Deliberação n.º 1495/2016 – Disponibilização de dados pessoais de alunos no sítio da Internet dos estabelecimentos de educação e ensino*

Consulte aqui documento original

I. Introdução

O desenvolvimento dos recursos tecnológicos e a sua aplicação crescente no contexto escolar vieram alterar profundamente o modelo de gestão das escolas, quer no plano da organização administrativa, quer no plano educativo e pedagógico, com evidente benefício para a comunicação no seio da comunidade escolar e entre esta e os restantes intervenientes do sistema educativo.

A utilização generalizada da Internet pelos estabelecimentos de ensino, com destaque para a criação de sítios (websites) próprios veio contribuir inevitavelmente para uma aproximação da escola à sociedade, através de uma maior exposição das suas atividades, bem como permitindo o contacto direto, célere, económico e eficiente de alunos, encarregados de educação e pessoal docente e não docente.

No entanto, a rápida adesão a estes meios tecnológicos não foi, em geral, acompanhada pelo estabelecimento de critérios rigorosos que enquadrassem a disponibilização de informação pessoal na Internet, de modo a acautelar a defesa dos direitos das crianças, designadamente o direito à proteção de dados pessoais e à privacidade.

Deste modo, há uma prática generalizada de disponibilização de dados pessoais nos sítios da Internet das escolas, em incumprimento de obrigações legais e com clara afetação dos direitos, liberdades e garantias dos titulares dos dados, em particular dos alunos Torna-se pois indispensável nesta conjuntura que a Comissão Nacional de Protecção de Dados (CNPD) emita orientações precisas às escolas sobre os limites legais para o tratamento de dados pessoais, na vertente da sua difusão através da Internet, bem como sobre os procedimentos que devem adotar com vista a aumentar a segurança da informação e a minimizar os riscos de utilização abusiva dos dados pessoais.

As diretrizes desta deliberação destinam-se às escolas públicas e privadas do 1.º, 2.º e 3.º ciclo do ensino básico e do ensino secundário, sendo igualmente destinatárias, nas matérias que lhes sejam aplicáveis, as escolas do ensino infantil e pré-escolar.

II. Os riscos da Internet e o interesse superior da criança

A disponibilização pelas escolas de dados pessoais dos seus alunos na Internet levanta desde logo séria apreensão por duas ordens de motivos: por um lado, pelos riscos que a Internet comporta para a privacidade dos alunos por ser uma rede aberta sem limites de tempo ou de espaço; por outro lado, pelo facto de os titulares dos dados serem crianças, logo merecedoras de proteção acrescida devido à sua vulnerabilidade.

Vejamos então, em primeiro lugar, as características do meio Internet. Tratando-se de uma rede aberta, é acessível por qualquer pessoa, em qualquer parte do mundo; permite a cópia da informação publicada e a sua reprodução infinita, perpetuando-a na rede sem possibilidade de apagamento definitivo e propiciando a utilização abusiva dessa informação para vários fins, inclusivamente com propósitos criminosos.

O contexto da Internet facilita a recolha, o cruzamento e a agregação de dados pessoais, como a realizada pelos motores de busca, sem controlo ou consentimento das pessoas, permitindo realizar perfis comportamentais, tanto mais completos quanto o rasto digital é maior – o que acontecerá com a publicação de informação desde criança -, os quais são suscetíveis de servir como meio de discriminação.

Tendo em consideração que os dados pessoais detidos pelas escolas, porque relativos à aprendizagem, ao comportamento, aos traços psicológicos, ao percurso escolar, ao agregado familiar, à situação socioeconómica familiar, às eventuais opções religiosas, à herança cultural e a eventuais questões de saúde, são dados da vida privada dos alunos e das suas famílias ou encarregados de educação, a sua exposição pública, parcial ou total, é altamente violadora da privacidade e tem um impacto muito significativo na vida atual e futura dos alunos.

Na verdade, esta informação permite a formação de juízos sobre qualidades das pessoas, que podem condicionar e afetar o desenvolvimento normal do processo de aprendizagem das crianças e a sua vida quando adultos.

Se os dados relativos a qualquer pessoa singular merecem proteção jurídica, garantida desde logo no plano constitucional, aquela deve ser especialmente reforçada quando em causa estão crianças^[1]Segundo os instrumentos internacionais mais relevantes, é considerada uma criança quem tiver idadeinferior a 18 anos, a menos que tenha adquirido a maioridade legal antes dessa idade (v. artigo … Continue reading e jovens.

O princípio jurídico essencial aqui é o do interesse superior da criança, consagrado na Convenção das Nações Unidas sobre os Direitos da Criança (artigo 3.º), na Convenção 192 do Conselho da Europa^[2] Convenção sobre as relações pessoais no que se refere às crianças, Conselho da Europa, n.º 192, de 15 de maio de 2003 (artigo 6.º) e na Carta dos Direitos Fundamentais da União Europeia (artigo 24.º, n.º 2).

