Comissão Nacional de Proteção de Dados emite orientações para utilização de tecnologias de suporte ao ensino à distância
Alerta Proteção de Dados Portugal
A Comissão Nacional de Proteção de Dados (“CNPD”) emitiu, no passado dia 8 de abril, orientações relativas aos tratamentos de dados pessoais realizados através de plataformas de ensino não presencial apoiadas em tecnologias de e-learning, massive open online course, partilha de conteúdos/ficheiros, videoconferência e messaging.
Estas orientações, dirigidas sobretudo aos responsáveis pelo tratamento de dados pessoais visados e respetivos subcontratantes, bem como aos órgãos públicos que tomam decisões relacionadas com o uso destas tecnologias no ensino, resumem-se no seguinte:
1. Dados pessoais tratados no âmbito da utilização de tecnologias de suporte ao ensino à distância
A CNPD começa por elencar os dados pessoais que podem ser tratados neste contexto e que poderão incluir não só os dados normalmente tratados no âmbito da atividade de ensino, como também dados que revelam (ou de que se podem deduzir) aspetos da vida privada dos titulares (e.g. declarações verbais dos participantes nas plataformas visadas, imagem dos participantes e do seu entorno, aptidões intelectuais e dificuldades de aprendizagem dos alunos) ou até dados de saúde (caso de plataformas programadas para, através de determinados indicadores, identificar situações de dislexia, distúrbios do espectro do autismo, deficiência intelectual, hiperatividade, distúrbios de atenção, de memória, de perceção, de linguagem ou deficiência intelectual).
Esta entidade destaca também que tais plataformas poderão levar não só ao tratamento de dados pessoais de alunos e professores, como também de outras pessoas que se encontrem no mesmo espaço que estes (caso dos familiares de alunos e professores).
2. Riscos para a privacidade dos titulares
A CNPD alerta ainda para os riscos para a privacidade dos titulares que poderão decorrer da utilização de tecnologias de suporte ao ensino à distância, entre os quais:
-
Risco de utilização indevida dos dados recolhidos ou transferidos através destas tecnologias;
-
Risco de definição de perfis ou avaliações com base na informação observada da atividade dos utilizadores, que pode gerar o tratamento discriminatório das pessoas a quem dizem respeito os perfis (assumindo aqui particular relevância as decisões automatizadas assentes em sistemas de inteligência artificial que analisem o comportamento e desempenho dos alunos – learning analytics, já que o erro de avaliação da progressão do aluno poderá limitar o acesso por parte deste a certos conteúdos, o que, a longo prazo, poderá limitar a sua aprendizagem);
-
Risco de reutilização/ partilha dos dados sem legitimidade para o efeito (e.g. publicações em redes sociais ou noutras plataformas de dados obtidos através das referidas tecnologias e tratamento dos mesmos para finalidades não legítimas);
-
Risco de vigilância à distância dos professores com a finalidade de controlar o seu desempenho profissional.
3. Recomendações
A CNPD termina as suas orientações com um conjunto de recomendações destinadas a proteger os dados pessoais tratados através de tecnologias de suporte ao ensino à distância e a minimizar o impacto da utilização destas tecnologias nos direitos dos titulares dos dados, as quais incluem as seguintes:
-
Apenas devem ser utilizadas plataformas com finalidades bem definidas, compatíveis com o ensino à distância e que o estabelecimento de ensino consiga, através dos meios técnicos de que dispõe, suportar (não sobrecarregando os seus sistemas tecnológicos e tornando-os, por isso, inseguros);
-
Apenas devem ser utilizadas plataformas que respeitem os princípios da minimização dos dados e da privacidade desde a conceção, devendo optar-se, sempre que possível, por tecnologias que impliquem a menor exposição possível do titular e do seu ambiente familiar;
-
Devem ser prestadas informações sobre as plataformas a utilizar tanto a professores como a alunos, especialmente no contexto da utilização de algoritmos que dependam do consentimento dos titulares (alunos ou, quando menores, encarregados de educação), o que pressupõe a adequada definição dos detalhes dos tratamentos de dados a realizar (e.g. definição dos dados a tratar e prazos de conservação);
-
Deverá ser realizada uma avaliação de impacto na proteção de dados previamente à utilização das plataformas de suporte ao ensino à distância (sendo indicado que tais poderão ser feitas pelas empresas que fornecem as plataformas);
-
Deverão ser definidos claramente os papéis e responsabilidades dos vários intervenientes no tratamento, bem como estabelecida a obrigação de os fornecedores das plataformas comunicarem aos estabelecimentos de ensino as violações de dados pessoais que ocorram;
-
A utilização de algoritmos de análise de desempenho (learning analytics) terá de ser feita de forma lícita, criteriosa, justa e transparente, não podendo o estabelecimento de ensino impor a utilização destas tecnologias (dependendo tal do consentimento do titular ou, quando menor, do seu encarregado de educação);
-
A comunidade escolar deverá ser sensibilizada para um conjunto de boas práticas e precauções a seguir na utilização de tecnologias de suporte ao ensino à distância.
Conclusões
Os estabelecimentos de ensino que pretendam utilizar ou já utilizem tecnologias de suporte ao ensino à distância devem, portanto, assegurar a adoção de várias medidas, incluindo:
-
Seleção criteriosa de tecnologias deste tipo e dos fornecedores destas, documentando a análise que foi feita:
-
da adequação da tecnologia selecionada aos fins pretendidos (incluindo do ponto de vista da exposição do titular e do seu ambiente familiar decorrente do uso da mesma);
-
da capacidade técnica do estabelecimento de ensino para suportar a implementação da tecnologia selecionada;
-
da adequação da tecnologia selecionada ao estabelecido no Regulamento Geral de Proteção de Dados e restante legislação de proteção de dados relevante;
-
da existência de avaliações de impacto na proteção de dados adequadas (e, caso não existam, da avaliação feita pelo estabelecimento de ensino);
-
das medidas de segurança aplicadas pelo fornecedor à tecnologia selecionada;
-
da capacidade do fornecedor para cumprir o estabelecido na legislação de proteção de dados aplicável.
-
-
Celebração de contratos relativos ao tratamento de dados pessoais com os fornecedores de tecnologias que claramente estabeleçam as responsabilidades destes e dos estabelecimentos de ensino.
-
Definição dos detalhes dos tratamentos de dados pessoais que serão levados a cabo através da tecnologia selecionada (e.g. dados pessoais a tratar, prazos de conservação, destinatários dos dados), existindo especial cuidado se a tecnologia selecionada implicar a definição de perfis e/ou decisões automatizadas.
-
Verificação das notas informativas/políticas de privacidade dirigidas a professores e alunos/encarregados de educação e adaptação das mesmas na medida do necessário para refletirem os tratamentos de dados pessoais decorrentes da utilização das tecnologias selecionadas.
-
Divulgação de documentos de fácil leitura com boas práticas seguir na utilização das tecnologias disponibilizadas pelo estabelecimento de ensino.