A Human Rights Watch divulgou nesta segunda-feira, 3, que sites educacionais direcionados a estudantes brasileiros , incluindo dois criados por secretarias estaduais de educação, faziam vigilância sobre crianças e coletavam seus dados pessoais. O governo nacional deve alterar a lei de proteção de dados do Brasil adicionando novas salvaguardas para proteger as crianças online.
A análise conduzida pela Human Rights Watch em novembro de 2022 e revisada novamente em janeiro de 2023 descobriu que sete sites educacionais extraíram e enviaram dados de crianças para empresas terceirizadas, usando tecnologias de rastreamento projetadas para publicidade. Os sites são: Estude em Casa, Centro de Mídias da Educação de São Paulo, Descomplica, Escola Mais, Explicaê, MangaHigh e Stoodi. Um oitavo site, o Revisa Enem, enviou os dados das crianças para uma empresa terceirizada, mas sem usar rastreadores específicos de anúncios.
Esses sites não apenas observavam as crianças dentro de suas salas de aula on-line, mas também as seguiam pela Internet, fora do horário escolar e profundamente em suas vidas privadas.
"As crianças e suas famílias no Brasil estão sendo mantidas no escuro sobre a vigilância de dados realizada em crianças em salas de aula on-line", disse Hye Jung Han , pesquisadora de direitos e tecnologia da criança e defensora da Human Rights Watch. "Em vez de proteger as crianças, os governos estaduais permitem deliberadamente que qualquer pessoa as vigie e colete suas informações pessoais online."
As secretarias de educação de Minas Gerais e de São Paulo autorizaram originalmente esses sites para uso infantil durante a pandemia de Covid-19, e eles permanecem em uso. A Human Rights Watch relatou em maio de 2022 que esses e um outro site infringiam a privacidade das crianças. Após essa investigação, um site, DragonLearn, foi retirado da internet.
A Human Rights Watch descobriu que cinco sites implantaram técnicas de rastreamento particularmente intrusivas para vigiar crianças de forma invisível de maneiras impossíveis de evitar ou proteger.
Os guias de estudo e vídeos da Escola Mais foram endossados pela secretaria de educação de São Paulo para alunos do ensino fundamental durante o fechamento das escolas devido à Covid-19. O site agora anuncia aulas presenciais orientadas para a tecnologia para alunos do ensino fundamental e médio.
A Human Rights Watch descobriu a Escola Mais usando gravação de sessão, uma técnica que permite que terceiros assistam e registrem o comportamento de um usuário em uma página da web. Isso inclui cliques do mouse e movimentos em uma página da web; o equivalente digital de registrar a vigilância por vídeo cada vez que uma criança coça o nariz ou pega o lápis na aula.
Normalmente, o terceiro examinaria os dados em nome do site para adivinhar a personalidade de um usuário, suas preferências e o que ele provavelmente fará a seguir. A Escola Mais não respondeu a quatro pedidos de comentário.
A Human Rights Watch também descobriu que, de 2021 a 2023, sites educacionais pertencentes e operados pelas secretarias de educação de Minas Gerais e São Paulo enviaram dados pessoais de crianças para empresas de tecnologia de publicidade. Ambos os sites continuam sendo atualizados regularmente com videoaulas e materiais para os alunos.
Em resposta à investigação, a Secretaria de Educação de Minas Gerais retirou prontamente todo o rastreamento de anúncios de seu site. Esse desenvolvimento positivo demonstra que é possível construir e oferecer serviços educacionais para crianças que não comprometam seus dados e sua privacidade.
A Secretaria de Educação de São Paulo continua endossando o uso de sete sites educacionais que coletam indevidamente dados pessoais de crianças, inclusive seus próprios. Não respondeu a quatro pedidos de comentários da Human Rights Watch.
A Human Rights Watch também descobriu que quatro sites rastreiam crianças com mais intensidade do que o adulto médio que navega na Internet.
