- Sites educacionais direcionados a crianças e adolescentes brasileiros, incluindo dois criados por secretarias estaduais de educação, monitoraram e coletaram seus dados pessoais.
- Esses sites não apenas monitoraram as crianças em suas salas de aula virtuais, mas também as acompanharam enquanto navegavam na Internet, fora do horário escolar, mergulhando profundamente em suas vidas privadas.
- O Brasil deveria exigir que empresas e governos parem com a vigilância de dados de crianças e adolescentes; deveria também estabelecer salvaguardas legais para proteger crianças e adolescentes online.
(São Paulo) – Sites educacionais direcionados a estudantes brasileiros, incluindo dois criados por secretarias estaduais de educação, vigiaram crianças e adolescentes e coletaram seus dados pessoais, disse hoje a Human Rights Watch. O Brasil deveria revisar a legislação de proteção de dados do Brasil para adicionar novas salvaguardas para proteger crianças e adolescentes online.
A investigação conduzida pela Human Rights Watch em novembro de 2022 e revisada em janeiro de 2023 descobriu que sete sites educacionais extraíram e enviaram dados de crianças e adolescentes para empresas terceirizadas, usando tecnologias de rastreamento projetadas para publicidade. Os sites são: Estude em Casa, Centro de Mídias da Educação de São Paulo, Descomplica, Escola Mais, Explicaê, MangaHigh e Stoodi. Um oitavo site, Revisa Enem, enviou os dados de crianças e adolescentes para uma empresa terceirizada, porém sem usar rastreadores específicos de anúncios.
Esses sites não apenas monitoraram os estudantes dentro de suas salas de aula virtuais, mas também os acompanharam enquanto navegavam pela Internet, fora do horário de aula, mergulhando profundamente em suas vidas privadas.
“Crianças e adolescentes, bem como suas famílias são mantidas no escuro sobre a vigilância de dados praticada em salas de aula online”, disse Hye Jung Han, pesquisadora de tecnologia e direitos da criança da Human Rights Watch. “Em vez de proteger crianças e adolescentes, governos estaduais permitiram deliberadamente que qualquer pessoa as vigiasse e coletasse suas informações pessoais online”.
Inicialmente, as secretarias de educação dos estados de Minas Gerais e de São Paulo autorizaram o uso desses sites durante a pandemia de Covid-19, e eles permanecem em uso até hoje. A Human Rights Watch relatou em maio de 2022, que no Brasil, esses e um outro site infringiram a privacidade de crianças. Após essa investigação, um site, o DragonLearn, foi retirado do ar.
A Human Rights Watch descobriu que cinco sites aplicaram técnicas de rastreamento particularmente intrusivas para vigiar estudantes de forma invisível e de maneiras impossíveis de se evitar ou se proteger.
Os guias de estudo e vídeos do Escola Mais foram endossados pela Secretaria Estadual de Educação de São Paulo para estudantes do ensino fundamental durante o fechamento das escolas devido à Covid-19. O website anuncia agora aulas presenciais orientadas pela tecnologia para estudantes do ensino fundamental e médio.
A Human Rights Watch descobriu o uso de gravação de sessão pelo Escola Mais, uma técnica que permite que terceiros assistam e registrem o comportamento de um usuário em uma página da web. Isso inclui cliques do mouse e movimentos em sites – o equivalente digital a câmeras de monitoramento registrando sempre que uma criança coça o nariz ou pega o lápis na sala de aula.
Tipicamente, um terceiro examina os dados coletados para definir um padrão de usuário, ou seja, qualificar sua personalidade, suas preferências e o que essa pessoa provavelmente fará a seguir. O Escola Mais não respondeu a quatro pedidos de esclarecimento encaminhados pela Human Rights Watch.
A Human Rights Watch também descobriu que, de 2021 a 2023, sites educacionais pertencentes e operados pelas próprias secretarias de educação de Minas Gerais e São Paulo enviaram dados pessoais de crianças e adolescentes para empresas de tecnologia de publicidade. Ambos os sites continuam sendo atualizados regularmente com videoaulas e materiais para estudantes.
Em resposta à investigação da Human Rights Watch, a Secretaria Estadual de Educação de Minas Gerais prontamente removeu todo o rastreamento de anúncios de seu site. Esse avanço positivo demonstra que é possível construir e oferecer serviços educacionais para crianças e adolescentes que não comprometam seus dados e sua privacidade.
