A Coalizão Direitos na Rede (CDR) é uma rede de entidades que reúne 51 organizações acadêmicas e da sociedade civil em defesa dos direitos digitais, tendo como temas principais de atuação a defesa do acesso, liberdade de expressão, proteção de dados pessoais e privacidade na Internet. As entidades que integram o coletivo participaram ativamente da construção de políticas públicas de Internet de grande relevância para o Brasil, como o processo de discussão e elaboração do Marco Civil da Internet e de seu decreto regulamentador, bem como a Lei Geral de Proteção de Dados Pessoais.
Primeiramente, ressaltamos a recentemente promulgada Emenda Constitucional nº 115, de 2022, que assegura o direito à proteção dos dados pessoais, inclusive nos meios digitais. Na mesma esteira, é importante apontar que o artigo 227 da Constituição Federal de 1988 determina ser dever da família, da sociedade e do Estado assegurar à criança, ao adolescente e ao jovem, com absoluta prioridade, o direito à educação, e também mantê-los a salvo de toda forma de negligência, discriminação, exploração, violência, crueldade e opressão. Tais proteções também se aplicam ao contexto da internet e à proteção de dados pessoais.
Sob essa perspectiva, no dia 18 de fevereiro de 2022, o Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (Inep) publicou de forma incompleta os dados e microdados do Enem de 2020 e do Censo Escolar de 2021 e suspendeu o acesso e a divulgação da série histórica que norteava, inclusive, a formulação e o monitoramento de políticas públicas educacionais. No dia 22 do mesmo mês, o Instituto publicou uma Nota de Esclarecimento sobre a divulgação dos dados esclarecendo que estaria trabalhando para adequar sua base para atender às disposições previstas na Lei n.º 13.709, de 14 de agosto de 2018 — Lei Geral de Proteção de Dados Pessoais (LGPD).
O Inep constatou, através de um estudo conduzido em parceria com o Laboratório Inscrypt (Laboratory of Information Security, Cryptography, Privacy, and Transparency) do Departamento de Ciência da Computação (DCC) da Universidade Federal de Minas Gerais (UFMG), que as técnicas de proteção da privacidade utilizadas atualmente nos microdados estão sujeitas a falhas, submetendo “os titulares dos dados a consideráveis riscos de violação de privacidade, incluindo reidentificação e inferência de atributos sensíveis”1.
O estudo demonstrou, por exemplo, que contando apenas com a data de nascimento e o código de curso seria possível reidentificar até 80% dos estudantes participantes do Censo da Educação Superior de 2018. No âmbito do Censo da Educação Básica de 2019, similarmente mostrou que seria possível reidentificar com até 49,86% de chance de sucesso um indivíduo aleatoriamente selecionado como alvo, tendo apenas a data de nascimento, município de nascimento e código da escola em que estudou. Tal cenário representava risco gravíssimo aos direitos dos estudantes, que poderiam se ver ulteriormente discriminados por futuros empregadores potenciais com base em acessos indevidos a sua trajetória escolar, por exemplo. Tendo em vista tal situação, a suspensão temporária da divulgação pública dos microdados individualizados foi adotada como remédio, conforme recomendação expressa da equipe responsável pelo estudo.
Com vistas a sanar a questão e a fim de retomar a divulgação dos dados, foi apresentado o Projeto de Lei nº 454, de 2022. A proposta, inicialmente, alterava a LGPD e a Lei nº 9.394, de 20 de dezembro de 1996 – Lei de Diretrizes e Base da Educação Nacional (LDB), para autorizar o Poder Público a compartilhar e publicizar dados e microdados brutos coletados no Censo Escolar e no Exame Nacional do Ensino Médio (ENEM), desde que “anonimizados ou pseudonimizados”, inclusive segmentados por instituição de ensino.
A proposta inicial do PL 454/22, ainda que bem intencionada, era equivocada. O estudo da UFMG evidencia que a falha na divulgação dos dados é de ordem técnica, não havendo necessidade de se alterar normas. É importante, também, ressaltar que, em seu texto inicial, o projeto abria um perigoso precedente ao alterar a LGPD para reduzir seu escopo de aplicação em um momento no qual a política nacional de proteção de dados do país ainda se encontra em processo de consolidação. Desde antes da aprovação da lei, há sabida pressão política dos mais diversos setores para que diversas exceções a suas exigências fossem incorporadas ao texto. A partir de sua aprovação, essas pressões passaram a se materializar em numerosas propostas de alteração do texto promulgado. Legitimar o enfraquecimento da LGPD nesse momento, portanto, significaria fortalecer narrativas que minimizam a importância da proteção de dados no país.