Com exceção do Revisa Enem, todos os sites examinados pela Human Rights Watch coletaram grandes quantidades de dados de crianças e os enviaram para empresas especializadas em publicidade comportamental, o que envolve a análise dos dados de uma criança para prever o que ela fará a seguir ou como ela poderá ser influenciado. Os anunciantes podem usar essas informações para segmentar a criança com conteúdo personalizado e anúncios que a seguem pela Internet.
A criação de perfis, o direcionamento e a publicidade para crianças dessa maneira violam inadmissivelmente sua privacidade, pois não é proporcional nem necessário que esses sites funcionem ou forneçam conteúdo educacional. Também corre o risco de violar outros direitos das crianças se essas informações forem usadas para orientá-las em direção a resultados prejudiciais ou contrários aos seus interesses. Essas práticas também desempenham um papel enorme na formação das experiências on-line das crianças e na determinação das informações que elas veem, em um momento de suas vidas em que suas opiniões e crenças correm alto risco de interferência manipuladora.
As crianças não poderiam se opor significativamente a essa vigilância durante o fechamento das escolas devido à Covid-19. Como esses sites oferecidos temporariamente eram gratuitos e amplamente divulgados às escolas pelo poder público, muitas escolas adotaram seu uso. Era impossível para muitas crianças desistir do rastreamento sem desistir completamente do aprendizado formal.
Nem a secretaria de educação de Minas Gerais nem a de São Paulo parecem ter verificado se seus endossos de ensino online eram seguros para uso infantil. Mesmo com a reabertura das escolas, a divulgação desses sites pelos governos estaduais durante a pandemia abriu caminho para seu uso contínuo por alunos e escolas.
Continua sendo negado às crianças o conhecimento para desafiar ou se proteger contra essas invasões de privacidade: nem as autoridades estatais nem as empresas divulgaram totalmente suas práticas de rastreamento, que são invisíveis para o usuário.
A autoridade de proteção de dados do Brasil deveria parar com esses ataques à privacidade das crianças. Deve exigir que essas empresas e governos estaduais excluam os dados das crianças coletados desde a pandemia e evite que eles continuem usando os dados das crianças para qualquer finalidade não relacionada ao fornecimento de educação.
A constituição do Brasil protege o direito à privacidade. O país também ratificou a Convenção das Nações Unidas sobre os Direitos da Criança, que dá direito às crianças a proteções especiais que resguardam sua privacidade.
Embora a decisão do governo do estado de Miras Gerais de remover toda a vigilância de dados de seu site educacional seja positiva, as crianças do Brasil não devem enfrentar variação de estado a estado na proteção e não podem confiar em provedores individuais para fazer melhor. Conforme escrito, a lei de proteção de dados do Brasil – a Lei Geral de Proteção de Dados Pessoais, ou a Lei Geral de Proteção de Dados Pessoais – não oferece proteção suficiente para crianças. Ele não proíbe explicitamente que os atores explorem as informações das crianças ou exige que eles forneçam altos níveis de segurança e proteção para as crianças.
Os legisladores devem alterar a lei para estabelecer regras abrangentes de proteção de dados infantis, incluindo a proibição de publicidade comportamental e o uso de técnicas de rastreamento intrusivas em crianças. Essas regras também devem exigir que todos os atores que oferecem serviços on-line para crianças – incluindo aprendizado on-line – forneçam os mais altos níveis de proteção aos dados e à privacidade das crianças.
"As crianças não devem ser coagidas a abrir mão de sua privacidade para aprender", disse Han. "O governo deve adotar urgentemente salvaguardas de proteção de dados para impedir a vigilância de crianças online."
Metodologia
O Brasil delega autoridade significativa para a tomada de decisões às autoridades educacionais estaduais. Durante o fechamento de escolas relacionadas à pandemia, isso incluiu decisões sobre quais produtos de aprendizado on-line endossar ou adquirir para uso escolar. A Human Rights Watch selecionou os dois estados mais populosos – São Paulo e Minas Gerais – e realizou análises técnicas nos nove produtos Edtech que eles endossaram usando uma versão personalizada do Blacklight, um inspetor de privacidade de sites em tempo real construído por Surya Mattu, ex-aluno engenheiro de dados e jornalista investigativo de dados na The Markup.