A Secretaria Estadual de Educação de São Paulo continua endossando o uso de sete sites educacionais que coletam indevidamente dados pessoais de estudantes, inclusive sites desenvolvidos pela própria Secretaria. Esta Secretaria não respondeu a quatro pedidos de esclarecimento da Human Rights Watch.
A Human Rights Watch também descobriu que quatro desses sites rastreiam crianças e adolescentes com mais intensidade do que normalmente um adulto é rastreado ao navegar na Internet.
Com a exceção do site Revisa Enem, todos os outros examinados pela Human Rights Watch coletaram grandes quantidades de dados de crianças e adolescentes e os enviaram para empresas especializadas em publicidade comportamental, o que envolve a análise dos dados dos estudantes para prever o que eles podem fazer em seguida ou como eles podem ser influenciados. Os anunciantes podem usar essas informações para direcionar conteúdo personalizado e anúncios para crianças e adolescentes que as seguirão pela Internet.
A criação de perfis, o direcionamento e a publicidade para crianças e adolescentes nestes moldes violam de forma inadmissível sua privacidade, pois não são ações proporcionais ou necessárias para que esses sites funcionem ou forneçam conteúdo educacional. Estas ações também podem violar outros direitos de crianças e adolescentes se essas informações forem usadas para orientá-las em direção a consequências prejudiciais ou contrárias aos seus interesses. Essas práticas também desempenham um papel significativo na formação das experiências online de crianças e adolescentes e na determinação das informações que eles acessam, em um momento de suas vidas em que suas opiniões e crenças correm alto risco de interferência manipuladora.
Os estudantes não tinham como se opor a essa vigilância de forma significativa durante o fechamento das escolas devido à pandemia da Covid-19. Como esses sites foram temporariamente oferecidos gratuitamente e amplamente divulgados às escolas pelo governo, muitas adotaram seu uso. Era impossível para muitas crianças optarem pelo não rastreamento sem abrir mão do aprendizado formal como um todo.
Nem a Secretaria Estadual de Educação de Minas Gerais nem a de São Paulo parecem ter verificado se os sites que estavam endossando eram seguros para uso infantil. Mesmo com a reabertura das escolas, a divulgação desses sites pelos governos estaduais durante a pandemia abriu caminho para seu uso contínuo por estudantes e escolas.
Continua a ser negado às crianças e aos adolescentes o conhecimento para desafiar ou proteger-se contra essas invasões à sua privacidade: nem as autoridades estatais nem as empresas divulgaram plenamente as suas práticas de rastreamento, que permanecem invisíveis para usuários.
A Autoridade Nacional de Proteção de Dados (ANPD) deveria impedir esses ataques à privacidade de crianças e adolescentes. Deveria exigir que essas empresas e governos estaduais excluam os dados de estudantes que foram coletados desde a pandemia e impedir que continuem usando esses dados para qualquer finalidade não relacionada à oferta de educação.
A Constituição Federal protege o direito à privacidade. O Brasil também ratificou a Convenção das Nações Unidas sobre os Direitos da Criança, que confere às crianças e adolescentes proteções especiais que resguardam sua privacidade.
Embora a decisão do governo do estado de Miras Gerais de remover toda a vigilância de dados de seu site educacional seja positiva, a proteção da privacidade das crianças brasileiras não deveria variar de estado a estado; os estudantes tampouco podem depender da boa vontade de empresas e governos. A Lei Geral de Proteção de Dados Pessoais não oferece proteção suficiente para crianças e adolescentes. Ela não proíbe explicitamente que atores explorem informações de crianças e adolescentes ou exige que forneçam alto nível de segurança e proteção.
Os legisladores deveriam promover adequações na lei para estabelecer regras abrangentes de proteção de dados infantis, incluindo a proibição de publicidade comportamental e o uso de técnicas de rastreamento intrusivas para crianças e adolescentes. Essas regras também deveriam exigir que todos os atores que ofereçam serviços online para crianças e adolescentes – incluindo aprendizado virtual – forneçam os mais altos níveis de proteção de dados e de privacidade às crianças e adolescentes.
