RESUMO
a) Tanto o Código de Defesa do Consumidor quanto a Lei Geral de Proteção de Dados proíbem a faculdade de compartilhar sem autorização específica – ou de obrigar alunos a compartilharem – seus dados pessoais com aplicações de terceiros para aulas online;
b) O simples compartilhar dados sem consentimento é considerado tratamento irregular de dados (LGPD) ou defeito no produto (CDC) e é considerado ilícito;
c) É possível considerar que o tratamento irregular de dados gere danos morais in re ipsa, ou seja, cuja prova é desnecessária.

Imagem de Gerd Altman

Com ordens municipais e estaduais que decretaram o fechamento e suspensão de várias atividades, o ensino ficou prejudicado. Sem poder abrir, as universidades precisavam ainda obedecer às regulamentações do MEC sobre quantidade mínima de aulas além de obedecer às previsões contratuais pactuadas com seus alunos.

No dia 17 de março, o MEC deu às instituições duas opções:

Art. 1º Autorizar, em caráter excepcional, a substituição das disciplinas presenciais, em andamento, por aulas que utilizem meios e tecnologias de informação e comunicação, nos limites estabelecidos pela legislação em vigor, por instituição de educação superior integrante do sistema federal de ensino, de que trata o art. 2º do Decreto nº 9.235, de 15 de dezembro de 2017.

Ou

Art. 2º Alternativamente à autorização de que trata o art. 1º, as instituições de educação superior poderão suspender as atividades acadêmicas presenciais pelo mesmo prazo.

Com alunos desesperados para se graduar, bem como com planejamentos já realizados, muitas faculdades começaram a buscar uma transição para o EaD de urgência – o que raramente produz bons frutos.

  1. Primeiro, porque mesmo no EaD ao vivo o professor grava o material com equipamento diferenciado. As câmeras, a conexão e a iluminação são preparados especificamente para gravações, bem como o ambiente virtual em que estas acontecem (complicação técnica).
  2. Segundo, pela carga de trabalho imposta aos professores que, muitas vezes além de não terem treinamento específico, ainda precisam controlar frequência e atenção de maneira diferida, o que aumenta a quantidade de horas para uma única aula (complicação trabalhista).
  3. E terceiro, e não menos importante, pela readequação do contrato firmado com o aluno (complicação consumerista).

Nestas três complicações apontadas, chamamos a atenção para um elemento em comum a todas elas: a terceirização de ambientes virtuais.

Com pouco tempo, algumas instituições contrataram serviços terceirizados para, mesmo que de maneira provisória, as aulas se mantivessem em uma tranquilidade. Há o Zoom, o Microsoft Teams, o Jitsi, o próprio Skype for Business no mercado, entre várias outras plataformas que permitem transformar vídeo-conferências em salas de aula virtuais – ou o mais próximo disto possível.

É importante lembrar que a relação instituição de ensino-aluno é uma relação consumerista. A educação é um serviço público (essencial), que, quando ofertada por particulares implica em conviverem normas de direito público e de direito privado. Enquanto o aluno não pode negociar valores de notas ou quantidade de presenças, em caso de defeito do serviço prestado, ele pode acionar a Justiça e buscar reparação.

Desta forma, em sendo uma relação consumerista, a responsabilidade da instituição é objetiva – inclusive quanto a contratos estabelecidos por esta com terceiros.

Para exemplificar: A instituição contrata uma empresa de manutenção, e o funcionário desta, durante seu trabalho, derrube uma lâmpada e provoque lesões corporais a um aluno, a instituição de ensino é responsável pelo dano, independentemente de ter culpa.

Da mesma forma, ocorre com ambientes virtuais contratados pela instituição – e é aqui que entra a Lei Geral de Proteção de Dados. Enquanto é possível discutir a questão do valor de mensalidades pela rebus sic standibus, como disse Tartuce neste excelente texto; podendo até pensar numa progressividade de descontos, como afirmado por Victor Minas, algumas coisas não estão disponíveis para que a instituição possa compensar.

Dados

Quando se fala em dados, estão em órbita atributos essenciais para as pessoas – desde suas informações pessoais (o que fazem delas recognoscíveis perante os outros), até seus pensamentos e expressões, sua intimidade e privacidade, bem como sua autodeterminação.

