O ensino a distância, que se caracteriza por ser uma modalidade de educação mediada por tecnologias em que docentes e alunos não estão fisicamente presentes num ambiente de ensino-aprendizagem, não é uma novidade surgida em contexto pandémico, sendo já um método pedagógico popular e justificado, que surgiu com o desenvolvimento das tecnologias da informação e comunicação e se expandiu com a generalização da internet.
Desde que o país foi alvo de pandemia causada pelo novo coronavírus SARS-CoV-2 e pela doença Covid-19, não estando de todo preparado para enfrentar a situação, viram-se as instituições obrigadas a encontrar soluções de emergência para acudir às necessidades de aprendizagem de uma panóplia de estudantes de todos os níveis de ensino, que foram obrigados ao recolhimento obrigatório no seu lar.
Assim, o ensino a distância passou de exceção a regra, na conjuntura económico-social que ora vivemos por força do novo coronavírus SARS-CoV-2 e pela doença Covid-19, a qual implicou forçosamente a suspensão das atividades letivas, não letivas e formativas, no âmbito das obrigações anticontágio impostas pelo Governo Português[1], e que pressupõem o confinamento e o isolamento social. Assim, as salas de aula e o convívio presencial entre alunos e professores foram substituídos por plataformas eletrónicas de suporte ao ensino não presencial, as quais servem como meio de divulgação ou partilha de conteúdos pedagógicos, bem como promovem a interação entre os utilizadores, permitindo ainda, em alguns casos, a adaptação dos conteúdos pedagógicos aos conhecimentos e às capacidades de cada aluno.
Neste contexto, o ensino implica o recurso a várias tecnologias de informação e comunicação como meios de suporte e apoio transversal à atividade docente, nomeadamente: sistemas de messaging, sistemas de videoconferência e partilha em tempo real de ficheiros, plataformas dinâmicas com áreas de trabalho contributivas, cursos online e em formato de e-learning. Entre as plataformas mais populares encontram-se, para realização de videochamadas, messaging e partilha de ficheiros, a “Zoom” (também conhecida pela designação “Colibri”) e a “Microsoft Teams”, sendo também de uso corrente o “whatsapp” e o “Google Drive” para partilha de ficheiros e o “Moodle” e o “Edmondo” para aulas em formato de e-learning.
Há quem considere este tipo de ensino mais fiável ou mesmo mais produtivo do que o ensino convencional. Sabemos também da conveniência e utilidade da gravação das aulas online, para posterior consulta por parte dos alunos “faltosos” e, principalmente, para revisão das matérias em altura de avaliação ou em época de exames. No entanto, não podem tais situações ocorrer de qualquer maneira, uma vez que o ensino com recurso a plataformas e a sistemas tecnológicos específicos poderá implicar restrições de direitos dos utilizadores dos referidos sistemas (quer sejam alunos, quer sejam professores) ou mesmo de terceiros, não utilizadores, como por exemplo, os membros do agregado familiar daqueles ou outras pessoas que com eles residam. Referimo-nos, nomeadamente, ao direito à identidade pessoal, ao desenvolvimento da personalidade, ao bom nome e reputação, à imagem, à palavra, à reserva da intimidade da vida privada e familiar, à proteção legal contra quaisquer formas de discriminação, ao direito à igualdade e, em especial e aos quais daremos mais destaque no presente artigo, ao direito à privacidade e à proteção de dados pessoais. Direitos estes que encontram, inclusivamente, consagração constitucional na nossa Lei Fundamental[2].
É impreterível que tais direitos, liberdades e garantias pessoais sejam acautelados, uma vez que o ensino a distância nos moldes suprarreferidos pressupõe, necessariamente, a realização de operações de tratamento de dados pessoais dos respetivos titulares. É necessário que se garanta transparência e segurança, para que estes últimos tenham pleno conhecimento do que está a ser feito, para quem, quando e com recurso a que métodos.
