Especialistas pedem explicação sobre app instalado sem permissão
Professores, alunos e pais de alunos da rede estadual de ensino de São Paulo foram surpreendidos, na semana passada, com a instalação de um aplicativo, chamado de Minha Escola SP, em seus aparelhos celulares particulares sem autorização. Problema semelhante ocorreu no ano passado no Paraná que, na época, tinha à frente da Secretaria Estadual da Educação o atual titular da pasta em São Paulo, Renato Feder.
O Sindicato dos Professores do Ensino Oficial do Estado de São Paulo (Apeoesp) informou que foi procurado por um grande número de professores que relatavam a instalação do aplicativo em seus celulares, “sem que tenham autorizado, como exige a Lei Geral de Proteção de Dados”, e que procurou a Secretaria Estadual da Educação para esclarecer o caso, tendo sido informado de que “a empresa contratada instalou indevidamente o aplicativo por meio do chip corporativo enviado pelo governo aos servidores”.
A Secretaria da Educação (Seduc) disse que instaurou "processo administrativo para apurar todas as circunstâncias relativas à instalação involuntária do aplicativo Minha Escola”. Segundo a pasta, “a falha ocorreu durante um teste promovido pela área técnica em dispositivos específicos da Seduc”.
“Assim que identificou o equívoco que levou à instalação do app em dispositivos conectados às contas Google institucionais, a reversão foi acionada com o envio de solicitações para exclusão do aplicativo. O usuário também pode excluir o app por conta própria, se preferir. A Seduc lamenta o ocorrido e reforça que as medidas cabíveis estão sendo adotadas”, diz nota divulgada pela secretaria.
Para especialistas ouvidos pela Agência Brasil e pela TV Brasil, a Seduc precisa informar realmente como isso tudo ocorreu, que dados foram vazados e se algum tipo de informação privada pode ter sido acessada.
Em princípio, é possível dizer que houve uma infração da Lei Geral de Proteção de Dados (LGPD), afirmou Carlos Coninck, especialista no assunto. “Quando falamos em instalação de aplicativos, é necessário ter um prévio consentimento do titular de dados”, disse Coninck, lembrando que isso está previsto na LGPD, que está em vigor desde 2020. “A infração existe porque houve um acesso não autorizado para a instalação de um aplicativo que não teve prévio consentimento.”
No entanto, destacou Coninck, ainda não é possível dizer se houve invasão de privacidade. É preciso entender melhor como foi realizada a operação e como o Estado conseguiu instalar esse aplicativo, se foi por meio de chip, se foi por meio do Google Institucional, se foi por meio de atualização do software.” A violação de privacidade ocorreria se o aplicativo Minha Escola SP tiver dado acesso a outros aplicativos ou a pastas pessoais do usuário, tais como fotos e arquivos.
“Diante de um incidente como esse, que envolve dados pessoais, é importante a secretaria conduzir uma análise forense, uma auditoria, em que possa precisar para toda a sociedade, especialmente os professores e alunos, como se deu essa instalação, qual o período relacionado a ela, qual foi a metodologia empregada, se houve necessariamente o compartilhamento de dados pessoais, quantos dispositivos foram envolvidos na atualização e, principalmente, quais dados pessoais foram transacionados”, disse o advogado e especialista em crimes cibernéticos José Antonio Milagre, que também é presidente da Comissão de Direito Digital da Ordem dos Advogados do Brasil (OAB) de Barueri, em São Paulo.
De acordo com Milagre, ainda não é possível afirmar como foi possível instalar o aplicativo nos celulares, inclusive particulares, sem autorização. O especialista citou algumas possibilidades: atualização do sistema operacional dos dispositivos, contas institucionais vinculadas aos celulares e até compartilhamento de informações entre a secretaria e o Google. “O que deve ser feito é uma investigação. E, mesmo a secretaria sendo um órgão público, está sujeita à LGPD”, ressaltou o advogado.
Na última sexta-feira (11), as deputadas federais Erika Hilton e Luciene Cavalcante, do PSOL, protocolaram representação no Ministério Público para que o caso seja investigado. “Como a secretaria teve acesso a esses dispositivos sem autorização? O que aconteceu com os dados dessas pessoas? Para quem foram repassadas essas informações? São perguntas para as quais exigimos resposta”, escreveu a deputada Erika Hilton em suas redes sociais.
Proteção de dados
Os especialistas ouvidos pela EBC destacam que os professores e alunos que se sentirem violados podem acionar a Autoridade Nacional de Proteção de Dados (ANPD). “O titular que sentir que teve infração à Lei Geral de Proteção de Dados, à sua privacidade e ao tratamento de dados pode, e deve, buscar a ANPD, que é responsável pela aplicação e fiscalização da lei em território nacional. É ela quem vai instaurar um inquérito administrativo para verificar aquela irregularidade e aplicar a sanção que é cabível”, disse Coninck.
As pessoas também podem buscar uma resposta judicial. “Tendo algum prejuízo efetivo, a pessoa pode vir a buscar isso na esfera judicial, mas o que se determina, desde já, é que se instaure um processo na ANPD para que sejam investigadas quais foram as causas, como isso se deu, quais dados foram acessados, quais dados tiveram tratamento e como foi feita essa instalação”, ressaltou.
“A lei não exclui um eventual processo judicial. [Para] aquelas pessoas que comprovarem danos a partir desses vazamentos de dados, a lei não exclui a possibilidade de uma busca judicial”, confirmou Milagre.
Entre as sanções possíveis que a Seduc pode enfrentar estão, por exemplo, advertência, publicização da infração, bloqueio dos dados pessoais referentes à infração, eliminação dos dados pessoais referentes à infração e suspensão ou proibição do exercício de tratamento dos dados pessoais, entre outros.
“Se for comprovado que, para essa instalação, houve compartilhamento ou tratamento irregular dos dados desses professores e pais de alunos, isso pode caracterizar uma violação da LGPD. Embora seja um órgão público e não esteja sujeito a uma ação pecuniário, nada impede que a secretaria sofra outras sanções previstas na Lei de Proteção de Dados", disse Milagre.
“A partir do momento em que as pessoas tiveram os aplicativos instalados, elas merecem informações. Elas merecem informações da secretaria e merecem explicações do Google. Hoje, pela LGPD, essas pessoas têm o direito de tensionar, de questionar. Elas podem, por meio dos encarregados de proteção de dados, fazer um questionamento sobre como isso ocorreu, o que foi armazenado, como isso se deu, que medidas pode fazer para preservar sua segurança e o que mais ela deve saber sobre seus dados. Essas empresas ou agentes de tratamento tem dever de responder a esse titular dos dados”, acrescentou Milagre.
Em nota, a empresa Google informou que o Google Workspace for Education é uma plataforma utilizada por diversas instituições de ensino no Brasil e no mundo” e que “os termos de serviço da plataforma estão de acordo com a Lei Geral de Proteção de Dados”.
Segundo a empresa, os gestores das instituições de ensino são os responsáveis pela administração, configuração e gestão dos dados dos usuários e dos aparelhos cadastrados. "O Google não opera e não exerce qualquer ingerência nos comandos escolhidos e implementados pelos parceiros”, informou.
“Além disso, como também previsto na LGPD, a plataforma oferece uma central de transparência para que os usuários possam monitorar o uso, verificar as configurações de segurança e fazer escolhas relevantes para a proteção de seus dados. É importante ressaltar que não participamos do desenvolvimento, dos testes e nem da instalação do aplicativo citado pela reportagem”, disse a empresa, por meio de nota.