualquer informação acerca, designadamente, dos rendimentos e património dos candidatos e do seu agregado familiar". Além disso, a consulta da informação através do endereço em causa "não era possível por engano ou casualidade", obrigando a uma "deliberada e intencional" manipulação de dados, uma prática que é ilegal, explica o MEC.

Comissão em campo

O caso foi também detectado no início desta semana pela CNPD, dando origem a um procedimento interno que deverá motivar um processo de averiguações por parte daquele organismo. De acordo com a CNPD, nenhuma queixa relativa a esta situação deu até agora entrada nos seus serviços.

A plataforma de acesso a bolsas de estudo foi desenvolvida pela empresa Brightpartners, com quem a DGES tem quatro contratos registados no portal da contratação pública. Desde 2010, a firma recebeu mais de 400 mil euros relativos a quatro serviços de "manutenção e assistência técnica de software informático de suporte" ao concurso de atribuição de bolsas de estudo. Os contratos são renovados anualmente e o último foi lançado no portal em Fevereiro deste ano, com um valor de 76 mil euros.

O site está activo há cerca de dois anos e foi a solução encontrada para uniformizar as candidaturas dos estudantes às bolsas de estudo. A inovação nunca foi, porém, imune a críticas, tendo sido criticada por alguns responsáveis dos serviços de acção social devido à sua complexidade. Essa questão terá também contribuído para os atrasos verificados na análise das candidaturas no início do ano lectivo passado. De resto, a única instituição de ensino superior que não usa a plataforma da DGES, preferindo um sistema informático próprio, é a Universidade do Minho, que, nos últimos dois anos, foi a primeira a terminar o processo de atribuição dos apoios aos estudantes.

Sugerir correcção