O fundamento subjacente a este princípio é o de que a criança precisa de mais proteção dos que as restantes pessoas, por não ter ainda atingido a maturidade física e psicológica. Tem como objetivo reforçar o direito ao desenvolvimento da sua personalidade, devendo respeitar este princípio todas as entidades públicas e privadas que tomam decisões relativas a crianças^[3]Ver Parecer 2/2009 do Grupo de Trabalho do Artigo 29.º, de 11 de fevereiro de 2009 (WP 160), disponível em http://ec.europa.eu/justice/data-protection/article … Continue reading

A imaturidade das crianças, que existe em diferente grau consoante as diferentes idades e as características pessoais de cada uma, torna-as especialmente vulneráveis, o que deve ser compensado por proteção adequada. Esta proteção compete à família, à sociedade e ao Estado. Deste modo, estando em causa os dados pessoais de crianças, tal reclama uma especial atenção do Estado no sentido de acautelar que a informação àquelas respeitante não seja objeto de divulgação e utilização em seu prejuízo.

Assim, importa não esquecer que o artigo 8.º da Convenção Europeia dos Direitos do Homem, os artigos 7.º e 8.º da Carta dos Direitos Fundamentais da União Europeia e os artigos 26.º e 35.º da Constituição da República Portuguesa, interpretados à luz da Convenção sobre os Direitos das Crianças, máxime dos seus artigos 3.º e 16.º, criam uma especial obrigação ao Estado português de garantir a proteção reforçada dos dados pessoais das crianças e jovens, em especial relativos à vida privada, no contexto da utilização dos meios informáticos, impondo que as decisões dos organismos públicos tomem em conta primacialmente «o interesse superior da criança».

Acresce que o Regulamento Geral de Proteção de Dados (RGPD) veio expressamente reforçar a proteção dos dados pessoais das crianças, estabelecendo um regime jurídico mais exigente para os tratamentos que tenham por objeto os seus dados pessoais, em especial no ambiente da Internet. Na verdade, após 30 anos de vigência da Diretiva de Proteção de Dados, a perceção do impacto que a divulgação de dados pessoais na Internet pode ter na vida dos seus titulares é muito maior; donde, a preocupação, refletida ao longo do Regulamento – cf. os artigos 6.º, n.º 1, alínea f), 57.º, n.º 1, alínea b), e sobretudo o artigo 8.º (e ainda os considerandos 38 e 75) – na limitação da disponibilização da informação pessoal das crianças na Internet. Embora o Regulamento só seja aplicável a partir de 25 de maio de 2018, não pode deixar de ser considerado o novo quadro legal, como linha orientadora, pelos Estados Membros na regulação de concretos tratamentos de dados pessoais, no sentido de garantir uma efetiva proteção dos direitos fundamentais das crianças.

Por tudo isto, também no que à divulgação da informação no contexto escolar diz respeito, é imperioso tomar em conta o interesse superior das crianças. Pelo papel que as escolas desempenham na formação e no desenvolvimento individual dos seus alunos, enquanto espaço de aprendizagem, formação, pedagogia, crescimento, têm estas uma particular obrigação de, nos múltiplos aspetos da sua atividade, proteger ativamente os alunos e respeitar os seus direitos fundamentais.

III. Condições de legitimidade para a disponibilização de dados pessoais na Internet

Num universo de crescente governação eletrónica e de uso dos meios tecnológicos em várias vertentes da vida quotidiana dos cidadãos, reitera-se que é compreensível e desejável que as escolas, até pelo dinamismo que as caracteriza, recorram também à Internet como um meio expedito, atual, dinâmico e eficaz de divulgar informação e potenciar a comunicação.

Há todo um manancial de informação útil sobre a atividade escolar que é difundida nos sítios da Internet dos estabelecimentos de ensino e que não envolvem dados pessoais, isto é, não envolvem informação relativa a uma pessoa singular, identificada ou identificável^[4] Ver conceito de “dados pessoais” no artigo 3.º, alínea a), da Lei de Proteção de Dados Pessoais em https://www.cnpd.pt/bin/legis/nacional/LPD.pdf , pelo que não se encontra abrangida pela presenta deliberação.

Impende, no entanto, sobre as escolas o dever de publicidade de alguns atos administrativos, conforme previsto em disposição legal, a qual pode ou não determinar como é feita essa publicação.

Também o novo Código do Procedimento Administrativo (CPA), acompanhando o avanço tecnológico, veio consagrar um princípio de utilização preferencial de meios eletrónicos no desempenho da atividade administrativa (artigo 14.º, n.º 1). Por outro lado, em concretização do princípio da administração aberta – agora consagrado no artigo 17.º do mesmo Código – o artigo 159.º do CPA estatui que, sempre que a lei preveja o dever de publicação, ele se concretize também no sítio institucional da Internet da entidade em que se insere o órgão autor do ato administrativo sujeito a publicação, desde que a norma legal em causa não especifique a forma de publicação.

O n.º 4 do artigo 35.º da CRP proíbe o acesso a dados pessoais de terceiros, salvo em casos excecionais previstos na lei.

