App ‘Minha Escola SP’ instalado em celulares sem autorização: o que se sabe e o que ainda falta saber


Aplicativo foi instalado sem consentimento nesta semana. Governo estadual admitiu que ‘falha ocorreu durante um teste promovido pela área técnica da Pasta’, mas não informou detalhes sobre o problema nem a quantidade de telefones afetados. Relatos de pais de alunos sobre app Minha Escola
Reprodução
Entre terça (8) e quarta-feira (9) desta semana, professores e estudantes de escolas estaduais de São Paulo relataram que um aplicativo do governo paulista apareceu em seus celulares sem consentimento. A Secretaria Estadual da Educação (Seduc-SP) confirmou que a instalação ocorreu por uma “falha” da área técnica da pasta e diz que instaurou um processo para apurar o problema.
Veja abaixo que informações já foram confirmadas e o que ainda precisa ser esclarecido:
Que aplicativo foi instalado?
De quem é o aplicativo?
Em quais aparelhos o aplicativo foi instalado?
Quando ocorreu a instalação em massa?
Por que essa instalação ocorreu?
Como a instalação em massa e sem consentimento foi possível?
O problema já foi resolvido?
O que disse o governador sobre o problema?
Esse problema já aconteceu antes?
A instalação em massa do aplicativo é ilegal?
O que diz a Autoridade Nacional de Proteção de Dados?
1- Que aplicativo foi instalado?
O aplicativo se chama “Minha Escola SP” e foi lançado em 2018 pelo governo estadual, quando Márcio França (PSB) era o governador. Ele serve para que estudantes e seus responsáveis acompanhem informações como as notas do boletim escolar e as faltas registradas.
Na tarde desta quinta (10), o app estava disponível para download na Play Store, em aparelhos que usam o sistema operacional Android, mas não na App Store, da Apple, em telefones que usam o iOS.
2- De quem é o aplicativo?
A Companhia de Processamento de Dados do Estado de São Paulo (Prodesp), empresa de tecnologia da informação do governo estadual, é quem aparece como “dona” do aplicativo na Play Store.
Ela confirmou à TV Globo que desenvolveu o aplicativo “em 2017, mediante encomenda e por meio de contrato de prestação de serviços de tecnologia da informação”. Mas a Prodesp disse que, “desde então, a gestão, manutenção e melhorias na ferramenta são de responsabilidade exclusiva da Secretaria da Educação do Estado de São Paulo”.
3- Em quais aparelhos o aplicativo foi instalado?
Professores, estudantes e pais de estudantes vinculados a escolas estaduais paulistas relataram ter visto o aplicativo aparecer em seus telefones. Há relatos de pessoas que afirmam não estudarem na rede ou que não usaram o telefone para acessar serviços da secretaria e que também viram o aplicativo instalado.
Na manhã de quarta-feira (9), a TV Globo perguntou à Seduc em quantos aparelhos o aplicativo foi instalado, mas até a noite da quinta (10) ainda não havia recebido resposta.
A rede estadual paulista é a maior do Brasil e tem 4 milhões de matrículas de estudantes, além de cerca de 215 mil docentes.
4- Quando ocorreu a instalação em massa?
Relatos sobre o aparecimento do aplicativo em telefones, sem que fossem instalados pelos usuários, começaram a surgir no fim da tarde de terça (8). A Seduc ainda não informou quando ocorreu a instalação.
5- Por que essa instalação ocorreu?
Em nota divulgada no fim da tarde de quarta (9), a Seduc-SP informou que “instaurou um processo administrativo para apurar todas as circunstâncias relativas à instalação involuntária do aplicativo Minha Escola”, e que “a falha ocorreu durante um teste promovido pela área técnica da Pasta em dispositivos específicos da Seduc”.
6- Como a instalação em massa e sem consentimento foi possível?
A Seduc mantém um convênio com a Google, gigante de tecnologia, e é cliente do Google Workspace for Education, uma plataforma educacional com ferramentas que podem ser usados por usuários da secretaria, como uma conta de e-mail Google, mas usando endereço de e-mail institucional da Seduc.
Em nota à TV Globo, a Google afirmou que “o Google Workspace for Education é uma plataforma utilizada por diversas instituições de ensino no Brasil e no mundo. Os gestores das instituições de ensino são os responsáveis pela administração, configuração, gestão e controle dos dados dos usuários e aparelhos cadastrados, de modo que o Google não exerce qualquer ingerência nos comandos escolhidos e implementados pelas instituições de ensino. Não participamos do desenvolvimento ou da instalação do aplicativo citado pela reportagem”.
Documentos públicos da Google sobre a plataforma explicam ao usuário que “o administrador pode definir políticas de segurança no seu dispositivo para deixá-lo mais seguro e proteger os dados. Ele também pode limpar dados de trabalho de dispositivos perdidos”.
