No contexto da pandemia provocada pelo coronavírus, o uso de tecnologias online para realização de Webinars, Aulas, Palestras, Cursos e Treinamentos tornou-se corriqueiro. Atividades de ensino à distância, assim como ocorre em relação às atividades de teletrabalho e homeoffice expõe as empresas dos mais variados ramos a um grande número de vulnerabilidades e potencializa incidentes de segurança que podem comprometer dados pessoais. Os cuidados necessários envolvem a avaliação de riscos, análise de meios alternativos e da necessidade da coleta de dados e mecanismos de coleta.
Para dar uma dimensão da questão, na Inglaterra, a autoridade supervisora lidou com 1,385 casos envolvendo escola, apenas no primeiro ano de vigência da GDPR (Regulamento Europeu)[1]. Além disso, como denunciou o The Guardian, o uso de dados de crianças para fiscalizar a imigração ilegal foi alvo de duríssimas críticas[2].
A realização de atividades com transmissão de voz e imagem, inclusive de crianças e adolescentes têm sido realizadas, muitas vezes sem os devidos cuidados. A própria realização de provas para obtenção de certificações, muitas vezes, envolve a verificação de identidade ou mesmo do local em que são realizadas,
A identificação de um aluno, por um lado cumpre os requisitos acadêmico, de outro, exigirá providencia para a proteção. A própria filmagem demanda cuidados especiais. A questão se agrava porque muitos estão em seus próprios lares, revelando aspectos pessoais.
A respeito do tema, a Comissão Nacional de Proteção de Dados (Autoridade Supervisora de Portugal), em recente parecer publicado em maio de 2020, ressaltou que “o interesse legítimo do responsável não legitima, per se, o tratamento de dados pessoais, uma vez que o RGPD faz depender a consideração deste pressuposto da demonstração da necessidade do tratamento para a prossecução daquele interesse e ainda de uma avaliação da não prevalência dos direitos e interesses dos titulares de dados”. Ilustrativamente, como conclui a Autoridade, utilizar a câmera para vigiar o estudante é abusivo, embora sua utilização apenas para identifica-lo é razoável.
Por fim, é importante registrar que as orientações da Comissão Nacional de Proteção de Dados para as instituições de ensino são totalmente aplicáveis. Conforme destaca a Comissão:
1-) “compete a cada uma das instituições de ensino superior, enquanto responsáveis pelo tratamento de dados pessoais, avaliar e demonstrar que o tratamento é, de facto, necessário, por não existirem, ou não serem efetivamente exequíveis, outros processos de avaliação menos intrusivos da privacidade dos titulares dos dados, e avaliar ainda se os direitos e interesses dos titulares dos dados não devem, em concreto, prevalecer
2-) É necessário levar em conta o risco de captação de imagem no ambiente habitacional;
3-) Deve-se levar em conta a exposição de familiares;
4-) Tecnologias de bloqueio de acesso remotos são invasivas.
5-) Devem ser realizada avaliação prévia de riscos e “adoção de medidas de segurança adequadas pode contribuir para mitigar os riscos”.
Gabriel Schulman
Advogado
– Trajano Neto e Paciornik Advogados
[1] The Schools Week. ICO receives hundreds of unnecessary school referrals as leaders struggle with GDPR https://schoolsweek.co.uk/ico-receives-hundreds-of-unnecessary-school-referrals-as-leaders-struggle-with-gdpr/
[2] The Guardian. Department of Education criticised for secretly sharing children’s data 12.09.2020. https://www.theguardian.com/education/2019/nov/12/department-of-education-criticised-for-secretly-sharing-childrens-data