É pois neste enquadramento legal que têm de ser analisadas as várias possibilidades e apreciadas as condições de legitimidade para esta operação de tratamento de dados pessoais, que é a disponibilização dos dados na Internet, conforme disposto no artigo 3.º, alínea b). da Lei n.º 67/98, de 26 de outubro, alterada pela Lei n.º 103/2015, de 24 de agosto – Lei de Proteção de Dados Pessoais (LPDP).

Tal como acima referido e pelas razões já mencionadas, os dados pessoais dos alunos dizem respeito à sua vida privada, tendo consequentemente a natureza de dados sensíveis, de acordo com o artigo 7.º, n.º 1, da LPDP.

À luz da lei, os dados sensíveis gozam de uma proteção legal acrescida, na medida em que o seu tratamento está proibido, apenas se admitindo nas situações definidas nos n.ºs 2 a 4 do artigo 7.º da LPDP.

Constituindo a operação de disponibilização dos dados pessoais na Internet um tratamento de dados autónomo, o fundamento legitimador das operações de recolha destes dados e sua utilização não será, per se, suficiente para legitimar a sua posterior difusão em sítio da Internet.

Impõe-se, por isso, determinar se algumas das condições previstas no n.º 2 do artigo 7.º da LPDP (já que as previstas nos nºs 3 e 4 não se adequam à situação aqui considerada) se verificarão em tal tipo de tratamento de dados pessoais; portanto, cabe determinar se há disposição legal que preveja a disponibilização dos dados pessoais dos alunos na Internet, ou se se verificam um dos dois pressupostos suscetíveis de fundar a autorização da CNPD: prossecução de interesse público importante que torne essa operação indispensável para o cumprimento das atribuições legais ou estatutárias da escola, ou o consentimento expresso dos titulares dos dados.

Sendo os alunos titulares dos dados, na sua grande maioria, menores de idade, o consentimento para o tratamento dos seus dados deverá ser obtido junto dos seus encarregados de educação, aqui entendidos na aceção do n.º 4 do artigo 43.º da Lei n.º 51/2012, de 5 de setembro, que aprova o Estatuto do Aluno e Ética Escolar (doravante «Estatuto do Aluno»). Isto sem prejuízo da consulta devida aos próprios alunos, em função da sua idade e do seu grau de maturidade.

O consentimento deverá ser expresso, conforme exigência do n.º 2 do artigo 7.º da LPDP, e deve constituir uma manifestação de vontade, livre, especifica e informada, como decorre da alínea h) do artigo 3.º da LPDP.

Analisemos, então, as diferentes situações em que ocorre disponibilização de dados pessoais dos alunos nos sítios da Internet das escolas.

1. O dever de publicidade e a sua concretização

Apreciam-se, de seguida, duas situações comuns em que incumbe ao estabelecimento de ensino o dever de publicidade de certos atos, que envolvem a divulgação inerente de dados pessoais dos alunos: é o caso da afixação das pautas de classificações^[5] Cf. o artigo 24.º, n.º 5, do Despacho normativo n.º 1-F/2016, de 5 de abril, do Secretário de Estado da Educação e o caso da listagem dos alunos matriculados ou que requereram matrícula^[6] Cf. Artigo 14.º do Despacho normativo n.º 7-B/2015, de 7 de maio, do Secretário de Estado do Ensino e da Administração Escolar e do Secretário de Estado do Ensino Básico e Secundário.

Nestes exemplos, estão em causa normas que definem a forma de publicação. Embora estejamos perante normas regulamentares, nos dois casos são regulamentos que vêm executar leis (e também decretos-leis), desenvolvendo e especificando as regras naqueles estatuídas, pelo que podem reconduzir-se aquelas prescrições normativas às normas legais. Todavia, as normas em causa, ao definirem a forma de publicitação, não preveem a disponibilização dos dados pessoais dos alunos na Internet.

1.1. No caso das pautas de avaliação, existe regulamento administrativo, que impõe a afixação das pautas de avaliação, no final de cada período letivo, em local apropriado no interior da escola, sendo que destas pautas apenas deve constar a informação resultante da avaliação sumativa de cada aluno, por disciplina, bem como a data de afixação da pauta.

Salienta-se que a avaliação do aluno, no ensino básico, é ainda constituída por uma apreciação descritiva da evolução das aprendizagens, a qual deve ser apresentada ao encarregado de educação respetivo, de preferência presencialmente.

É evidente que é feita uma clara distinção entre a informação que deverá ser publicitada na escola, logo ao alcance do conhecimento de outros alunos, docentes e encarregados de educação, e aquela que é reservada ao encarregado de educação do aluno e o modo como deve esta ser transmitida, numa aplicação do princípio da proporcionalidade.

Ora, a fim de cumprir o objetivo de publicitar as classificações em pauta, a escola deve apenas identificar o aluno, o ano, a turma e a respetiva classificação por disciplina.

Não há qualquer necessidade de introduzir nessa pauta informações adicionais, tais como as faltas do aluno, a existência de eventual apoio social escolar ou outra informação que, existindo na ficha individual do aluno ou noutros registos, é excessiva para a finalidade de afixar as classificações.