“Crianças e adolescentes não deveriam ser coagidos a abrir mão de sua privacidade para aprender”, disse Han. “O Brasil deveria adotar urgentemente salvaguardas de proteção de dados para impedir a vigilância de crianças e adolescentes online”.
Para obter detalhes adicionais sobre cada site educacional, consulte abaixo.
Metodologia
Parte significativa da tomada de decisões educacionais no Brasil é responsabilidade dos governos estaduais. Durante o fechamento das escolas devido à pandemia da Covid-19, isso incluiu decisões sobre quais produtos de aprendizado online endossar ou adquirir para uso escolar. A Human Rights Watch selecionou os dois estados mais populosos — São Paulo e Minas Gerais — e realizou análises técnicas dos nove produtos de Edtech que eles endossaram usando uma versão personalizada do Blacklight, um inspetor de privacidade de sites em tempo real criado por Surya Mattu, engenheiro de dados sênior e atual jornalista investigativo de dados na The Markup.
Não é possível para a Human Rights Watch determinar definitivamente a intenção de uma tecnologia de rastreamento ou como os dados coletados são usados, além de relatar o que pode ser determinado a partir dos dados e das próprias declarações das empresas e dos governos. Por exemplo, um produto pode incluir código de computador de terceiros que coleta dados que podem ser úteis para monitorar o desempenho do produto. Esses dados também podem ser usados com outro código de terceiros para fins publicitários.
Para reduzir a ambiguidade, a Human Rights Watch revisou as empresas que receberam os dados de crianças e adolescentes e as empresas proprietárias das tecnologias de rastreamento encontradas em um produto de aprendizagem online.
A investigação publicada em maio de 2022 da Human Rights Watch sobre os produtos de aprendizagem online endossados por 49 países e sua metodologia completa podem ser encontradas em sua versão resumida em português aqui, ou sua versão completa em inglês aqui. Todos os resultados e análises técnicas dessa investigação podem ser encontrados em inglês aqui.
A Human Rights Watch compartilhou suas descobertas e evidências técnicas com as empresas e as duas secretarias estaduais de educação, e deu a elas várias oportunidades de resposta. A Human Rights Watch ofereceu às secretarias de educação uma última oportunidade de resposta em março de 2023, antes da publicação. Todas as respostas são descritas abaixo.
Quando contatado para comentar, o Google não reconheceu que recebeu dados desses sites e não respondeu se eles usaram esses dados para fins de publicidade. As políticas de publicidade do Google proíbem o direcionamento de publicidade comportamental para crianças menores de 13 anos.
Estude em Casa
Estude em Casa é um site desenvolvido pela Secretaria Estadual de Educação de Minas Gerais para oferecer ensino gratuito a estudantes durante o fechamento das escolas pela Covid-19 e continua sendo atualizado regularmente com videoaulas e materiais. A Secretaria de Educação disse que foi desenvolvido para ajudar crianças e adolescentes a “aprender com segurança em casa neste período de isolamento social”.
Em maio de 2022, a Human Rights Watch informou que o Estude em Casa enviava os dados de seus usuários para uma empresa terceirizada e sua divisão de publicidade. Isso ocorria pelo uso de quatro rastreadores de anúncios, três cookies de terceiros e a ferramenta de “públicos de remarketing” do Google Analytics, permitindo que o site potencialmente direcionasse anúncios aos usuários enquanto navegavam na Internet.
Quando contatada para comentar em abril de 2022, a Secretaria de Educação afirmou que “o Estude em Casa não coleta dados para fins publicitários ou qualquer fim comercial”, e que “não utiliza nem coleta dados dos estudantes, pois não requer qualquer tipo de login para acessar a plataforma”, mas reconheceu utilizar o Google Analytics “para acompanhamento e fins de monitoramento”.
Em novembro de 2022 e novamente em janeiro de 2023, a Human Rights Watch descobriu que o Estude em Casa continuou a enviar dados de usuários para a mesma empresa terceirizada e sua divisão de publicidade, por meio de três rastreadores de anúncios, três cookies de terceiros e a ferramenta de “públicos de remarketing” do Google Analytics.
Após a comunicação da Human Rights Watch, a Secretaria de Educação prontamente removeu todo o rastreamento de anúncios do Estude em Casa em 24 de março de 2023.