No caso do Workspace for Education, o serviço inclui o que a Google chama de “gerenciamento avançado de dispositivos móveis”, com ainda mais poder de gerenciamento remoto. Neste caso, quando um usuário quer usar seu telefone para acessar essas ferramentas, é preciso baixar um aplicativo chamado Android Device Policy, onde constam os termos de uso e as permissões que o usuário, ao aceitar os termos, concede à instituição cliente da Google.
“Os usuários do Android não podem instalar o app manualmente. Eles precisam seguir as instruções na tela”, informa a empresa. “Durante a instalação, os usuários recebem uma solicitação para configurar um perfil de trabalho quando o dispositivo oferece suporte a esse recurso.”
Ainda segundo a Google, a definição das permissões fica por conta de cada instituição, mas o serviço inclui a opção de gerenciamento remoto de aplicativos, incluindo instalação e remoção, e a autoridade para apagar dados, também remotamente.
A Seduc ainda não divulgou publicamente o conteúdo dos termos de uso assinados no processo de criação da conta institucional.
7- O problema já foi resolvido?
Segundo a Seduc, “assim que identificou o equívoco que levou à instalação do app em dispositivos conectados às contas Google institucionais, a reversão foi acionada com o envio de solicitações para exclusão do aplicativo”. Além disso, a pasta informou que “o usuário também pode excluir o app por conta própria, se preferir”.
A Seduc diz que “lamenta o ocorrido e reforça que as medidas cabíveis estão sendo adotadas”.
Nesta quinta, professores e estudantes afirmaram que a instalação trouxe consequências para o funcionamento de seus telefones. Alguns relatos deram conta de que não é possível acessar outros aplicativos e plataformas da secretaria, por exemplo. Uma estudante disse que uma notificação sobre ações necessárias referente à sua conta Google institucional está fixada na aba de notificações e até agora não desapareceu, mas nada acontece ao clicar sobre ela.
Procurada para se posicionar sobre esses problemas, a secretaria informou, no fim da tarde da quinta, que “a sincronização das contas não está ligada diretamente ao aplicativo e já foi resolvida em conjunto com o Google, estando em fase de normalização”.
8- O que disse o governador sobre o problema?
Questionado pela produção do SP2 na tarde de quinta, durante agenda pública, o governador Tarcísio de Freitas (Republicanos) afirmou que não sabia exatamente o que houve.
“Me parece que uma adaptação que estavam fazendo no app, houve um disparo inadequado e acabaram instalando quando não devia. Não tenho mais informações, vamos ter que apurar e superar.”
AT TV Globo solicitou uma entrevista com o secretário Renato Feder desde terça, mas ele não havia se pronunciado até a última atualização desta reportagem.
9- Este problema já aconteceu antes?
Um problema semelhante ocorreu em novembro de 2022 na rede estadual do Paraná. Na época, Renato Feder, atual secretário em São Paulo, chefiava a pasta da Educação paranaense.
A instalação em massa também ocorreu por meio do serviço do Google Workspace for Education. Nesse caso, o aplicativo era da Alura, empresa de aprendizado em tecnologia que tem uma parceria com o governo paranaense no Programa EduTech.
A TV Globo procurou a assessoria de imprensa da Secretaria Estadual da Educação do Paraná (Seed) sobre a apuração da falha, mas não havia recebido resposta até a noite da quinta (10).
Na época, um comunicado interno da Secretaria de Educação do Paraná divulgado pela Associação de Professores do Paraná também afirmou que a instalação ocorreu devido a um erro.
“O app foi alocado em uma área errada no painel de admin do Google – o que causou a instalação massiva em celulares Android. A desinstalação deve ser feita de forma manual (o usuário desinstala) pois se for feita uma desinstalação massiva vamos prejudicar os professores e alunos que usam a plataforma Alura”, diz a nota. “Então quem não for usuário da plataforma pode desinstalar o app. Não houve comprometimento de dados e/ou de segurança.”
Em nota à TV Globo enviada na quarta (9), a Alura informou que “não teve envolvimento com a instalação do aplicativo da empresa nos celulares de professores e estudantes do Paraná, nem teve acesso aos dados dessas pessoas e que segue todas as regulamentações da Lei Geral de Proteção de Dados (LGPD)”.
Ainda segundo a empresa, “à época do ocorrido, a própria Secretaria de Estado da Educação e do Esporte do Paraná (SEED) informou que o aplicativo foi alocado em uma área errada no painel de administrador do Google Workspace, o que acabou instalando o app para todas as contas Google com o domínio ‘@escola.pr.gov.br’”.
10- A instalação em massa do aplicativo é ilegal?