Nesse sentido, as escolas devem elaborar as pautas apenas com os dados estritamente necessários para cumprir a obrigação legal de publicidade das classificações e abster-se de divulgar quaisquer outras informações pessoais.

Quanto à publicitação das pautas na Internet em página aberta e acessível a toda a gente, considera-se que contraria o despacho normativo, na medida em que alarga substancialmente o leque de destinatários, extravasando o fim pretendido. Além disso, atentas as possibilidades oferecidas pela Internet de reprodução e armazenamento da informação por tempo ilimitado, e o facto de as classificações constituírem informação sensível sobre as crianças, sujeita à produção de juízos estigmatizantes com elevado potencial discriminatório, que ficaria assim à mercê da utilização abusiva por terceiros não identificados, entende a CNPD constituir um risco para a privacidade do aluno a disponibilização das pautas de avaliação na Internet, não havendo base legal que fundamente essa difusão Entende, por isso, a CNPD que os estabelecimentos de educação e ensino não podem publicar pautas de avaliação de alunos em sítios da Internet de acesso livre. As pautas entretanto publicadas na Internet devem, pelas razões expostas e por força da alínea c) do n.º 1 do artigo 5.º da LPDP, ser retiradas da Internet, tendo o cuidado de forçar o apagamento dos dados em cache nos motores de busca.

Contudo, a disponibilização da avaliação de cada aluno ao seu encarregado de educação, em área reservada do sítio da Internet, sujeita a mecanismos rigorosos de autenticação de utilizadores devidamente autorizados, será de admitir, na medida em que condicionar o acesso aos dados de cada aluno apenas ao respetivo encarregado de educação.

Considera a CNPD que esta poderá ser uma opção viável, num contexto de utilização privilegiada dos meios eletrónicos, de facilidade de comunicação entre a escola e os encarregados de educação, de celeridade e eficiência, não havendo na prática um desvirtuamento do preceituado.

Não estando, porém, isenta de risco uma solução deste tipo, devem as escolas adotar as medidas de segurança técnicas necessárias e adequadas para garantir que apenas acedem às classificações de cada aluno o correspondente encarregado de educação.

Não se favorece, neste âmbito, uma hipótese de transpor as pautas físicas para pautas digitais, pois a facilidade de copiar ficheiros eletrónicos, manusear a informação neles contida e poder conservá-la ou utilizá-la posteriormente, quando estão em causa dados da totalidade dos alunos, mesmo que pertencentes apenas a uma turma, por outros encarregados de educação, afigura-se excessiva e sem cobertura legal.

Com efeito, o princípio da transparência e do controlo da atividade educativa, que estão subjacentes à afixação das pautas na escola, não são lesados na medida em que a informação continua publicamente acessível na escola, tal como legalmente previsto.

Assim como as pautas só estão afixadas no interior da escola por um curto período de tempo para permitir a sua consulta, também as notas disponibilizadas online numa área reservada devem seguir os mesmos critérios de necessidade para a conservação da informação, pelo que as classificações devem ser eliminadas do sítio com eficácia, isto é, não apenas “escondidas”, mas efetivamente apagadas, não podendo nunca exceder o prazo máximo do final do ano letivo em causa (cf. alínea e) do n.º 1 do artigo 5.º e alínea f) do n.º 1 do artigo 23.º da LPDP).

1.2. No caso da divulgação das listas de crianças e alunos que requereram ou a quem foi renovada a matrícula, há também uma imposição normativa de que estas listas sejam elaboradas e afixadas. Não obstante não estar especificado no despacho o local de afixação, afigura-se coerente a interpretação de que tal afixação tem lugar no local destinado para o efeito, que, por regra será no interior da escola, já que os interessados na informação são os membros da comunidade que compõem aquela escola ou aqueles que nela pretendem ingressar.

Também nesta situação, não há motivos para que estas listas divulguem mais informação do que a necessária para identificar as crianças (nome completo) e o estado da matrícula, nível de escolaridade e turma de colocação.

Quanto à sua divulgação no sítio da Internet das escolas, de acesso livre, considerase de igual modo não existir fundamento de legitimidade para o efeito, pois não existe previsão legal nesse sentido, não se mostrando aliás pertinente por expor desnecessariamente a identificação de crianças e o seu escalão etário, à escala mundial.

Todavia, admite-se que esta informação possa estar acessível em área reservada, em prol de uma comunicação mais eficaz, desde que respeitados os requisitos de segurança atrás enunciados, que implicam designadamente um controlo rigoroso de utilizadores registados e mecanismos fortes de autenticação. Numa interpretação em conformidade com o princípio vertido no n.º 1 do artigo 14.º do CPA, de preferência pela utilização de meios eletrónicos, considera-se haver ainda cobertura normativa para que as escolas equacionem vias suplementares de comunicação eletrónica, em benefício da relação entre a escola e os encarregados de educação.