Não é possível para a Human Rights Watch determinar definitivamente a intenção de uma tecnologia de rastreamento ou como os dados coletados são usados, além de relatar o que pode ser determinado a partir dos dados e as próprias declarações das empresas e dos governos. Por exemplo, um produto pode incluir código de computador de terceiros que coleta dados que podem ser úteis para monitorar o desempenho do produto. Esses dados também podem ser usados com outro código de terceiros para fins publicitários.
Para reduzir a ambigüidade, a Human Rights Watch revisou as empresas que receberam os dados das crianças e aquelas que possuíam as tecnologias de rastreamento encontradas em um produto de aprendizado online.
A investigação de maio de 2022 da Human Rights Watch sobre os produtos de aprendizagem online endossados por 49 países e sua metodologia completa podem ser encontrados aqui . Todos os resultados e análises técnicas dessa investigação podem ser encontrados aqui .
A Human Rights Watch compartilhou suas descobertas e evidências técnicas com as empresas e as duas secretarias estaduais de educação, e deu a elas várias oportunidades de resposta. A Human Rights Watch ofereceu às secretarias de educação uma última oportunidade de resposta em março de 2023, antes da publicação. Todas as respostas são descritas abaixo.
Quando contatado para comentar, o Google não reconheceu que recebeu dados desses sites e não respondeu se eles usaram esses dados para publicidade. As políticas de publicidade do Google proíbem a segmentação de crianças menores de 13 anos com publicidade comportamental.
Estude em Casa
O Estude em Casa é um site que foi construído pela secretaria de educação de Minas Gerais para oferecer ensino gratuito às crianças durante o fechamento das escolas pela Covid-19 e continua sendo atualizado regularmente com videoaulas e materiais. A secretaria de educação disse que foi desenvolvido para ajudar as crianças a "aprender com segurança em casa neste período de isolamento social".
Em maio de 2022, a Human Rights Watch informou que o Estude em Casa enviou os dados de seus usuários para uma empresa terceirizada e sua divisão de publicidade. Ele fez isso usando quatro rastreadores de anúncios, três cookies de terceiros e a ferramenta de "públicos de remarketing" do Google Analytics, permitindo que o site potencialmente segmentasse usuários com anúncios na Internet.
Procurada para se manifestar em abril de 2022, a secretaria de educação afirmou que "o Estudo em Casa não coleta dados para publicidade ou qualquer finalidade comercial" e que "não usa ou coleta dados de alunos, pois não exige nenhum tipo de login para acessar a plataforma", mas reconheceu usar o Google Analytics "para fins de rastreamento e monitoramento".
Em novembro de 2022 e novamente em janeiro de 2023, a Human Rights Watch descobriu que o Estude em Casa continuou a enviar dados de usuários para a mesma empresa terceirizada e sua divisão de publicidade, por meio de três rastreadores de anúncios, três cookies de terceiros e Google Analytics'" público de remarketing".
Após ser notificada pela Human Rights Watch, a secretaria de educação prontamente removeu todo o rastreamento de anúncios do Estude em Casa em 24 de março de 2023.
Centro de Mídias da Educação de São Paulo
O Centro de Mídias da Educação de São Paulo é um site e aplicativo desenvolvido e utilizado pela secretaria de educação de São Paulo para oferecer aulas gratuitas durante o fechamento das escolas devido à Covid-19, e continua sendo atualizado regularmente com videoaulas e materiais.
Em maio e novembro de 2022 e novamente em janeiro de 2023, a Human Rights Watch descobriu que o produto enviava dados dos usuários para duas empresas terceirizadas por meio de quatro rastreadores de anúncios, incluindo um script de rastreamento que poderia permitir a publicidade.