Centro de Mídias da Educação de São Paulo
Centro de Mídias da Educação de São Paulo é um site e aplicativo desenvolvido e utilizado pela Secretaria Estadual de Educação de São Paulo para oferecer aulas gratuitas durante o fechamento das escolas devido à Covid-19, e continua sendo atualizado regularmente com videoaulas e materiais.
Em maio e novembro de 2022 e novamente em janeiro de 2023, a Human Rights Watch descobriu que o site enviava dados dos usuários para duas empresas terceirizadas por meio de quatro rastreadores de anúncios, incluindo um script de rastreamento que poderia permitir a publicidade.
A Secretaria Estadual de Educação de São Paulo não respondeu a quatro pedidos de esclarecimento, os últimos enviados à nova administração em janeiro e março deste ano, tampouco respondeu à oferta da Human Rights Watch, em março de 2023, de discutir essas descobertas antes da publicação.
Descomplica
Descomplica é um site e aplicativo desenvolvido pela empresa brasileira Descomplica Cursos Livres Via Web, destinado a estudantes do ENEM e vestibulares de universidades brasileiras. A Descomplica afirma ser a maior plataforma de ensino online do país e autorizada pelo Ministério da Educação.
Em 26 de março de 2020, a Secretaria Estadual de Educação de São Paulo endossou seu uso para estudantes do ensino médio que se preparavam para o ENEM durante o fechamento das escolas devido à Covid-19. O uso foi gratuito até dezembro de 2020.
Em maio de 2022, a Human Rights Watch informou que o site Descomplica enviou dados de seus usuários para 20 empresas. Isso ocorria pelo uso de 30 rastreadores de anúncios e 19 cookies de terceiros que rastreiam usuários na Internet. A maioria dessas empresas se especializou em usar esse tipo de informação para direcionar publicidade comportamental às pessoas enquanto navegam na internet.
Estudantes que usam o Descomplica foram rastreados com mais intensidade do que um adulto médio navegando em um site. Em comparação, o The Markup descobriu que os 80.000 sites mais populares do mundo – uma lista que inclui gigantes globais do comércio eletrônico que implantam publicidade extensiva – usam uma média de três cookies de terceiros e sete rastreadores de anúncios.
O site Descomplica também usou a gravação da sessão para registrar o que os usuários fizeram em seu site, incluindo cliques e movimentos na página, e enviou a gravação para uma empresa terceirizada. Além disso, usou Facebook Pixel e os “públicos de remarketing” do Google Analytics, duas ferramentas que permitiram potencialmente direcionar anúncios aos usuários enquanto navegavam na Internet.
Em novembro de 2022 e novamente em janeiro de 2023, a Human Rights Watch descobriu que o site Descomplica enviou dados de usuários para 26 empresas, usando 37 rastreadores de anúncios e 39 cookies de terceiros. Continua a usar a gravação de sessões, o Facebook Pixel e a ferramenta de “públicos de remarketing” do Google Analytics.
A Descomplica não respondeu a quatro pedidos de esclarecimento pela Human Rights Watch.
DragonLearn
DragonLearn era um site construído por uma empresa brasileira de mesmo nome. Em 26 de março de 2020, a Secretaria Estadual de Educação de São Paulo endossou seu uso para estudantes do ensino fundamental durante o fechamento das escolas devido à Covid-19, e o uso do site foi gratuito até dezembro de 2020.
Em maio de 2022, a Human Rights Watch informou que o site DragonLearn enviou dados de seus usuários para seis empresas. Isso foi feito usando oito rastreadores de anúncios e três cookies de terceiros que rastreiam usuários na Internet. O site DragonLearn também usou a gravação de sessões para registrar o que os usuários fizeram em seu site, incluindo cliques e movimentos na página, e enviou a gravação para uma empresa terceirizada. Ademais usou o Facebook Pixel e os “públicos de remarketing” do Google Analytics, duas ferramentas que permitiram potencialmente direcionar aos usuários anúncios enquanto navegavam na Internet.
O site DragonLearn foi retirado da internet após a investigação de maio da Human Rights Watch e subsequentes reportagens da imprensa.
A DragonLearn não respondeu a três pedidos de esclarecimentos da Human Rights Watch.