Foi precisamente nesta sequência que a Comissão Nacional de Proteção de Dados se pronunciou sobre esta realidade, no passado dia 8 de abril de 2020, através das suas “orientações para utilização de tecnologias de suporte ao ensino à distância” nas quais admite a necessidade e conveniência das referidas tecnologias, sem, no entanto, deixar de ressalvar as suas preocupações com a potencial violação dos direitos e liberdades dos titulares de dados pessoais. Por esse motivo, a Autoridade de Controlo portuguesa pugna pela ponderação das vantagens da utilização de tais tecnologias e dos riscos inerentes à mesma, por parte das entidades de ensino ou formação, antes de decidirem recorrer a elas como suporte do ensino a distância.
Efetivamente, os referidos riscos acentuam-se quando estiver em causa o tratamento de dados de titulares vulneráveis, como são as crianças, os jovens, ou as pessoas portadoras de deficiência. Estes titulares possuem, naturalmente, um menor grau de consciência do impacto das operações de tratamento que envolvem a recolha, a conservação e a análise dos seus dados, bem como mais dificilmente se apercebem dos riscos que poderão resultar dessas mesmas operações. Por esse motivo, o Regulamento Geral de Proteção de Dados (RGPD) exige uma proteção especial das crianças e demais sujeitos vulneráveis[3] [4], exigindo-se, inclusivamente, no primeiro caso, o consentimento dos titulares das responsabilidades parentais para prestação de serviços no âmbito da sociedade da informação[5] a menores de 13 anos[6].
Do conjunto de preocupações apresentadas pela Comissão Nacional de Proteção de Dados, destacam-se a proteção de dados dos utilizadores[7], o cumprimento dos princípios plasmados no RGPD, o formato de utilização dos dados pessoais recolhidos e a existência de legitimidade para a realização de operações de tratamento[8].
As recomendações desta autoridade fiscalizadora vão no sentido de que sejam adotadas as medidas técnicas e organizativas no uso das plataformas de suporte ao ensino a distância, que permitam assegurar, em especial, a privacidade dos titulares dos dados pessoais, a segurança e a justiça no tratamento dos respetivos dados pessoais, a confidencialidade, a licitude, a minimização, a limitação das finalidades, princípios estes plasmados no RGPD[9]. Bem assim, pretende-se acautelar os riscos inerentes à utilização indevida das plataformas que resultem, por exemplo na definição de perfis, na perda de controlo dos dados pelos respetivos titulares, na falta de transparência e informação a prestar a estes, na possibilidade de controlo do desempenho profissional por meios à distância e na incapacidade de assegurar meios para o exercício dos direitos desses titulares de dados, com a consequente desproteção dos mesmos.
Concretamente em relação aos dados pessoais tratados, através do uso destas plataformas, destacam-se os seguintes:
- Imagem dos utilizadores e do ambiente em que se encontram (normalmente a habitação) – em especial neste ponto, poderá acontecer um tratamento, ainda que acidental, de dados de terceiros, presentes no ambiente em que os utilizadores se encontram, os quais podem ser também eles crianças (por exemplo, filhos dos professores ou irmãos dos alunos, que circulam no domicílio e, por isso, podem ser objeto de tratamento em relação à respetiva imagem ou voz, que são captadas pelo sistema de vídeo e som que está a ser utilizado)[10].
- Declarações proferidas pelos participantes, seja por captação de som, seja por escrito (messaging);
- Documentos partilhados, como por exemplo fotografias, testes e a respetiva avaliação;
- Número e tempo de acesso à plataforma, bem como o nível de participação nas atividades – dados cujo tratamento torna possível deduzir informação sensível dos utilizadores ao nível psicológico e comportamental, designadamente o interesse nas atividades ou a capacidade de resolução de problemas.
No seu conjunto, todos estes dados recolhidos de forma automatizada, uma vez analisados, permitem a definição de perfis do utilizador, inclusivamente ao nível da aptidão intelectual e profissional do aluno, do desempenho profissional do professor e de traços da personalidade de ambos. Indo mais longe, poderá a informação tratada servir para identificar problemas de saúde dos utilizadores, como ansiedade, hiperatividade, dislexia, autismo, deficiências intelectuais, entre outros, pelo que entramos aqui no tratamento de categorias especiais de dados, o que, por regra, é proibido[11].