A secretaria de educação de São Paulo não respondeu a quatro pedidos de comentário, os últimos enviados à nova administração em janeiro e março deste ano. Não respondeu à oferta da Human Rights Watch em março de 2023 para discutir essas descobertas antes da publicação.
Descomplica
O Descomplica é um site e aplicativo desenvolvido pela empresa brasileira Descomplica Cursos Livres Via Web, destinado a alunos do Enem e Vestibular de universidades brasileiras. O Descomplica afirma ser a maior plataforma de ensino online do país e autorizada pelo Ministério da Educação nacional.
Em 26 de março de 2020, a secretaria de educação de São Paulo endossou seu uso para alunos do ensino médio que se preparam para esses exames durante o fechamento das escolas devido à Covid-19. Foi gratuito para uso até dezembro de 2020.
Em maio de 2022, a Human Rights Watch informou que o Descomplica enviou os dados de seus usuários para 20 empresas. Ele fez isso usando 30 rastreadores de anúncios e 19 cookies de terceiros que rastreiam usuários na Internet. A maioria dessas empresas se especializou em usar esse tipo de informação para atingir pessoas com publicidade comportamental.
As crianças que usaram o Descomplica para estudar foram rastreadas com mais intensidade do que o adulto médio que navega em um site. Em comparação, o The Markup descobriu que os 80.000 sites mais populares do mundo – uma lista que inclui gigantes globais do comércio eletrônico que implantam publicidade extensiva – carregam uma média de três cookies de terceiros e sete rastreadores de anúncios.
O Descomplica também usou a gravação da sessão para registrar o que os usuários fizeram em seu site, incluindo cliques e movimentos na página, e enviou a gravação para uma empresa terceirizada. Ele também usou os "públicos de remarketing" do Facebook Pixel e do Google Analytics, duas ferramentas que permitiram potencialmente segmentar usuários com anúncios na Internet.
Em novembro de 2022 e novamente em janeiro de 2023, a Human Rights Watch descobriu que o Descomplica enviou dados de usuários para 26 empresas, usando 37 rastreadores de anúncios e 39 cookies de terceiros. Ele continuou a usar a gravação de sessões, o Facebook Pixel e a ferramenta de "públicos de remarketing" do Google Analytics.
O Descomplica não respondeu a quatro pedidos de comentário.
DragonLearn
DragonLearn foi um site construído por uma empresa brasileira de mesmo nome. Em 26 de março de 2020, a secretaria de educação de São Paulo endossou seu uso para alunos do ensino fundamental durante o fechamento das escolas devido à Covid-19, e o uso do site foi gratuito até dezembro de 2020.
Em maio de 2022, a Human Rights Watch informou que a DragonLearn enviou os dados de seus usuários para seis empresas. Ele fez isso usando oito rastreadores de anúncios e três cookies de terceiros que rastreiam usuários na Internet. A DragonLearn também usou a gravação da sessão para registrar o que os usuários fizeram em seu site, incluindo cliques e movimentos na página, e enviou a gravação para uma empresa terceirizada. Ele também usou o 'público de remarketing' do Facebook Pixel e do Google Analytics, duas ferramentas que permitiram potencialmente segmentar usuários com anúncios na Internet.
O DragonLearn foi retirado da Internet após a investigação de maio da Human Rights Watch e subsequentes reportagens da mídia.
A DragonLearn não respondeu a três pedidos de comentário.
Escola Mais
Escola Mais é um site construído por uma empresa brasileira de mesmo nome, que divulga aulas presenciais para alunos do ensino fundamental e médio. Em 26 de março de 2020, a secretaria de educação de São Paulo aprovou o uso dos guias de estudo e vídeos da Escola Mais para alunos do ensino fundamental durante o fechamento das escolas devido à Covid-19, e o site foi gratuito para uso até janeiro de 2021.
Em maio de 2022, a Human Rights Watch informou que a Escola Mais enviou dados de seus usuários para seis empresas. Ele fez isso usando 11 rastreadores de anúncios e 6 cookies de terceiros que rastreiam usuários na Internet. O site também enviava dados dos usuários por meio do Facebook Pixel e dos "públicos de remarketing" do Google Analytics, duas ferramentas que permitiam potencialmente segmentar usuários com anúncios na Internet.
