Um dos efeitos colaterais da pandemia Covid-19 foi o de compelir muitas instituições de ensino a acelerar a adoção de tecnologias para substituir as configurações presenciais de sala de aula por ambientes de aprendizagem virtuais, o chamado ensino a distância ganha centralidade no momento. Os riscos dessa aceleração tornam indispensável o debate quanto ao planejamento das atividades, no que concerne à segurança cibernética e à privacidade de dados, no contexto do quadro jurídico existente e em fase de elaboração.

Em 19 de maio de 2020, o Senado aprovou a antecipação da vigência da Lei Geral de Proteção de Dados (LGPD) de maio de 2021 para agosto de 2020. Apesar da decisão dos senadores, a questão não restou plenamente resolvida, pois a Medida Provisória 959/2020, que altera a data de entrada em vigência da legislação por causa da pandemia, ainda está em trâmite na Câmara dos Deputados e, se aprovada, colidirá frontalmente com a decisão do Senado. Caso a MP 959/2020 seja rejeitada ou caduque, valerá a atual redação da LGPD, que prevê como data de vigência 15 de agosto de 2020.

Não bastasse a anterior inexistência no Brasil de uma lei específica de proteção de dados pessoais, ainda nos defrontamos com a possibilidade de postergação da vigência da lei já aprovada, aumentando, portanto, a insegurança.

Tecnologias sem segurança

As ferramentas de aprendizagem on-line são vulneráveis a ataques maliciosos de maus atores que exploraram a expansão do ensino a distância promovido pela pandemia. O uso de plataformas e serviços de tecnologia educacional provoca ataques cibernéticos, e algumas instituições já experimentam ações de “phishing”, ataques de “ransomware” e sequestro de videoconferências. Esses riscos podem ser exacerbados à medida que os recursos internos de tecnologia da informação ficam sobrecarregados pelas mudanças para apoiar a aprendizagem virtual.

Ademais, as organizações envolvidas em pesquisa sobre a Covid-19 (incluindo universidades) podem ser alvos de invasões cibernéticas e outras atividades maliciosas que tentam roubar pesquisa, dados sensíveis e propriedade intelectual relacionados a potenciais vacinas e tratamentos da Covid-19.

O uso de plataformas que não salvaguardam informações pessoais e propriedade intelectual pode resultar em perda de valor, interrupção de negócios, danos à reputação, sanções civis e penais, além de multas. As instituições de ensino devem, por conseguinte, estabelecer planos para responder e atenuar os ataques cibernéticos compatíveis com as normas do setor e os requisitos regulamentares. Isso inclui selecionar cuidadosamente soluções confiáveis a fim de proteger os alunos e seus dados.

Mais pressa, mais riscos

É evidente que a pressa para criar e expandir ambientes de aprendizagem virtuais durante a pandemia também aumenta os riscos inerentes à privacidade de informações pessoais e os desafios de conformidade. Por assim ser, as instituições de ensino devem desenvolver cuidadosamente uma abordagem estratégica para gerenciar o compartilhamento e a divulgação de registros educacionais e outras informações pessoais neste ambiente virtual expandido.

A conformidade com as leis nacionais e internacionais que exigem a proteção das informações pessoais em bancos de dados educacionais levanta novas questões no contexto da educação a distância. As instituições deverão avaliar cuidadosamente se, e em que medida, os terceiros prestadores de serviços de suporte cibernético necessitam de acesso a informações pessoais ou a registros educacionais para facilitar os serviços e, em seguida, executar contratos escritos que limitam a coleta e protegem a utilização de informações pessoais em caso de violação da segurança dos dados.

Quanto ao mais, novas e intrigantes questões são levantadas na conjuntura da pandemia do coronavírus. Por exemplo, de que maneira as leis privadas regulamentarão quando e como as instituições educacionais denunciarão a exposição à Covid-19. Enquanto a LGPD requer o consentimento anterior para divulgação da informação pessoal relacionada com a saúde, normas sanitárias contêm exceções emergenciais de saúde e segurança.

Não bastasse, as instituições de ensino, que contemplam o uso de softwares de rastreamento de contato ou outras tecnologias de “wireless” para rastrear a exposição dos alunos ao vírus, deveriam estar conscientes das muitas questões de privacidade levantadas por essas tecnologias. Com efeito, a lei sobre o uso dessas tecnologias está evoluindo e a questão ainda não está resolvida, havendo o risco de que os reguladores e os tribunais concluam que o uso dessas tecnologias é inconsistente com as leis educacionais ou que infringem as expectativas razoáveis de privacidade.

Além disso, essas tecnologias podem implicar em considerações outras de privacidade, incluindo requisitos de controle da segurança dos dados, aviso e transparência junto aos alunos, bem como consentimento destes para uso e coleta dos dados.

Assim, com o avanço da educação a distância, as instituições de ensino devem ter um planejamento claro quanto à segurança cibernética e privacidade de dados em face da pandemia de Covid-19. Estabelecer planos exequíveis para responder e atenuar os ataques cibernéticos e desenvolver cuidadosamente uma abordagem estratégica de gerenciamento, compartilhamento e divulgação de registros educacionais e outras informações pessoais nesse ambiente virtual expandido.

Autor: Reinaldo Marques da Silva, doutorando em Direito e Ciências Sociais pela Universidad Nacional de Córdoba, mestre em Direito Comparado pela Samford University / University of Cambridge, especialista em Direito Tributário pelo Instituto Brasileiro de Direito Tributário, graduado em Direito e Administração pela Universidade de São Paulo e servidor Público em São Paulo.