A definição de perfis com base no comportamento e desempenho do aluno, nos termos enunciados, torna-se por demais evidente, nas plataformas que disponibilizam conteúdo pedagógico adaptado a cada utilizador. Daqui poderá decorrer o risco de erro de avaliação que, se prolongado no tempo, condicionaria o acesso pelos mesmos alunos a certos conteúdos pedagógicos e, consequentemente, limitaria a sua aprendizagem.
Mais preocupante será a analise preditiva, baseada no desempenho dos alunos, que seja feita através de algumas plataformas, permitindo detetar aspetos altamente sensíveis – mormente situações de autismo, deficiência intelectual, disfunções de interação social, distúrbios de atenção, memória, perceção e assimilação, linguagem, entre outras perturbações dedutíveis em ambiente de aprendizagem – o que pode conduzir à criação de situações de discriminação e estigmatização daqueles sujeitos, suscetíveis de prejudicar a sua integração na sociedade e no mundo laboral. Tais situações que se pretendem evitar poderão surgir se não for cumprido o princípio da limitação das finalidades e se os dados pessoais forem reutilizados para outras, que não aquelas finalidades para as quais foram recolhidos.
Para além da definição de perfis dos alunos, é também alvo de análise da Autoridade de Controlo, a definição do perfil dos professores, que possa eventualmente ser traçado, ao nível da sua vida privada, mas também profissional, concretamente no seu desempenho, sendo que o controlo remoto da atividade do trabalhador é expressamente proibido nos termos da legislação laboral em vigor[12].
Na senda das considerações até agora expostas, acompanhamos a posição da Comissão Nacional de Proteção de Dados, considerando que deverão os estabelecimentos de ensino adotar um conjunto de obrigações legais e de boas práticas que permitam sensibilizar a comunidade académica (em especial, as crianças e os jovens) e avaliar se dispõem de meios técnicos para implementar as plataformas de ensino a distância, evitando recorrer a tecnologias que sobrecarreguem os seus sistemas tecnológicos, tornando-os, por isso, inseguros. Apenas dessa forma lograrão mitigar os riscos para a privacidade dos titulares de dados, utilizadores das referidas tecnologias e prevenir práticas de discriminação em relação aos mesmos.
A Autoridade de Controlo defende, então, no exercício das atribuições e competências que lhe são legalmente atribuídas[13], algumas orientações destinadas, não só aos responsáveis pelo tratamento dos dados destes titulares, mas também aos demais intervenientes[14] nas operações de tratamento, entendendo que, para assegurar a conformidade com a legislação em vigor, deverão aqueles atuar nos seguintes moldes:
a) Definir claramente as finalidades do tratamento e garantir que são compatíveis com o ensino a distância[15].
b) Recolher e tratar os dados estritamente necessários para as finalidades especificadas, dando assim cumprimento ao princípio da minimização dos dados[16].
c) As entidades que disponibilizam e gerem as plataformas deverão efetuar uma avaliação de impacto na proteção de dados, de forma a identificar corretamente os riscos para a privacidade e permitir que sejam adotadas medidas para os mitigar, uma vez que, neste contexto do ensino a distância, a generalidade dos responsáveis pelos tratamentos (e.g., estabelecimento de ensino) não dispõe de recursos técnicos para o efeito[17].
d) Deverão ser claramente definidos os papéis e balizadas as responsabilidades dos vários intervenientes no tratamento de dados pessoais, em especial entre a entidade que fornecer e gerir a plataforma e quem decide sobre a sua utilização[18].
e) Deverá ser respeitado o princípio da privacidade desde a conceção, pelo que as configurações de privacidade das plataformas devem estar predefinidas e a sua desativação ser da iniciativa do utilizador[19].