1.3. Resta ainda referir, neste âmbito, a informação que esteja sujeita a publicação, sem que a disposição legal que a prevê determine a sua forma, pelo que, nos termos do artigo 159.º do CPA, terá de ser publicada no sítio da Internet da entidade em que se insere o órgão autor do ato administrativo a publicar.

Tal dever de publicação na Internet está, como decorre dos termos legais, limitado a atos administrativos, i.e., decisões administrativas com efeitos jurídicos externos numa situação individual e concreta (cf. artigo 148.º do CPA), e quanto a estes apenas se a lei não regular a forma ou formas de publicação.

No domínio da administração escolar, não estará afastada, em abstrato, a hipótese de decisões administrativas que têm por destinatário alunos estarem sujeitas a publicação, sem que a lei regule a forma de publicação. Corresponderia ao resultado da ponderação legislativa entre o princípio da transparência administrativa e os direitos dos interessados no procedimento administrativa. Todavia, a tutela do direito fundamental à proteção de dados pessoais, consagrado no artigo 35.º da Constituição da República Portuguesa, em especial lido à luz da Convenção sobre os Direitos das Crianças, justifica que se delimitem os termos em que a publicação se processe para diminuir o impacto daí decorrente sobre a vida dos alunos.

Desde logo, deve limitar-se o elenco dos dados pessoais tornados públicos por esta via, bem como o período de tempo durante o qual devem os mesmos ser disponibilizados na Internet, de acordo com o princípio da minimização dos dados pessoais que decorre da alínea c) do n.º 1 do artigo 5.º da LPDP, segundo o qual os dados pessoais objeto de tratamento devem restringir-se ao mínimo indispensável ou necessário à realização da finalidade prosseguida. De todo o modo, considerando a sensibilidade da informação pessoal relativa a crianças e o impacto que a sua publicação online pode ter no seu desenvolvimento pessoal, e a relevância restrita, na maioria dos casos, à comunidade escolar, entende a CNPD não haver interesse público que justifique um tal dever de publicação na Internet.

De resto, não estando em causa atos administrativos, ou regulando a lei (ou regulamento com base em lei) a forma de publicação dos atos administrativos, não valerá o disposto no artigo 159.º do CPA^[7]Nem o dever de divulgação (ativa) de informação administrativa na Internet, previsto no artigo 10.º danova Lei do Acesso aos Documentos Administrativos, aprovada pela Lei n.º 26/2016, de 22 de … Continue reading , não se afirmando por isso um dever legal de publicação da informação na Internet.

2. Disponibilização na Internet de outros dados pessoais (processo individual do aluno)

Há um vasto conjunto de informação pessoal dos alunos que é habitualmente difundida pelas escolas no sítio da Internet, e que constitui não só uma intrusão na privacidade das crianças como também um sério risco para a sua segurança.

Reconhece-se que nem sempre haverá consciência de que se está a divulgar dados pessoais quando, por vezes, a informação veiculada não tem o nome dos alunos. No entanto, a variedade de informação publicada permite relacioná-la entre si e associar a um aluno em concreto dados que lhe dizem respeito.

É disso exemplo, por um lado, a publicação de um quadro com a constituição das turmas, com a identificação do ano de escolaridade e da turma, o nome completo dos alunos, a sua idade, a opção pela disciplina de religião; por outro, a publicação dos horários das turmas; e ainda a organização das atividades curriculares.

Desta informação aparentemente inócua e separada, de acesso fácil e gratuito a qualquer pessoa em qualquer ponto do mundo, é possível desde logo saber qual o horário de uma determinada criança (logo, a que horas sai da escola e a sua provável localização); que idade tem e, em função do ano de escolaridade, se é repetente; se provém de um ambiente familiar religioso e, com base nas atividades extracurriculares, as suas áreas de preferência (físicas, científicas, artísticas, etc.). Digamos que esta é informação mais do que suficiente para que alguém, com intenção criminosa, possa criar perigo para uma criança. Por outro lado, é frequente verificar-se que, a propósito da constituição das turmas ou das pautas, são divulgados no sítio da Internet outros dados pessoais de grande sensibilidade e reveladores da vida privada dos alunos e das suas famílias, como sejam a existência de apoio social escolar, o tipo e número de faltas dadas por disciplina, informação de saúde associada à justificação de faltas, a situação de deficiência, entre outros.

Ora tal constitui uma violação grosseira dos direitos fundamentais aqui invocados, por não ser adequada nem necessária, a publicitação de informação pessoal desta natureza.

Mesmo no contexto de uma área reservada do sítio da Internet, não deverá ser disponibilizada a toda a comunidade escolar ou a outros encarregados de educação dados pessoais relativos à vida privada e familiar dos alunos. Isto inclui, nomeadamente, quaisquer dados relativos ao domicílio, ao percurso escolar, à situação socioeconómica, a medidas disciplinares, a referenciação pela Comissão de

Proteção de Crianças e Jovens.