Escola Mais
Escola Mais é um site desenvolvido por uma empresa brasileira de mesmo nome, que oferta aulas presenciais para estudantes do ensino fundamental e médio. Em 26 de março de 2020, a Secretaria Estadual de Educação de São Paulo endossou o uso dos guias de estudo e vídeos da Escola Mais para estudantes do ensino fundamental durante o fechamento das escolas devido à Covid-19, e o site foi gratuito até janeiro de 2021.
Em maio de 2022, a Human Rights Watch informou que o site Escola Mais enviou dados de seus usuários para seis empresas. Isso foi feito por meio do uso de 11 rastreadores de anúncios e 6 cookies de terceiros que rastreiam usuários na Internet. O site também enviava dados dos usuários por meio do Facebook Pixel e dos “públicos de remarketing” do Google Analytics, duas ferramentas que permitiam potencialmente direcionar anúncios aos usuários enquanto navegam na Internet.
Em novembro de 2022 e novamente em janeiro de 2023, a Human Rights Watch descobriu que o site Escola Mais havia enviado dados de seus usuários para 37 empresas, usando 34 rastreadores de anúncios e 53 cookies de terceiros. O site Escola Mais continuou a usar o Facebook Pixel e os “públicos de remarketing” do Google Analytics.
A Human Rights Watch também descobriu que o site Escola Mais começou a usar a gravação de sessões, uma técnica que permite que terceiros assistam e registrem o comportamento de um usuário em uma página da web. A Escola Mais também começou a usar o keylogging, um procedimento invasivo que captura sorrateiramente informações pessoais que as pessoas inserem em formulários, como nomes, números de telefone e senhas, antes de clicar em enviar. As empresas têm usado essa técnica para muitos propósitos, incluindo a identificação de usuários anônimos da web, comparando-os com endereços postais e nomes reais, antes que eles possam consentir.
A Escola Mais não respondeu a quatro pedidos de esclarecimento da Human Rights Watch.
Explicaê
Explicaê é um site construído pela empresa brasileira Explicaê Conteúdo e Educação Digital. Em 26 de março de 2020, a Secretaria Estadual de Educação de São Paulo endossou seu uso para estudantes do ensino médio que se preparavam para o ENEM e vestibulares no Brasil durante o fechamento das escolas devido à Covid-19, e seu uso foi gratuito até janeiro de 2021.
Em maio de 2022, a Human Rights Watch informou que o site Explicaê havia enviado dados de seus usuários para cinco empresas. Isso foi feito por meio do uso de sete rastreadores de anúncios e um cookie de terceiros que rastreia usuários na Internet. O site também enviava dados de usuários por meio do Facebook Pixel e dos “públicos de remarketing” do Google Analytics, duas ferramentas que permitiam potencialmente direcionar anúncios aos usuários enquanto navegavam na Internet.
Em novembro de 2022 e novamente em janeiro de 2023, a Human Rights Watch descobriu que o site Explicaê havia enviado dados de seus usuários para 9 empresas, usando 12 rastreadores de anúncios e 10 cookies de terceiros. O site Explicaê também continuou a usar o Facebook Pixel e os “públicos de remarketing” do Google Analytics.
A Explicaê não respondeu a quatro pedidos de esclarecimento da Human Rights Watch.
MangaHigh
MangaHigh é um site criado pela empresa britânica Blue Duck Education Limited e oferece jogos educativos de matemática para estudantes do ensino fundamental e médio. Em 26 de março de 2020, a Secretaria Estadual de Educação de São Paulo endossou seu uso para estudantes do ensino fundamental durante o fechamento das escolas devido à Covid-19, e seu uso foi gratuito até dezembro de 2021.
Em maio de 2022, a Human Rights Watch informou que o site MangaHigh havia enviado dados de seus usuários para 4 empresas, usando 11 rastreadores de anúncios. O site também enviava dados dos usuários por meio do Facebook Pixel e dos “públicos de remarketing” do Google Analytics, duas ferramentas que permitiam potencialmente direcionar anúncios aos usuários enquanto navegavam na Internet. O site MangaHigh também usou a gravação de sessões para registrar o que os usuários fizeram neste site, incluindo cliques e movimentos do mouse pela página, e enviou a gravação para uma empresa terceirizada. Além disso, usou o registro de teclas para capturar o texto digitado pelos usuários antes de enviarem.