f) Os professores devem ser devidamente informados relativamente à utilização das plataformas, conseguindo identificar as corretas configurações para garantir que não ocorrem riscos para a privacidade dos utilizadores, com especial enfoque nos alunos.
g) Deverá estar predefinida a informação que é conservada (que, em princípio, corresponderá à que é mantida no ensino presencial), bem como os prazos da sua conservação.
h) Deverá optar-se por tecnologias que impliquem a menor exposição possível do titular e do seu ambiente familiar[20].
i) A utilização de quaisquer algoritmos de análise de desempenho (learning analytics) deve sempre ser criteriosa e feita de forma justa e transparente para com os titulares e apenas se estiver preenchida alguma das condições de licitude desse tratamento, como a celebração e execução de contrato, autorização legal ou mediante consentimento do titular dos dados[21].
Tendo em consideração o elenco de recomendações da Autoridade de Controlo portuguesa, cremos que existem algumas opções práticas que se coadunam perfeitamente com o mesmo e a que as instituições de ensino possam recorrer (e muitas já recorreram). Exemplo disto será o uso preferencial de plataformas internas da instituição, acessíveis através de autenticação federada, ou ainda abrangidas por contratos com a própria instituição.
Em particular no ensino superior, poderá (e deverá) ser feita a distinção entre as aulas teóricas e práticas, sendo que as primeiras poderão facilmente em alguns cursos, ser disponibilizadas previamente aos alunos, com a posterior possibilidade de retirarem dúvidas diretamente com o docente, como alternativa à lecionação em direto. Em qualquer das formas, tais opções ficarão, naturalmente, à consideração dos docentes responsáveis pelas unidades curriculares.
Nos casos em que, por motivos de conveniência, as aulas devam ser lecionadas em direto através de videoconferência, não poderá ser imposta aos alunos qualquer obrigação de manterem os respetivos microfones, webcams ou outros equipamentos ligados em permanência, excetuando-se naturalmente as situações em que se demonstre verdadeiramente indispensável para o docente confirmar a presença e a identidade dos participantes, como são os casos de avaliação. Ademais, se as referidas aulas forem gravadas em direto[22], será obrigatório informar os alunos de tal facto (bem como dos respetivos encarregados de educação quando aplicável) e do tempo em que a gravação ficará disponível[23], devendo sempre a plataforma adotada permitir aos alunos desligar o microfone e a câmara, de forma a que não sejam recolhidos dados como a sua voz e imagem[24]. Em especial no que toca à gravação das aulas em direto, deverá o docente assegurar que o acesso à mesma é exclusivo por parte dos alunos inscritos na disciplina em questão.
Posto
isto, se toda a comunidade escolar estiver sensibilizada para os eventuais
riscos a que estão sujeitos os utilizadores das plataformas de suporte ao
ensino a distância e adotar as boas práticas respeitantes à proteção de dados
bem como comportamentos responsáveis quando disponham de acesso a dados
pessoais, prevê-se que o tratamento destes seja possível no ensino a distância,
através das discutidas tecnologias de suporte.
[1] O artigo 9.º, n.º 1 do Decreto-Lei n.º 10-A/2020, de 13 de março prescreve que “Ficam suspensas as atividades letivas e não letivas e formativas com presença de estudantes em estabelecimentos de ensino públicos, particulares e cooperativos e do setor social e solidário de educação pré-escolar, básica, secundária e superior e em equipamentos sociais de apoio à primeira infância ou deficiência”. Em especial no que toca à formação profissional, veja-se o n.º 6 do referido artigo: “na formação profissional obrigatória ou certificada, nomeadamente a referente ao acesso e exercício profissionais, a atividade formativa presencial pode ser excecionalmente substituída por formação à distância, quando tal for possível e estiverem reunidas condições para o efeito, com as devidas adaptações e flexibilização dos respetivos requisitos, mediante autorização da entidade competente.”