No dia 14 de abril de 2022, foi publicado o relatório com texto substitutivo pelo Deputado Felipe Rigoni. O parecer avança sensivelmente em relação ao texto originalmente protocolado pelos Deputados Tiago Mitraud e Adriana Ventura, sobretudo por abandonar a proposta de alteração na LGPD e propor um papel mais significativo da Autoridade Nacional de Proteção de Dados (ANPD) no debate. Em seu parecer, a ANPD e o Inep seriam responsáveis por elaborar regulamento, em conjunto, para a determinação de condicionantes de anonimização e pseudonimização à publicização dos dados. Reconhecendo tais avanços, a Coalizão saúda o Deputado Felipe Rigoni pelo esforço em compatibilizar a demanda por transparência sobre as informações da educação e a proteção de dados de estudantes brasileiras e brasileiros.
Apesar disso, destacamos que ainda há espaços para melhoria no relatório, uma vez que alguns de seus dispositivos atuais podem ser interpretados como uma vedação à aplicação de medidas de segurança necessárias para a proteção dos dados. Ressaltamos, nesse sentido, que seria positivo impor um prazo de seis meses para que a ANPD e o Inep elaborem o referido regulamento, dada a urgência da matéria e a gravidade das falhas de segurança identificadas no estudo realizado pela UFMG. No mesmo espírito, compreendemos que a vedação do compartilhamento e da imposição de condicionantes ao compartilhamento de dados previamente compartilhados pode impedir o Inep de tomar medidas de segurança legítimas e necessárias à proteção dos dados pessoais, mesmo porque novas falhas de segurança com repercussões ainda desconhecidas podem vir a ser identificadas no futuro, em adição às já gravíssimas reveladas pelo estudo da UFMG. Por essas razões, defendemos a supressão do § 10º do novo artigo 5º da LDB na redação proposta no substitutivo.
Ainda, destacamos ser importante a introdução de um parágrafo que estenda a aplicabilidade do conceito de “pseudonimização” da LGPD ao artigo 5º da LDB, uma vez que a LGPD limita expressamente sua aplicação ao tratamento para realização de estudos em saúde pública por órgão de pesquisa (art. 13). Sem tal dispositivo, a interpretação do conceito de “pseudonimização” para os fins da nova redação da LDB poderá ocasionar enorme insegurança jurídica, fragilizando assim a proteção de dados de crianças e adolescentes.
Cabe destacar, ainda, que a celeridade excessiva que marcou a tramitação do projeto implicou na ausência de debate público tecnicamente qualificado e multissetorial a respeito de seu conteúdo. É temerário que uma proposta com impactos tão significativos para a proteção de dados de crianças e adolescentes avance sem que sequer tenham sido ouvidas adequadamente a Autoridade Nacional de Proteção de Dados (ANPD), haja vista sua centralidade no ecossistema brasileiro de proteção de dados pessoais, e as entidades da sociedade civil e da academia que há muito debatem sobre os temas da proteção de dados e os direitos de crianças e adolescentes.
Notamos, por fim, ser inegável que a transparência dos dados é indispensável para construção e monitoramento de políticas públicas educacionais no Brasil, especialmente em um contexto de retomada das aulas presenciais, alto índice de evasão escolar e necessidade de recuperação da aprendizagem. No entanto, o modelo atual de publicidade dos dados usado pelo Inep carece de ferramentas que garantam a proteção de dados de crianças e adolescentes. Não se pode avançar em uma discussão tão complexa e importante com tanta rapidez, sem atentar para as questões técnicas alarmantes apontadas pelo estudo conduzido pela UFMG. O melhor interesse da criança e do adolescente deve prevalecer, com a divulgação dos dados em um ambiente capaz de garantir sua proteção.
Urge que a discussão sobre a proteção de dados de estudantes da educação básica seja conduzida com participação da ANPD, da sociedade civil, da Academia e do próprio Inep, para além do Congresso Nacional, para que os direitos à educação e à proteção de dados de crianças e adolescentes sejam assegurados. Proteção de dados pessoais de crianças e adolescentes também é prioridade absoluta!
14 de abril de 2022
Coalizão Direitos na Rede
1 ALVIM, Mário S. et al. TED 8750 – Produto 01: Relatório sobre o panorama internacional e o contexto do Inep a respeito dos métodos de tratamento de controle de privacidade na divulgação estatística. 2020. Disponível em: https://download.inep.gov.br/microdados/TED_8750-UFMG.pdf.
