As crianças do estado de Hesse, na Alemanha não mais poderão contar com o Office 365 para fazer seus trabalhos nas escolas: a Comissão local para a Proteção de Dados e Liberdade da Informação (HBDI) decidiu que a suíte de produtividade online da Microsoft não atende às regras do Regulamento Geral de Proteção de Dados da União Europeia (GDPR), por coletar dados dos pequenos sem consentimento.
Tal decisão se estende ao iWork da Apple e ao Google Docs, que foram igualmente banidos das escolas do estado.
A decisão do HBDI mirava inicialmente no Office 365 e citava “preocupações com a segurança” das crianças em idade letiva, por uma pequena particularidade do pacote de programas: ele coleta informações do usuário e os envia à matriz da Microsoft nos Estados Unidos para diversos fins, desde relatórios de diagnóstico a dados pessoais, como palavras digitadas num processador de texto (como o Word) ou num cliente de e-mail (como o Outlook), para refinar suas ferramentas ortográficas ou de tradução.
O GDPR define que tal coleta de dados, independente da causa, motivo, razão ou circunstância deve ser consentida pelo usuário antes de ser feita, o que vale segundo a lei apenas para maiores de 16 anos; para os demais, os pais ou responsáveis legais devem dar a autorização expressa para que as informações sejam repassadas. Na óbvia impossibilidade de crianças e adolescentes consentirem por si próprias e a inviabilidade de convocar todos os pais para fazê-lo, a comissão de Hesse decidiu banir a suíte até que a Microsoft implemente mudanças que a façam entrar em acordo com as leis do bloco europeu.
A comissão explica que serviços de armazenamento na nuvem não são vistos como um problema, e que o motivo do banimento se deu unicamente pela telemetria do software; ao mesmo tempo, a HBDI informou que o que aplica ao Office 365 vale também para o Google Docs e o Apple iWork pelas mesmas razões, dessa forma ambos também não poderão ser usados em escolas da região.
A recomendação da comissão é que diretores de escolas usem a versão offline do pacote Office (atualmente o Office 2019, que a própria Microsoft não mais endossa); a cereja do bolo é que a comissão também considera punições por coleta de dados de crianças ao Windows 10, visto que o sistema operacional atua da mesma forma.
Ao mesmo tempo, a Alemanha é tradicionalmente o país mais rígido da Europa em termos de segurança de dados e a decisão de Hesse pode vir a ser adotada por mais estados, quiçá em todo o território por uma regulamentação federal; em último caso a atitude de Microsoft, Google e Apple pode vir a ser questionada pela União Europeia, o que pode se converter em mais dores de cabeça para o trio no Velho Mundo.
Após o banimento do Office 365 das escolas em Hesse, a Microsoft emitiu o seguinte comunicado:
“Nós trabalhamos constantemente para atender às preocupações de nossos usuários, esclarecendo nossas políticas e práticas de proteção aos dados e esperamos colaborar com o comissário de Hesse, para melhor entendê-lo.
Quando o Office 365 se conecta a uma conta corporativa ou de uma escola, os administradores contam com diversas opções para limitar recursos que enviam dados à Microsoft. Recentemente anunciamos (aqui e aqui), com base no retorno dos usuários, novos passos rumo a uma maior transparência e controle para essas organizações, no que tange ao compartilhamento desses dados.
Em nossos Termos de Serviço, nós documentamos as medidas que tomamos para proteger os dados dos clientes e até processamos com sucesso o governo dos EUA, pelo acesso aos dados de clientes da Europa.
Por fim, agradecemos ao sr. comissário por levantar tais preocupações e estamos ansiosos para nos envolvermos mais, em relação a suas questões e preocupações relacionadas com as ferramentas da Microsoft.”
O que diz a Lei Geral de Proteção de Dados (LGPD)
A Lei Geral de Proteção de Dados (LGPD), sancionada em agosto de 2018 pelo então presidente Michel Temer entra em vigor apenas em fevereiro de 2020, mas ela já conta com alguns pontos específicos sobre a coleta de dados de crianças; ainda assim ela não é tão abrangente (ou clara) quanto a GDPR.
O Artigo 14, “Do Tratamento de Dados Pessoais de Crianças e de Adolescentes” diz o seguinte, grifos nossos:
“O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente.”
O primeiro parágrafo esclarece que dados de crianças só podem ser coletados com autorização dos pais ou responsáveis, tal qual como a GDPR define, mas há um porém: segundo o Estatuto da Criança e do Adolescente (ECA), entende-se como “criança” o indivíduo de 0 a 12 anos incompletos; sob esse entendimento, o adolescente (entre 12 e 18 anos incompletos) teria autonomia sobre suas informações e poderia consentir por si mesmo, só que isso não é bem verdade.
Como o código brasileiro possui mais de uma regulação, juristas e advogados entendem que tais lacunas devem ser preenchidas por outras regulações. O advogado Renato Opice Blum, por exemplo, defende que a interpretação do Artigo 1.634, Inciso VII do Código Civil, que discorre sobre a relação de parentesco é bem clara, ao definir que os pais ou responsáveis têm total autonomia e responsabilidade sobre o indivíduo até que o mesmo complete 16 anos. O Marco Civil e o próprio ECA também podem e devem ser levados em conta, nas questões de proteção de dados de adolescentes.
Ao mesmo tempo, o fornecedor de serviços (no caso, Apple, Google e Microsoft) devem comprovar a autorização de coleta emitida pelos pais ou responsáveis quando solicitado. No fim, embora a LPPD não seja muito clara, a existência de mais de um órgão fiscal acaba por cobrir as brechas; tudo depende, claro, da interpretação do juiz no fim das contas em caso de problemas.
Com informações: The Next Web, 9to5Mac.
Source link
Comentários no Facebook