[2] Vide artigos 13.º, 26.º e 35.º da Constituição da República Portuguesa. Veja-se, em especial, o n.º 3 (A informática não pode ser utilizada para tratamento de dados referentes a convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e origem étnica, salvo mediante consentimento expresso do titular, autorização prevista por lei com garantias de não discriminação ou para processamento de dados estatísticos não individualmente identificáveis) e o n.º 4 (É proibido o acesso a dados pessoais de terceiros, salvo em casos excecionais previstos na lei) do referido artigo 35.º.
[3] O Considerando 76 do RGPD prescreve expressamente que “O risco para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, poderá resultar de operações de tratamento de dados relativos a pessoas singulares vulneráveis, em particular crianças”.
[4] Veja-se ainda a este propósito, a Deliberação n.º 1495/2016 da Comissão Nacional de Proteção de Dados, formulada inclusivamente antes de o RGPD adquirir força executiva nos Estados Membros, acerca da disponibilização de dados pessoais de alunos no sítio da Internet dos estabelecimentos de educação e ensino, a qual considerava já, na sua página 9, que “a disponibilização pelas escolas de dados pessoais dos seus alunos na Internet levanta desde logo séria apreensão por duas ordens de motivos: por um lado, pelos riscos que a Internet comporta para a privacidade dos alunos por ser uma rede aberta sem limites de tempo ou de espaço; por outro lado, pelo facto de os titulares dos dados serem crianças, logo merecedoras de proteção acrescida devido à sua vulnerabilidade.
[5] Vide artigo 8.º e Considerando 38 do RGPD. Em especial, a Lei 58/2019 de 8 de agosto, que assegura a execução do RGPD na ordem jurídica nacional, usa, no seu artigo 16.º, n.º 2, o termo “representantes legais” das crianças.
[6] O artigo 16.º da Lei 58/2019 de 8 de agosto consagra como idade mínima para dispensar o consentimento dos respetivos representantes legais, os 13 anos, faculdade concedida pelo RGPD (cfr. Artigo 8.º, 1.º, 2.º parágrafo) aos Estados Membros, derrogando assim a idade mínima de 16 anos plasmada naquele diploma europeu.
[7] Esta entidade já se havia pronunciado em termos semelhantes a propósito do tratamento de dados pessoais dos estudantes, no sentido de que a informação que revelasse aspetos pessoais dos mesmos, como a situação financeira ou patrimonial, os seus consumos ou outros comportamentos, deveria ser especialmente protegida para que o direito ao respeito pela vida privada não fosse afetado, na sua Diretriz n.º 1/2018, sobre a disponibilização de dados pessoais dos estudantes, dos docentes e demais trabalhadores no sítio da internet das instituições de ensino superior, aprovada na sessão plenária da Comissão Nacional de Proteção de Dados, de 2 de outubro de 2018.
[8] Em especial se há lugar ao cumprimento dos artigos 6.º, 9.º e 22.º do RGPD.
[9] Cfr. artigo 5.º do RGPD.
[10] É de referir, em especial que o direito à imagem é um direito de personalidade especialmente previsto no artigo 79.º do Código Civil, ficando na esfera da disponibilidade de cada um o uso da sua imagem, inclusivamente perante terceiros. São, por isso poucos os casos em que o tratamento da imagem dos titulares de dados não carece de consentimento.
[11] Veja-se o artigo 9.º, n.º 1 do RGPD.
[12] Proibição instituída pelo artigo 20.º do Código do Trabalho – Lei n.º 7/2009, de 12 de fevereiro.
[13] Através do artigo 57.º, n.º 1, al. b) e d) e artigo 58.º, n.º 1, al. b) do RGPD, bem como dos artigos 3.º e 6.º da Lei n.º 58/2019, de 8 de agosto.
[14] Aqui incluem-se os professores, os alunos e os pais ou encarregados de educação, e inclusivamente o Ministério da Educação, os diretores dos agrupamentos escolares e dos demais estabelecimentos de ensino, mas também os subcontratantes (empresas contratadas para prestação de serviços de informática, fornecedores das referidas tecnologias de suporte do ensino a distância) e ainda as diversas instituições de ensino e órgãos públicos que decidem sobra a utilização das tecnologias objeto do presente artigo.