Em novembro de 2022 e novamente em janeiro de 2023, a Human Rights Watch descobriu que o site MangaHigh envio dados de seus usuários para três empresas, usando quatro rastreadores de anúncios e um cookie de terceiros. O site não usava mais a gravação de sessão ou o pixel do Facebook, mas continuou a usar o registro de chaves e os “públicos de remarketing” do Google Analytics.
Quando contatada em dezembro de 2022, a Blue Duck Education Limited solicitou detalhes da nova análise técnica. A Human Rights Watch forneceu uma cópia completa das evidências e resultados. A Blue Duck Education Limited não respondeu.
Revisa Enem
Revisa Enem é um site desenvolvido por uma empresa brasileira de mesmo nome. Em 26 de março de 2020, a Secretaria Estadual de Educação de São Paulo endossou seu uso durante o fechamento das escolas devido à Covid-19 para estudantes do ensino médio que se preparavam para o ENEM e vestibulares no Brasil, e seu uso foi gratuito até dezembro de 2021.
Em maio de 2022, a Human Rights Watch descobriu que o site Revisa Enem enviou dados de seus usuários para uma empresa terceirizada, usando um rastreador de anúncios.
Em novembro de 2022 e novamente em janeiro de 2023, a Human Rights Watch descobriu que o site Revisa Enem enviou dados de seus usuários para uma empresa terceirizada, usando dois rastreadores de anúncios.
A Revisa Enem não respondeu a vários pedidos de esclarecimento da Human Rights Watch.
Stoodi
Stoodi é um site desenvolvido por uma empresa brasileira de mesmo nome. Em 26 de março de 2020, a Secretaria Estadual de Educação de São Paulo endossou seu uso durante o fechamento das escolas devido à Covid-19 para estudantes do ensino médio que se preparam para o ENEM e vestibulares no Brasil, e seu uso foi gratuito até fevereiro de 2021.
Em maio de 2022, a Human Rights Watch descobriu que o site Stoodi enviava dados de seus usuários para 18 empresas, usando 24 rastreadores de anúncios e 21 cookies de terceiros que rastreiam usuários na Internet. O site também enviava dados dos usuários por meio do Facebook Pixel e dos “públicos de remarketing” do Google Analytics, duas ferramentas que permitiam potencialmente direcionar anúncios a usuários enquanto navegavam na Internet.
O site Stoodi também foi detectado usando gravação de sessões para registrar o que os usuários fizeram neste site, incluindo cliques e movimentos pela página, e enviou gravações para uma empresa de publicidade, a Ve Global. Além disso, foi usado registro de teclas para capturar o texto digitado pelos usuários antes de enviarem.
Quando contatado em março de 2022, a Ve Global reconheceu que a Stoodi era um ex-cliente e confirmou que o site Stoodi ainda estava usando as tags de rastreamento da Ve Global. Ve Global confirmou que posteriormente desativou e tornou a tag inutilizável, impossibilitando a Stoodi de continuar enviando dados do usuário para a Ve Global.
Em novembro de 2022 e novamente em janeiro de 2023, a Human Rights Watch descobriu que o site Stoodi enviou dados de usuários para 16 empresas, usando 20 rastreadores de anúncios e 19 cookies de terceiros. O site Stoodi continuou a usar o Facebook Pixel, os “públicos de remarketing” do Google Analytics, a gravação de sessões e o registro de chaves.
Quando contatada em dezembro de 2022, a Stoodi reconheceu as conclusões da Human Rights Watch e disse que suas práticas de dados eram para melhorar a experiência do usuário e para “a Stoodi anunciar aos clientes em potencial e permitir ações comerciais de CRM [gerenciamento de relacionamento com o cliente]”. A Stoodi disse que seus usuários tinham 16 anos ou mais, que não vendia dados pessoais a terceiros e que não mantinha contrato ativo com instituição pública de ensino desde 2021.
A pedido da Stoodi, a Human Rights Watch forneceu uma cópia completa de suas evidências técnicas e resultados. A Stoodi não respondeu.
Atualização (Abril 04, 2023): Após a publicação, em 3 de abril de 2023, a Escola Mais tomou medidas para proteger seus estudantes da vigilância de dados dirigida a adultos. Para mais informações, por favor acesse aqui.