Nos últimos dias, temos assistido à vandalização das “salas de aula virtuais”. Tal é, de facto, um crime que deve ser ativa e severamente punido.

Este vandalismo vem facilitado porque a infraestrutura de identidades digitais dentro da escola é algo que, por vezes, não existe. Um aluno, para entrar na escola física, precisa de se inscrever, os pais precisam de assinar diversas autorizações, é-lhe emitido um cartão impresso pela própria escola que indica o seu nome, contém a sua fotografia e que deve ter na sua posse para poder entrar e sair da escola. Esta foi uma medida implementada pelo Simplex em 2007. Há 13 anos!

Pelo contrário, para se entrar nalgumas “aulas-virtuais” são apenas necessários, no caso particular de alguns fabricantes de software, um ID e uma palavra-passe – comum e partilhada entre todos os alunos. É o equivalente a saber a morada da escola e uma palavra-passe para se dizer ao funcionário que está ao portão que somos alunos daquela escola. Se, na vida real, o processo de segurança da entrada na escola fosse similar, um qualquer cidadão que soubesse onde é a Escola (!) e de alguma forma obtivesse a palavra-passe poderia entrar por ali adentro, porque o funcionário do portão não tem outra forma de verificar quem ele é. Claro que, na vida real, ver um senhor de 30 anos entrar por uma EB23 adentro levantaria imediatamente suspeitas! É seguramente demasiado novo para ser professor, diriam!

A escola não pode ser a Gruta do Ali Babá e dos Quarenta ladrões, em que saber onde é a gruta e a palavra-passe “Abre-te Sésamo” são suficientes para entrar. As salas-de-aula virtuais também não. A gestão de identidades digitais de alunos e professores é algo absolutamente fundamental para a existência digital de uma escola. Mas tal é algo que já deveria estar feito há muito tempo e deveria ser obrigatório em todas as escolas, tal como o pretende ser o cartão de aluno eletrónico desde 2007. Este devia ter sido o primeiro passo.

PUB • CONTINUE A LER A SEGUIR

Uma parte das escolas já disponibiliza aos alunos e professores credenciais digitais adequadas que identificam o utilizador sempre que este acede a recursos digitais disponibilizados pela escola, num ambiente seguro. Tal é uma medida de segurança ativa para professores, alunos, encarregados de educação e restantes colaboradores. A Comissão Nacional de Proteção de Dados já avisava para esta necessidade em 2014, em Webinar na DGE.

A identidade digital dentro da escola vai muito para lá do simples e-mail. Pode também passar por sistema de apoio à aprendizagem, integração com cartão de estudante, etc. Tal como numa empresa, numa escola o acesso a um conjunto de recursos deverá estar condicionado por essa identidade digital, gerida pela escola. A existência desta identidade digital gerida e administrada pela escola, tal como o cartão de aluno, permitiria prevenir uma parte significativa dos problemas que, entretanto, surgiram.

Há, contudo, outro enorme problema de confusão entre contas pessoais e contas profissionais. Geralmente, quando não há uma solução proposta pela escola, há uma tendência a usar emails pessoais. Há professores e alunos a usar contas pessoais de email para criar soluções de ensino à distância porque simplesmente a sua entidade patronal/ escola não resolve o problema. Seria como um bancário guardar em sua casa o dinheiro dos clientes, porque o banco não lhe fornece um cofre para a sua agência bancária. Que acontece ao bancário se a sua casa for assaltada? O bancário era bem-intencionado, mas não é banqueiro. O estado não tem ativamente promovido, no ensino básico e secundário, a existência desta identidade digital, nem tão pouco uma promoção ativa das ferramentas que lhe podem estar associadas. As escolas podem e devem fazê-lo precisamente para proteger todos os envolvidos. Da mesma forma que, para entrar numa escola, é necessária uma identificação. Da mesma forma que o bancário não guarda o dinheiro em casa…. supostamente!

Num momento em que a privacidade é valorizada e o Regulamento Geral de Proteção de Dados (RGPD) vem balizar muito claramente o que pode e não pode ser feito, a contratualização de soluções tem de passar, obviamente, pela escola. Os professores não podem usar as suas identidades digitais pessoais para tratar de assuntos de escola, especialmente aqueles que envolvam dados pessoais dos alunos, simplesmente porque a entidade patronal não cumpre a mais básica das funções que lhe compete: fornecer aos seus trabalhadores as condições para a execução do trabalho. As escolas devem dar aos seus colaboradores uma solução fechada e protegida para comunicação com os seus alunos e desenvolvimento da atividade pedagógica. Uma solução contratualizada pela escola e que respeite a legislação nacional e europeia. Uma solução que cumpra os mais elevados requisitos de segurança, de preferência com autenticação multifatorial. A utilização de contas pessoais para resolver assuntos profissionais pode privar alunos e encarregados de educação de vários direitos fundamentais consagrados no RGPD: os direitos ARCO – Direito de Acesso à Informação, Direito à Retificação, Direito ao Cancelamento ou Esquecimento e Direito de Oposição.

As escolas são os fiéis depositários dos dados de alunos, professores, encarregados de educação e restantes colaboradores, mas não são donos desses dados. Esses dados não podem andar a ser desbaratados pela internet em videoconferências realizadas com contas gratuitas pessoais, em murais associados a contas pessoais, em servidores que não correm sobre HTTPS, etc. Parafraseando João Traça – “Nem o COVID nem o estado de emergência puseram a proteção de dados de Quarentena.”

Toda esta confusão é ainda mais estranha quando se considera que o Estado teve mais dois anos do que o sector privado para implementar o Regulamento Geral de Proteção de Dados e precaver todos estes problemas na sua infraestrutura, tendo até o Conselho de Ministros emitido orientações técnicas para a Administração Pública em matéria de arquitetura de segurança das redes e sistemas de informação relativos a dados pessoais.

Os professores devem, pois, proteger os seus dados e os dos seus alunos e, evitar confundir a sua identidade digital pessoal com a profissional, por muito sozinhos que a sua entidade patronal os deixe. A entidade patronal deverá dar aos seus trabalhadores as condições para exercerem a sua atividade em segurança com todo o respeito pela lei e pela privacidade de todos os envolvidos. Professores, pais e encarregados de educação devem estar vigilantes de que o estado cumpra aquilo que regulamentou, exigindo que algo mais complexo que um simples “Abre-te Sésamo” proteja os dados pessoais de todos, mas em particular das crianças.

Professor na EPRAMI – Escola Profissional do Alto Minho Interior

‘Caderno de Apontamentos’ é uma coluna que discute temas relacionados com a Educação, através de um autor convidado.