Em novembro de 2022 e novamente em janeiro de 2023, a Human Rights Watch descobriu que a Escola Mais havia enviado dados de seus usuários para 37 empresas, usando 34 rastreadores de anúncios e 53 cookies de terceiros. A Escola Mais continuou a usar os "públicos de remarketing" do Facebook Pixel e do Google Analytics.
A Human Rights Watch também descobriu que a Escola Mais começou a usar a gravação de sessões, uma técnica que permite que terceiros assistam e registrem o comportamento de um usuário em uma página da web. A Escola Mais também começou a usar o keylogging, um procedimento invasivo que captura sub-repticiamente informações pessoais que as pessoas inserem em formulários, como nomes, números de telefone e senhas, antes de clicar em enviar. As empresas têm usado essa técnica para muitos propósitos, incluindo a identificação de usuários anônimos da web, comparando-os com endereços postais e nomes reais, antes que eles possam consentir.
A Escola Mais não respondeu a quatro pedidos de comentário.
Explicaê
Explicaê é um site construído pela empresa brasileira Explicaê Conteudo e Educacao Digital. Em 26 de março de 2020, a Secretaria de Educação de São Paulo aprovou seu uso para alunos do ensino médio que se preparam para o Enem e Vestibular do Brasil durante o fechamento das escolas devido à Covid-19, e seu uso foi gratuito até janeiro de 2021.
Em maio de 2022, a Human Rights Watch informou que o Explicaê havia enviado dados de seus usuários para cinco empresas. Ele fez isso usando sete rastreadores de anúncios e um cookie de terceiros que rastreou usuários na Internet. O site também enviava dados dos usuários por meio do Facebook Pixel e dos "públicos de remarketing" do Google Analytics, duas ferramentas que permitiam potencialmente segmentar usuários com anúncios na Internet.
Em novembro de 2022 e novamente em janeiro de 2023, a Human Rights Watch descobriu que o Explicaê havia enviado dados de seus usuários para 9 empresas, usando 12 rastreadores de anúncios e 10 cookies de terceiros. A Explicaê também continuou a usar os "públicos de remarketing" do Facebook Pixel e do Google Analytics.
Explicaê não respondeu a quatro pedidos de comentário.
MangaHigh
MangaHigh é um site criado pela empresa britânica Blue Duck Education Limited e oferece jogos educativos de matemática para alunos do ensino fundamental, fundamental e médio. Em 26 de março de 2020, a Secretaria de Educação de São Paulo aprovou seu uso para alunos do ensino fundamental durante o fechamento das escolas devido à Covid-19, e seu uso foi gratuito até dezembro de 2021.
Em maio de 2022, a Human Rights Watch informou que a MangaHigh havia enviado os dados de seus usuários para 4 empresas, usando 11 rastreadores de anúncios. O site também enviava dados dos usuários por meio do Facebook Pixel e dos "públicos de remarketing" do Google Analytics, duas ferramentas que permitiam potencialmente segmentar usuários com anúncios na Internet. A MangaHigh também usou a gravação da sessão para registrar o que os usuários fizeram neste site, incluindo cliques e movimentos do mouse pela página, e enviou a gravação para uma empresa terceirizada. Ele também usou o registro de teclas para capturar o texto digitado pelos usuários antes de enviarem.
Em novembro de 2022 e novamente em janeiro de 2023, a Human Rights Watch descobriu que a MangaHigh enviou os dados de seus usuários para três empresas, usando quatro rastreadores de anúncios e um cookie de terceiros. O site não usava mais a gravação de sessão ou o pixel do Facebook, mas continuou a usar o registro de chaves e os "públicos de remarketing" do Google Analytics.
Quando contatada em dezembro de 2022, a MangaHigh solicitou detalhes da nova análise técnica. A Human Rights Watch forneceu uma cópia completa das evidências e resultados. MangaHigh não respondeu.