[15] Vide o artigo 5.º, n.º 1, al. b) do RGPD.
[16] Vide o artigo 5.º, n.º 1, al. c) do RGPD.
[17] Esta solução existe por se considerar que este tipo de tratamento de dados pessoais, que implica o uso de novas tecnologias, pode ser suscetível de implicar um “elevado risco” para os direitos e liberdades dos titulares de dados, pelo que a avaliação de impacto deve ser realizada antes do início do tratamento, conforme obriga o artigo 35.º, n.º 1 do RGPD. Prescreve o n.º 3 do referido artigo, respetivamente nas suas alíneas a) e b) que a realização desta avaliação de impacto é obrigatória quando implicar a “avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas singulares, baseada no tratamento automatizado, incluindo a definição de perfis, sendo com base nela adotadas decisões que produzem efeitos jurídicos relativamente à pessoa singular ou que a afetem significativamente de forma similar” e quando pressupuser “operações de tratamento em grande escala de categorias especiais de dados a que se refere o artigo 9.º…”. Para além disto, também o Regulamento n.º 1/2018 da Comissão Nacional de Proteção de Dados, relativo à lista de tratamentos de dados pessoais sujeitos a avaliação de impacto sobre a proteção de dados, e que complementa assim o RGPD no que toca à obrigatoriedade de realização da avaliação de impacto, prescreve que a mesma é obrigatória em casos de tratamento de dados pessoais previstos no n.º 1 do artigo 9.º ou dados de natureza altamente pessoal, com utilização de novas tecnologias ou nova utilização de tecnologias já existentes.
[18] Designadamente através da realização de acordos de subcontratação nos termos do artigo 28.º, n.º 3 do RGPD. Estes acordos implicam para o subcontratante – in casu, os fornecedores das plataformas de suporte ao ensino à distância – a obrigação de comunicação aos estabelecimentos de ensino (responsáveis pelo tratamento de dados pessoais) das violações de dados pessoais que ocorram.
[19] Cfr. Artigo 25.º, n.º 1 do RGPD.
[20] A este propósito, a Autoridade de Controlo sugere o recurso a fórunsde discussão por oposição a sistemas de videoconferência.
[21] Conforme prevê o artigo 22.º, n.º 2 do RGPD, a propósito da definição de perfis. Importa ressalvar que aos alunos não pode ser imposto este tipo de análise de desempenho, devendo ser-lhes prestada a informação sobre o funcionamento dos algoritmos de análise, e sendo sempre garantido o direito a obter intervenção humana (cfr. n.º 3 do referido artigo). Bem assim, carece sempre o tratamento do consentimento livre e esclarecido do utilizador da plataforma (ou, no caso do aluno, do respetivo titular das responsabilidades parentais, conforme suprarreferido), devendo ser-lhe dada a possibilidade de, por ato positivo seu, e não por predefinição, escolher as permissões de privacidade e tratamento de dados que pretende aceitar ser-lhe aplicadas quando não sejam inerentes ao exercício da sua atividade profissional e desempenho escolar.
[22] Atente-se que podem os docentes optar por disponibilizar a aula gravada aos alunos previamente, dispensando a interação de uma aula em direto, se tal não prejudicar os mesmos em termos pedagógicos e se for alcançado o mesmo nível de eficiência letiva.
[23] Sendo que este prazo de conservação deverá ser ajustado às finalidades que motivaram a sua publicitação (por exemplo, até que todos os alunos inscritos naquele ano obtenham aprovação na disciplina).
[24] Em especial, a menos que haja concordância generalizada por parte de todos os participantes, deverá ser efetuada a suspensão da gravação para que os estudantes coloquem dúvidas livremente ou durante o momento em que algum estudante pretenda intervir. A alternativa será a utilização do chat em detrimento do microfone para colocar questões ao professor.