Na verdade, o conhecimento dessa informação não visa qualquer finalidade legítima – a não ser a mera satisfação da curiosidade. Acresce que todos estes dados se integram no processo individual do aluno, sobre o qual recai um dever de confidencialidade, conforme disposto no artigo 11.º, n.º 7, do Estatuto do Aluno, e estabelecendo o n.º 4 do mesmo artigo quem a ele tem acesso.

Consequentemente, não há qualquer legitimidade para disponibilizar na Internet os dados pessoais referidos em regime de livre acesso.

Para salvaguarda dos direitos à reserva da vida privada e à proteção dos dados pessoais, consagrados nos artigos 26.º e 35.º da CRP, e de acordo com o princípio da proporcionalidade, só se admite a disponibilização dos dados pessoais relativos às turmas, horários, atividades extracurriculares na Internet, em área reservada de acesso credenciado para a comunidade escolar.

Ainda por força do princípio da necessidade, o tempo dessa disponibilização deve ser delimitado segundo o critério definido na alínea e) do n.º 1 do artigo 5.º da LPDP. Assim, ao abrigo da competência definida na alínea e) do n.º 1 do artigo 23.º da LPDP, a CNPD entende ser adequado e razoável em face da finalidade de comunicação e publicitação dos dados pessoais, que a informação relativa às turmas e às atividades curriculares e extracurriculares, seja conservada no sítio institucional da Internet da escola, em área reservada, até ao final do correspondente ano letivo.

3. Publicação de imagens dos alunos

Considere-se ainda um outro tipo de dados pessoais que algumas escolas tendem a divulgar na Internet: a imagem e, porventura, voz dos alunos em ambiente escolar (nas atividades curriculares ou extracurriculares).
Com efeito, cada vez mais as escolas publicam no sítio institucional do estabelecimento escolar ou em redes sociais, fotografias ou vídeos que implicam a exposição da imagem ou também voz dos alunos.

Além da evidente afetação dos direitos fundamentais à reserva da vida privada e à proteção dos dados pessoais das crianças visadas, porque se trata de uma operação que incide sobre informação relativa à vida privada de crianças ou jovens identificados uu identificáveis^[8]Cf. alíneas a) e b) do artigo 3.º da LPDP., está também aqui em causa o direito à imagem, consagrado no artigo 26.º da CRP e no artigo 79.º do Código Civil.

Esta prática suscita as maiores reservas. A informação em si mesma revela muito da identidade pessoal e do comportamento das crianças e jovens. Além disso, a imagem e a voz constituem atualmente importantes identificadores biométricos universais, já para não referir que os alunos podem estar desde logo identificados pelo nome em associação com a imagem ou a voz.

Acresce que a sua publicação na Internet, por iniciativa das escolas, cria um universo de oportunidade para reproduzir e adulterar os dados, fomentando a sua reutilização para outras finalidades que não são sequer à partida imagináveis. Perante este risco, inegável, e considerando o específico dever que sobre o Estado português recai, bem sobre todos aqueles que realizam tratamentos de dados pessoais de crianças, de salvaguardar o «interesse superior da criança», impõe-se uma cuidadosa ponderação dos direitos e valores em causa.

Vejamos. A informação pessoal aqui visada integra a categoria dos dados sensíveis, ao expor com particular intensidade, como se explicou, a vida privada das crianças e jovens. Assim sendo, o tratamento é proibido pelo n.º 1 do artigo 7.º da LPDP, apenas podendo relevar aqui as hipóteses previstas no n.º 2 do mesmo artigo.

Simplesmente, não existe lei a prever a divulgação na Internet pelas escolas de imagens ou voz dos respetivos alunos e não se alcança a indispensabilidade – sequer a necessidade – deste tratamento de dados pessoais para o cumprimento das atribuições legais ou estatutárias das escolas. Deste modo, sobra a hipótese de, com base no consentimento expresso, a CNPD autorizar este tratamento de dados pessoais. Note-se que, porque em causa estão dados sensíveis, não é relevante o mero interesse legítimo das escolas na promoção das atividades por elas desenvolvidas.

A hipótese de os alunos, através dos seus encarregados de educação, manifestarem a sua concordância da divulgação da sua imagem ou voz, ainda que a declaração seja informada, livre, específica e expressa (cf. alínea h) do artigo 3.º da LPDP) e sejam adotadas as medidas de segurança do artigo 15.º da LPDP, empeça na dificuldade de encontrar, neste âmbito, garantias de não discriminação – pressuposto que o n.º 2 do artigo 7.º da LPDP fixa como condição para a autorização da CNPD.

Neste contexto, importa considerar os argumentos vertidos no acórdão do Tribunal da Relação de Évora de 26 de junho de 2015^[9]Acórdão tirado no Processo n.º 789/13.TMSTB-BE1, consultável e anotado na Revista de Forum de Proteção de Dados, n.º 2, janeiro de 2016, pp. 126 e ss., in … Continue reading , que impôs aos pais o dever de abstenção de divulgação de fotografias ou informações que permitam identificar a filha nas redes sociais. Aí se considera que a imposição de um tal dever se mostra adequada e proporcional à salvaguarda do direito à reserva da intimidade da vida privada e da proteção dos dados pessoais e sobretudo da segurança da menor no ciberespaço, prevalecendo o superior interesse da criança sobre o princípio da não ingerência do Estado na vida privada dos cidadãos.