Revisão Enem
O Revisa Enem é um site construído por uma empresa brasileira de mesmo nome. Em 26 de março de 2020, a secretaria de educação de São Paulo aprovou seu uso durante o fechamento das escolas devido à Covid-19 para alunos do ensino médio que se preparam para o Enem e Vestibular do Brasil, e seu uso foi gratuito até dezembro de 2021.
Em maio de 2022, a Human Rights Watch descobriu que a Revisa Enem enviava dados de seus usuários para uma empresa terceirizada, usando um rastreador de anúncios.
Em novembro de 2022 e novamente em janeiro de 2023, a Human Rights Watch descobriu que a Revisa Enem enviou os dados de seus usuários para uma empresa terceirizada, usando dois rastreadores de anúncios. A Revisa Enem não respondeu aos vários pedidos de comentário.
Stoodi
Stoodi é um site construído por uma empresa brasileira de mesmo nome. Em 26 de março de 2020, a secretaria de educação de São Paulo aprovou seu uso durante o fechamento das escolas devido à Covid-19 para alunos do ensino médio que se preparam para o Enem e Vestibular do Brasil, e seu uso foi gratuito até fevereiro de 2021.
Em maio de 2022, a Human Rights Watch descobriu que a Stoodi enviava os dados de seus usuários para 18 empresas, usando 24 rastreadores de anúncios e 21 cookies de terceiros que rastreavam usuários na Internet. O site também enviava dados dos usuários por meio do Facebook Pixel e dos "públicos de remarketing" do Google Analytics, duas ferramentas que permitiam potencialmente segmentar usuários com anúncios na Internet.
Stoodi também foi detectado usando gravação de sessão para registrar o que os usuários fizeram neste site, incluindo cliques e movimentos pela página, e enviou a gravação para uma empresa de publicidade, a Ve Global. Ele também usou o registro de teclas para capturar o texto digitado pelos usuários antes de enviarem.
Quando contatado em março de 2022, a Ve Global reconheceu que Stoodi era um ex-cliente e confirmou que o site de Stoodi ainda estava usando as tags de rastreamento da Ve Global. Ve Global confirmou que posteriormente desativou e tornou a tag inutilizável para Stoodi continuar enviando dados do usuário para Ve Global.
Em novembro de 2022 e novamente em janeiro de 2023, a Human Rights Watch descobriu que Stoodi enviou dados de usuários para 16 empresas, usando 20 rastreadores de anúncios e 19 cookies de terceiros. Ele continuou a usar o Facebook Pixel, os "públicos de remarketing" do Google Analytics, a gravação de sessões e o registro de chaves.
Quando contatado em dezembro de 2022, Stoodi reconheceu as descobertas da Human Rights Watch e disse que suas práticas de dados eram para melhorar a experiência do usuário e para "anunciar Stoodi a clientes em potencial e permitir ações comerciais de CRM [gerenciamento de relacionamento com o cliente]". A Stoodi disse que seus usuários tinham 16 anos ou mais, que não vendia dados pessoais a terceiros e que não mantinha contrato ativo com instituição pública de ensino desde 2021.
A pedido de Stoodi, a Human Rights Watch forneceu uma cópia completa de suas evidências técnicas e resultados. Stoodi não respondeu.
Stoodi: nota oficial
A TI Inside recebeu a seguinte nota oficial:
A edtech Stoodi está comprometida com a privacidade e segurança dos dados de seus alunos e não comercializa informações pessoais com terceiros nem veicula propagandas de outras empresas em sua plataforma. Toda política de privacidade do site é pública e detalha que tipo de dado é coletado bem como seu tratamento e finalidade, sempre obedecendo rigorosos protocolos internos para estar em conformidade com a Lei Geral de Proteção de Dados. A edtech também esclarece que apenas usuários com mais de 16 anos podem se cadastrar na plataforma e que não mantém contrato com instituições públicas desde 2020.
