Impacto dos softwares de e-proctoring na privacidade de estudantes universitários
O texto aborda a seguinte pergunta: Qual é o impacto do uso de programas de e-proctoring na privacidade de estudantes universitários? Partindo-se de um caso ocorrido em uma universidade do Peru, em 2020, são explorados os conceitos relacionados ao e-proctoring, à privacidade e à proteção de dados pessoais. Também é feito um relato sobre o grau de adoção dessas tecnologias, com especial foco na região da América Latina. Por fim, é apresentada uma análise sobre a interação entre o e-proctoring e as normas de proteção de dados pessoais que inclui a casuística mais recente sobre o tema.
Embora existam há muitos anos, os softwares de e-proctoring ou proctoring remoto eram pouco conhecidos até antes da pandemia de Covid-19. Ao contrário de outras ferramentas educacionais, o e-proctoring, voltado à supervisão remota para avaliações on-line, tem uma capacidade disruptiva imensa que se deve principalmente ao uso intensivo de tecnologias de ponta, como biometria, reconhecimento facial e inteligência artificial.
A virtualização das aulas durante o ano de 2020 devido à pandemia marcou o início da adoção massiva desses programas em todo o mundo. Sua capacidade de permitir o controle de avaliações on-line e seu potencial para detectar condutas desonestas, como falsificação de identidade e plágio, também os tornaram uma solução muito atraente para as universidades.
No entanto, a implantação dessas tecnologias tem causado diferentes reações adversas nas comunidades estudantis. Talvez as mais específicas girem em torno da conveniência de adotar tecnologias consideradas muito invasivas à privacidade. Apesar desta e de outras objeções, em muitos casos as universidades forçaram seu uso com consequências nem sempre positivas.
Este artigo busca lançar mais luz sobre o impacto do uso dessas tecnologias na privacidade de estudantes universitários. Ainda que seu foco esteja na região da América Latina, especificamente no Peru, aborda-se um problema cujas características são semelhantes às de outros lugares onde esses programas foram implementados.
Em agosto de 2020, a Universidade Nacional Maior de San Marcos (UNMSM), universidade pública mais importante do Peru, anunciou que seu Exame de Admissão Anual [equivalente a um exame de ingresso ou vestibular] seria realizado em formato virtual.11. Karina Garay, “San Marcos anuncia examen virtual de admisión para el 2 y 3 de octubre”. Agencia Peruana de Noticias Andina, 28 de agosto de 2020, acesso em 9 de dezembro de 2021, https://andina.pe/agencia/noticia-san-marcos-anuncia-examen-virtual-admision-para-2-y-3-octubre-811627.aspx. Essa notícia, divulgada após vários meses de incerteza devido às medidas implementadas para impedir a propagação da Covid-19, significou um alívio para muitos candidatos, ao mesmo tempo em que trouxe um novo conjunto de preocupações.
Em seu comunicado, a Universidade San Marcos também destacou que tinha estabelecido algumas medidas para evitar possíveis comportamentos desonestos que poderiam ocorrer em uma prova não presencial, mas não se aprofundou no assunto. Contudo, uma semana depois, em uma entrevista com o chefe do Escritório Central de Admissão da UNMSM, este apresentou mais detalhes:
Agora que está decidido que o exame de admissão será virtual, surge uma série de questões, principalmente relativas à possibilidade de alguns estudantes trapacearem, de usarem o computador para buscar as respostas em páginas da web, de alguém ajudar a responder às perguntas ou que haja falsa identidade do candidato. […] Por meio de um aplicativo que utiliza a inteligência artificial, será verificado se o candidato em frente ao computador no dia do exame é o mesmo que se cadastrou biometricamente. […] O aplicativo de segurança irá capturar as imagens a cada minuto e detectar se alguém abre uma página da web diferente da avaliação. Mas também detectará se o computador possui alguma conexão periférica, por exemplo, com uma tela, um cabo HDMI ou software remoto. O sistema também é capaz de registrar se alguém faz um copy-page [copiar página], uma captura de tela (screenshot) ou se mudanças são ativadas na janela do Windows.22. “San Marcos: cómo evitarán plagios y suplantaciones en examen virtual de admisión”. Agencia Peruana de Noticias Andina, 1 de setembro de 2020, acesso em 9 de dezembro de 2021, https://andina.pe/agencia/noticia-san-marcos-como-evitaran-plagios-y-suplantaciones-examen-virtual-admision-811770.aspx.
Várias pessoas candidatas ao Exame de Admissão ficaram inicialmente céticas e depois expressaram sua reprovação a essa nova modalidade por diferentes motivos: alguns estavam relacionados ao contexto da pandemia, mas outros correspondiam a falhas estruturais, como exclusão ou desigualdade digital, e também ao medo que o uso de tecnologias – até então desconhecidas – despertava, e cuja importância era primordial para o normal desenvolvimento da prova. Nos meses seguintes, essas pessoas se organizaram e fizeram uma resistência coordenada para tentar impedir o Exame Virtual.
Entretanto, a UNMSM não recuou e, quando chegaram as datas estabelecidas em outubro, procedeu à realização do Exame Virtual, que teve uma participação reduzida: apenas 8 mil pessoas de um total inicial de mais de 15 mil.