Este acórdão traduz um alerta para a necessidade de atualizar a harmonização da autonomia privada e dos direitos das crianças, no contexto de disponibilização de imagens na Internet, dele se devendo retirar, por um argumento de maioria de razão, para as escolas um dever de abstenção de disponibilização de imagens e som das crianças na Internet ainda que para o efeito exista consentimento dos pais ou encarregados de educação.

Em todo o caso, compreendendo o interesse subjacente à divulgação das atividades da escola, será admissível a divulgação de imagens que não permitam a identificação das crianças e jovens – caso em que não há dados pessoais, porque os seus titulares não são suscetíveis de identificação – e, desse modo também o direito à imagem fica afetado numa muito reduzida medida, o que permite reconhecer relevo jurídico ao consentimento.

Na verdade, neste caso será igualmente necessário o consentimento prévio dos encarregados de educação das crianças, nos termos do artigo 79.º, n.º 1, do Código Civil, porquanto a identificabilidade das imagens envolve alguma dose de subjetividade, podendo ocorrer que uma imagem que, na perspetiva de um terceiro não permite a identificação da criança, seja para os pais ou para aqueles que convivam mais de perto com ela facilmente identificável, sobretudo porque contextualizada numa específica escola.

Por outro lado, mesmo que as imagens não se destinem à divulgação na Internet, mas tenham uma utilização em circuito mais fechado ou fiquem apenas para arquivo ou exposição no espaço escolar, será sempre imprescindível obter o consentimento escrito do encarregado de educação, o qual deve ser previamente informado, de forma clara e transparente, sobre o contexto da captação, os fins e a utilização a ser dada às imagens.

A relevância de que a imagem se reveste, bem patente no ditado «uma imagem vale por mil palavras», desaconselha fortemente a possibilidade de autorizar a publicação em área reservada da Internet, apenas acessível à comunidade escolar mediante autenticação.

Com efeito, não é possível controlar a forma como cada um dos utilizadores pode vir a fazer uso das imagens, inclusivamente manipulando-as ou reproduzindo-as em redes sociais e divulgando informação não só sobre si ou sobre o seu educando, mas também sobre as restantes crianças, prática corrente nos dias de hoje.

Por tudo isso, e porque é essencial defender os direitos das crianças na perspetiva do seu superior interesse, as escolas devem reduzir a publicação de imagem e som dos alunos ao mínimo indispensável (e não o carregamento de verdadeiros álbuns fotográficos), privilegiando a captação de imagem de longe e de ângulos em que as crianças não sejam facilmente identificáveis.

IV. O sítio da Internet das escolas como Portal de acesso

Cada vez mais os estabelecimentos de ensino efetuam a gestão administrativa escolar por via de plataformas eletrónicas específicas, utilizando redes internas. Essa opção permite mitigar os principais riscos da utilização da Internet, mesmo quando usada em áreas reservadas. Todavia, nalguns casos é possível a alguns profissionais o acesso através de interfaces, que podem fragilizar a segurança global do sistema.

Noutros casos, existem plataformas de e-learning que visam promover a interação professor/alunos, nas quais também são disponibilizadas informações relativas aos alunos, que aí figuram devidamente identificados.

1. Acesso remoto dos docentes

Não obstante a generalidade das escolas dispor de uma rede interna que serve a gestão administrativa escolar, a verdade é que frequentemente se permite o acesso a tal sistema, ou a módulos deste, a partir do exterior pelos profissionais das escolas – em especial, os professores –, para o registo ou consulta de dados pessoais dos alunos (v.g., as classificações). Não sendo esta uma opção isenta de risco, porque implica a criação de pontos de acesso a partir da Internet, o que fragiliza a segurança da informação, compreende-se, ainda assim, esse caminho. Razões de eficiência e de melhor gestão do trabalho dos docentes nas condições atuais das escolas, numa ponderação dos interesses em causa, podem justificar esse acesso, desde que se adotem medidas que previnam ou mitiguem o impacto na privacidade dos alunos (e dos docentes) que daqui podem decorrer. Se assim for, essa poderá ser uma solução ajustada e proporcional.

Quando efetuados sobre redes públicas, os acessos dos docentes às plataformas de gestão educativa devem exigir autenticação do utilizador e as comunicações deverão ser devidamente cifradas (v.g., SSL/TLS).

Por se tratar de um ponto de acesso a informação reservada que se encontra particularmente exposta a utilizadores não autorizados, a componente de acesso a partir da Internet deve ser gerida com especial atenção em garantir a segurança da informação. Assim, devem ser implementados mecanismos que vedem aos utilizadores a possibilidade de criação de palavras-passe fracas (v.g., com poucas letras, sem algarismos ou em carateres especiais) e devem também ser definidos procedimentos para assegurar que os serviços responsáveis desenvolvem uma eficiente e pronta gestão das contas de utilizador, desabilitando utilizadores que já não se encontrem ligados àquela instituição ou àquelas funções.