Quatro especialistas ouvidos pela TV Globo e pelo g1 mostraram preocupação com os dados pessoais dos milhões de estudantes e professores. Eles ressaltam que a privacidade dessas informações está protegida pela Lei Geral de Proteção de Dados (LGPD), de 2018, e pelo Marco Civil da Internet, de 2014, e que o caso é ainda mais grave se envolver pessoas menores de idade, como a maioria dos estudantes da rede estadual.
Edivaldo Sartor, professor em cibersegurança, afirma que o consentimento pode ter sido dado pelos usuários durante os primeiros passos da criação da conta institucional do Google, mas não de forma explícita.
“O usuário pode ter aceitado esse termo. Agora, ficou claro para ele que esse termo possibilitaria inclusive a instalação de um software remoto? Creio que não. Então aí cabe a discussão realmente. Neste caso, a própria secretaria vai remover o app. Do mesmo modo que a solução permite a instalação, permite a remoção. Esse incidente deve gerar uma revisão dos termos e uso da plataforma, por parte dele junto aos usuários.”
Para Marina Atoji, diretora de programas da Transparência Brasil, “é um incidente grave de violação da Lei Geral de Proteção de Dados”.
“Que tipo de autorização que tem esse aplicativo, se ele pode, por exemplo, acessar a localização dessa pessoa, se ele tem autorização de ligar a câmera dessa pessoa? E também precisa ter uma política de proteção dos dados dessa pessoa”, afirmou ela.
José Antonio Milagre, advogado e membro da Comissão de Privacidade, Proteção de Dados e Inteligência Artificial da Ordem dos Advogados do Brasil em São Paulo (OAB-SP), diz que a secretaria “precisa conduzir a uma análise, uma auditoria e responder para a sociedade como se deu essa instalação, o número de pessoas e celulares envolvidos e quais são os dados pessoais que efetivamente foram compartilhados, usados”.
De acordo com ele, “se comprovado que efetivamente houve um tratamento irregular de dados pessoais, sem consentimento dos titulares, ou qualquer outra base legal, esse órgão público pode responder com algumas sanções previstas na Lei de Proteção de Dados”.
Já Ronaldo Lemos, advogado especialista em tecnologia e presidente da Comissão de Tecnologia e Inovação da OAB-SP, acrescenta que o episódio também é educativo para a sociedade.
“Esses erros são reveladores e até educativos. Isso lembra as pessoas que o celular que a gente carrega no bolso, o controle dele muitas vezes é feito de forma remota.
A empresa onde você trabalha, pode conseguir instalar o que quiser no seu celular, e pode conseguir remover o que quiser. A gente acha que quem controla o nosso celular é a gente, mas na verdade não, esse controle está na mão da empresa.
Agora, quer dizer que a empresa pode fazer o que ela quiser só porque ela tem o poder técnico? A resposta a essa pergunta é não. Ela tem que seguir a legislação do país, ela tem que seguir a Lei Geral de Proteção de Dados, ela tem que seguir o Marco Civil.”
11- O que diz a Autoridade Nacional de Proteção de Dados?
Procurada pela TV Globo, a Autoridade Nacional de Proteção de Dados (ANPD), órgão federal responsável por fiscalizar o cumprimento da Lei Geral de Proteção de Dados (LGPD), informou que “o compartilhamento de dados pessoais, desde que realizado de maneira informada, para fins lícitos e não discriminatórios e que possua correspondência com a finalidade para a qual os dados foram coletados, pode ser compatível com a LGPD. Devem ser observadas, ainda, as limitações impostas pela lei, tais como os requisitos para o tratamento dos dados pessoais”.
O órgão disse ainda que “nem todo o tratamento ou compartilhamento de dados pessoais precisa se fundamentar no consentimento do titular dos dados. A LGPD prevê outras hipóteses legais específicas e limitadas que podem justificar o tratamento de dados sem o consentimento do titular, desde que respeitados todos os seus direitos e os princípios previstos na LGPD”.
Falando “especificamente sobre o tratamento de dados pessoais realizado por meio do aplicativo ‘Minha Escola SP’, caberia a ANPD se posicionar a respeito após avaliação do caso em concreto, mediante a realização de um processo fiscalizatório. Até o momento, esta autoridade não recebeu nenhum requerimento (ou seja, nem petição titular, nem denúncia) sobre o assunto”.
A ANPD afirmou, ainda, que não houve denúncias ou processos fiscalizatórios em relação à instalação em massa do aplicativo da Alura nos telefones de professores e estudantes do Paraná e que o órgão pode ativamente instaurar um processo fiscalizatório, mesmo sem ser provocada. Disse também que qualquer cidadão pode enviar uma denúncia pela internet no site https://www.gov.br/anpd/pt-br/canais_atendimento/cidadao-titular-de-dados/denuncia-peticao-de-titular.

Adicionar aos favoritos o Link permanente.