A escola e a proteção de dados pessoais


Parece não haver dúvidas que as pessoas em geral precisam ser urgente e constantemente conscientizadas a respeito da importância da proteção de dados pessoais. Mas não, o objetivo do texto não é o de defender que deve haver ensino sobre proteção de dados em escolas. Na verdade, será abordada mais uma multa imposta por uma Autoridade Supervisora – no caso, a da Suécia. E tem a ver com a escola e a proteção de dados pessoais.

Segundo o comunicado de imprensa da Datainspektionen, uma escola de ensino médio foi multada em 200 mil coroas suecas (mais ou menos 18.600 euros ou 84.000 reais) por instalar um sistema de reconhecimento facial em suas instalações. O objetivo era “nobre”: realizar o controle de frequência dos alunos. Esta foi a primeira multa emitida pela Autoridade Supervisora da Suécia.

Na Suécia, segundo o comunicado do European Data Protection Board, as autoridades públicas podem receber multas de no máximo 10 milhões de coroas suecas (aproximadamente 1 milhão de euros ou 4 milhões e 200 mil reais). A multa aplicada à escola considerou o número de titulares de dados atingidos e o fato de ser uma autoridade pública a fazer o tratamento de dados.

A Autoridade Supervisora “considera que o High School Board em Skellefteå tratou de dados pessoais sensíveis em violação do Regulamento Geral de Proteção de Dados”. O reconhecimento facial foi utilizado em relação a 22 alunos de uma única turma por período de tempo limitado. No entanto, para a Autoridade Supervisora a escola tratou dados biométricos sensíveis de forma ilegal e não fez uma avaliação de impacto adequada, incluindo a realização de consulta prévia junto à Autoridade Supervisora sueca.

Ainda segundo a Diretora Geral da Autoridade Supervisora sueca, a tecnologia de reconhecimento facial ainda está iniciando, mas seu desenvolvimento é rápido. Daí a necessidade de clareza a respeito de seu uso, bem como de firmeza a respeito das consequências do uso da tecnologia.

O conselho da escola informou que havia obtido o consentimento dos alunos para o tratamento dos dados pessoais para o objetivo estabelecido. O argumento, no entanto, não sensibilizou a Autoridade Supervisora. Segundo um dos advogados que participou do processo, o conselho não poderia utilizar o consentimento como fundamento de licitude neste caso porque os alunos estão em uma posição de dependência do conselho.

A Autoridade Supervisora, em sua decisão, informou ter descoberto que o reconhecimento facial significava vigilância de câmera dos alunos em seu ambiente cotidiano. Isto ocasionaria verdadeira intromissão em sua integridade, já que o controle de presença pode ser feito de outras formas que violam menos a privacidade do que o reconhecimento facial.

O que se pode aprender desta situação?

Em primeiro lugar, é necessário que o responsável pelo tratamento (ou controlador, conforme a LGPD) saiba que o consentimento não é o primeiro nem o único fundamento de licitude para suas atividades. A despeito do consentimento aparecer em primeiro lugar na legislação, ele não é necessariamente a primeira opção. O responsável pelo tratamento deve analisar em detalhes o tratamento que pretende realizar e definir claramente o que dará sustentação legal àquilo que pretende fazer.

Em segundo lugar, é importante destacar que apenas a obtenção do consentimento não garante a licitude do tratamento, mesmo que o consentimento seja “uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento” – como traz o nº 11 do art. 4º do RGPD. Ou seja, o consentimento não pode ser em absoluto utilizado quando há uma notória desigualdade entre as partes, ou seja, entre titular e responsável pelo tratamento.

É o caso claro de relações de trabalho, em que o tratamento de dados dos colaboradores não pode ser fundamentado no consentimento, e, neste caso, de relações entre estudantes e professores. Isto, aliás, é claro no Considerando 43 do RGPD, que diz explicitamente que o consentimento “não deverá constituir fundamento jurídico válido para o tratamento de dados pessoais em casos específicos em que exista um desequilíbrio manifesto entre o titular dos dados e o responsável pelo seu tratamento, nomeadamente quando o responsável pelo tratamento é uma autoridade pública pelo que é improvável que o consentimento tenha sido dado de livre vontade em todas as circunstâncias associadas à situação específica em causa”.

Em terceiro lugar, é importante destacar as ideias de privacy by design e privacy by default. A privacidade deve ser protegida antes mesmo de qualquer projeto ver a luz do dia, e esta mentalidade deve ser um padrão para quem os desenvolve. A despeito da escola ter indicado que estava ainda “em fase de testes”, parece explícito, pelas informações divulgadas, que quem criou o projeto não levou em consideração tais princípios, o que acabou por resultar na multa. Além disso, como destacado na decisão, o RGPD não faz distinção entre projetos-piloto e projetos em curso, o que faz com que todos os pré-requisitos de proteção da privacidade sejam aplicados a qualquer momento – literalmente desde a concepção.

Para proteger os dados pessoais não basta, portanto, que o responsável pelo tratamento busque o consentimento do titular dos dados, acreditando que assim estará tudo bem. Outros elementos estão presentes na análise de risco e devem ser também considerados, especialmente quando são utilizadas tecnologias – como o reconhecimento facial – que trazem embutidos em si mesmas riscos consideráveis à privacidade das pessoas. Mais que isto, vale destacar que a proteção de dados engloba um conjunto de instruções e não apenas uma ou outra permissão aqui ou ali. Acreditar que o consentimento é suficiente configura-se não apenas como um desconhecimento em relação à legislação, mas eventualmente em erros que poderão gerar prejuízos financeiros à empresa ou instituição envolvida.

Deixe um comentário