Já a possibilidade de a gestão administrativa escolar ser realizada no ambiente da Internet em área reservada, mediante acreditação restrita aos profissionais da escola não será de admitir. É que a maior parte da informação relativa ao aluno reveste-se de especial sensibilidade, como sucede, entre outras, com o registo de avaliações, a informação de saúde, a justificação de faltas, as medidas disciplinares, a qualidade de beneficiário de apoio social, a necessidade de educação especial ou a referenciação pela Comissão de Proteção de Crianças e Jovens, disponibilizando, num ambiente que não oferece garantias suficientes de segurança, informação relativa à vida privada e familiar das crianças ao longo de um período de tempo consideravelmente extenso.

Com efeito, o impacto negativo que um acesso indevido a estes dados poderia trazer à vida dos alunos, aliado ao risco que a disponibilização de informação na Internet sempre comporta (v.g., ataques externos, perda de informação), e, atendendo a que as escolas utilizam hoje tecnologias de gestão administrativa escolar que não envolvem a utilização da Internet, afigura-se ser essa uma solução desnecessária e excessiva para atingir uma finalidade que pode ser cumprida com muito menor risco para a privacidade e identidade pessoal das crianças cf. alínea c) do n.º 1 do artigo 5.º da LPDP.

Em suma, aceita-se a possibilidade de os docentes acederem ao sistema de informação interno das escolas, através da Internet, desde que sejam utilizados mecanismos que assegurem a confidencialidade das comunicações (v.g., SSL/TLS) e seja adotada uma rigorosa política de gestão de utilizadores, com atribuição de perfis de acesso, que garanta que o acesso aos dados pessoais respeita o princípio da necessidade de conhecer, em razão das funções desempenhadas e das competências atribuídas.

2. Plataformas de e-learning

As plataformas eletrónicas de apoio ao ensino constituem uma forma cada vez mais comum de comunicação entre os docentes e os alunos. Estas plataformas permitem a divulgação de informações, conteúdos programáticos, classificações e fomentam também discussões entre alunos e professores em fóruns.

Por se tratarem de recursos que se pretendem acessíveis a partir de qualquer ponto, as plataformas de e-learning devem ser configuradas de forma a garantir que apenas os utilizadores devidamente associados aos conteúdos têm acesso a estes.

Dependendo dos conteúdos, pode ser necessário que o utilizador esteja associado àquela instituição de ensino ou que se encontre, mais especificamente, associado a uma determinada disciplina.

Assim, por exemplo, a avaliação dos alunos só poderá ser disponibilizada para acesso pelos alunos/encarregados de educação da turma (no limite, do ano em causa), já não por um qualquer terceiro.

Portanto, a publicação de informações a utilizadores não autenticados ou sem relação comprovada ao estabelecimento de ensino deve resumir-se àquela que sendo de caráter institucional, não diga respeito a nenhum indivíduo em particular.

V. Procedimentos principais a adotar pelas escolas

A fim de observar as diretrizes emitidas na presente deliberação, os estabelecimentos de educação e ensino devem elaborar uma política interna sobre as condições exigíveis para a disponibilização de dados pessoais nos respetivos sítios da Internet, com particular destaque para as áreas reservadas, bem como para a segregação da informação em função da finalidade.

De igual modo, devem as escolas desenvolver uma política robusta de segurança da informação, em conformidade com as exigências dos artigos 14.º e 15.º da LPDP, que contemple, designadamente: mecanismos fortes de autenticação; gestão de utilizadores e de atribuição de perfis de acesso, em consonância com o princípio da necessidade de conhecer e a renovação periódica da comunidade escolar; configuração das plataformas no respeito pelo mesmo princípio; a confidencialidade das transmissões de dados e o registo dos acessos (logs).

Os eventuais consentimentos que sejam obtidos dos encarregados de educação ou dos próprios jovens para a recolha de imagens devem passar a constar do processo individual do aluno.

As escolas devem, neste domínio, nortear sempre a sua atuação pelo respeito pelos princípios da proporcionalidade e da não discriminação, na perspetiva do interesse superior das crianças, avaliando a todo o tempo os riscos e o impacto que a disponibilização de dados pessoais na Internet pode ter na vida dos seus alunos.

Devem ainda os estabelecimentos de ensino, através do exemplo, sensibilizar toda acomunidade escolar para a necessidade de proteger os dados pessoais e respeitar a privacidade de todos e de cada um, em particular das crianças.

---

Aprovada na sessão plenária da Comissão Nacional de Protecção de Dados (CNPD), de 6 de setembro de 2016

*Ressalva-se que apenas se aprecia aqui a operação sobre dados pessoais em que se traduz a
disponibilização dos mesmos na Internet, para efeito do acesso aos mesmos pelo próprio ou por terceiros,
não sendo aqui objeto de análise o acesso aos dados pessoais dos alunos conservados pelas escolas