Falar sobre dados (bem como qualquer tema em direitos humanos) é complexo quando eles fazem parte das nossas relações interpessoais. A disponibilização do CPF em compras; as datas de aniversário em cadastros; os e-mails e números de telefone para acesso a serviços e produtos gratuitos.

Já há uma complicada questão evidenciada em relação ao fornecimento consentido destes dados, como mostra este trabalho da Dhiulia Santos. Muito se discute sobre o que seria consentimento quando Termos de Uso e Políticas de Privacidade estão escondidas, estendidas em textos de proporções bíblicas ou em termos técnicos quase intraduzíveis.

Aula estranha, em plataforma esquisita

Mas aqui a questão é outra: a instituição de ensino pode compartilhar os dados dos alunos com estas plataformas? Ou ainda: a instituição pode forçar o consentimento do aluno ao obrigá-lo a se cadastrar em uma plataforma de terceiros, não-prevista em contrato, para que este possa ter acesso ao serviço pactuado?

Não existe resposta definitiva. Até porque, como no texto mencionado do Tartuce, o COVID-19 trouxe uma situação que obriga a uma remodelação de vários aspectos da vida, inclusive os contratos.

Para a Lei Geral de Proteção de Dados, é necessário que haja uma autorização específica de compartilhamentos: ou seja, ao dar a autorização para que a Instituição de Ensino compartilhe os dados, o aluno deve estar ciente dos destinatários destes dados.

Se já estivesse vigente seria necessário que as instituições que utilizam plataformas de terceiros realizassem adendos contratuais em relação a todos alunos para que houvesse validade:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I – mediante o fornecimento de consentimento pelo titular;

§ 5º O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.

Mas

É necessário voltar aqui a um ponto: a responsabilidade objetiva da instituição de ensino. O que nos traz a seguinte pergunta: em uma transferência de dados não consentida – ou ainda em um vazamento de dados, o dano é presumido (in re ipsa) ou é necessário a comprovação de um dano ao usuário?

Mesmo que a LGPD ainda não esteja em vigência, é essencial olhar para o Código de Defesa do Consumidor, que apresenta-se como a lei-referência no momento. Em seu art. 12, afirma-se:

Art. 12. O fabricante, o produtor, o construtor, nacional ou estrangeiro, e o importador respondem, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos decorrentes de projeto, fabricação, construção, montagem, fórmulas, manipulação, apresentação ou acondicionamento de seus produtos, bem como por informações insuficientes ou inadequadas sobre sua utilização e riscos.

§ 1° O produto é defeituoso quando não oferece a segurança que dele legitimamente se espera, levando-se em consideração as circunstâncias relevantes

Tanto a LGPD quanto o CDC silenciam-se nessa questão. Porém, é possível defender que sim – há dano moral individual indenizável pela desobediência ao art. 12 do Código de Defesa do Consumidor ou do art. 7º, I da Lei Geral de Proteção de Dados.

Se a simples aquisição de um produto alimentício impróprio para consumo (produto defeituoso) enseja em indenização por danos morais – justificada pela quebra de confiança da relação econômica, colocando a saúde pública (e individual do consumidor lesado) em perigo, da mesma forma o compartilhamento de dados (sensíveis ou não) sem consentimento específico (tratamento irregular de dados) – já que estamos falando de direitos da personalidade.

Porque falar sobre dados?

Além da situação de ilicitude que muitas instituições se submetem, compartilhando (ou coagindo estudantes a compartilharem) dados com terceiros, há ainda riscos maiores no caso destes dados vazarem.

Algumas faculdades tem utilizado o Zoom – que está em investigação pelo Ministério da Justiça e Segurança Pública por possíveis brechas de segurança. No próprio termo de privacidade do marketplace do Zoom (necessário para integrar com ferramentas de utilização em sala de aula), há utilização de SDKs do Facebook, que captam dados sem autorização ou consentimento do usuário. Professores, mesmo que individualmente, já foram flagrados dando aulas por meio de lives do Instagram – aplicação que também usa o mesmo SDK, capturando dados de navegação do usuário e outras informações.

É necessário levar os dados de clientes – especialmente de alunos – à sério.