Conforme previsto por muitos de seus detratores, vários incidentes foram relatados durante o Exame. Por exemplo, houve denúncia de que, embora fosse um requisito obrigatório, vários estudantes foram autorizados a fazer a prova sem a câmera ligada. As perguntas e as respostas do texto circularam em redes sociais. Incrivelmente, também houve denúncia de que o Exame foi transmitido ao vivo pela plataforma de streaming Twitch.33. L. Ancajima, “Examen virtual de la UNMSM: Denuncian plagio, transmisiones en vivo y más durante su desarrollo”. RPP, 4 de outubro de 2020, acesso em 9 de dezembro de 2021, https://rpp.pe/tecnologia/redes-sociales/examen-virtual-de-la-unmsm-denuncian-plagio-transmisiones-en-vivo-y-mas-durante-su-desarrollo-noticia-1296176.
Apesar das denúncias, que motivaram diferentes pronunciamentos de entidades como o Congresso da República,44. “Congreso cita a rector de San Marcos por incidentes en el examen de admisión virtual”, Diario El Peruano, 3 de outubro de 2020, acesso em 9 de dezembro de 2021, https://elperuano.pe/noticia/104779-congreso-cita-a-rector-de-san-marcos-por-incidentes-en-el-examen-de-admision-virtual. a Superintendência Nacional de Ensino Superior Universitário (SUNEDU)55. “Sunedu sobre examen virtual de San Marcos: Existen suficientes indicios para iniciar una indagación”, Diario El Comercio, 3 de outubro de 2020, acesso em 9 de dezembro de 2021, https://elcomercio.pe/lima/sucesos/sunedu-sobre-examen-virtual-de-san-marcos-existen-suficientes-indicios-para-iniciar-una-indagacion-unmsm-nndc-noticia/. e inclusive a Autoridade de Proteção de Dados Pessoais (APDP),66. “La Autoridad Nacional de Protección de Datos Personales realiza acciones de fiscalización para verificar el adecuado tratamiento de los datos personales en el examen de admisión online realizado por la Universidad Nacional Mayor de San Marcos”, Comunicado de imprensa, 5 de outubro de 2020, acesso em 9 de dezembro de 2021, https://www.redipd.org/es/noticias/la-autoridad-nacional-de-proteccion-de-datos-personales-realiza-acciones-de-fiscalizacion. a Universidade os ignorou e dias depois publicou os resultados do Exame de Admissão. Com o passar das semanas, o interesse sobre o caso foi diminuindo e, com exceção da APDP, que iniciou um processo de fiscalização administrativa, as demais entidades não deram continuidade a outros tipos de ação.
Durante os eventos já mencionados, a imprensa nunca abordou as “tecnologias que usavam inteligência artificial” para detectar o plágio e a falsificação de identidade que foram anunciadas pelas autoridades da UNMSM. Porém, em uma investigação posterior que realizamos no início de 2021, descobrimos que a tecnologia utilizada pela Universidade se chamava SMOWL, um software criado e distribuído pela Smowltech, empresa espanhola especializada na prestação de serviços de e-proctoring.77. SMOWL, Homepage, 2021, acesso em 15 de outubro de 2021, https://smowl.net/es.
Como foi dito, o caso da Universidade San Marcos nos levou a iniciar uma pesquisa sobre as implicações do uso dessas ferramentas tecnológicas. Assim, no final do primeiro trimestre de 2021, publicamos um relatório que incluía um mapeamento inicial da adoção do e-proctoring na região da América Latina, bem como uma coleta e análise da legislação aplicável sobre privacidade e proteção de dados pessoais.88. Carlos Guerrero Argote, “¿Vigilados en la escuela?: Impacto en la privacidad a partir del uso de tecnologías de e-proctoring en la región de Latinoamérica”. Programa Líderes 2.0 de LACNIC, 2021, acesso em 9 de dezembro de 2021, https://descargas.lacnic.net/lideres/carlos-guerrero/carlos-guerrero-informe.pdf. A seguir, comentamos alguns de seus resultados.
O estudo em questão escolheu três países para estudos de caso, Argentina, Chile e Peru, e realizou sobre estes uma pesquisa documental para identificar, por meio de consulta em fontes abertas, o grau de adoção de soluções de e-proctoring durante 2020, especificamente por universidades públicas e privadas.
Este levantamento inicial revelou o seguinte: na Argentina, foram detectados 10 casos de adoção de um ou mais softwares de e-proctoring, 2 deles em universidades públicas e 8 em privadas. No Chile, foram detectados 11 casos, 1 deles em universidades públicas e 10 em privadas. Por fim, no Peru foram detectados 25 casos, 12 em universidades públicas e 13 em privadas. Os três softwares de e-proctoring mais usuais foram, nesta ordem: SUMADI, SMOWL e METTL.99. Ver Anexo 1, ao final deste artigo.
Embora as evidências coletadas não tenham estabelecido padrões comuns entre as universidades, um fator recorrente foi que a maioria dos programas serviu quase exclusivamente para controlar avaliações realizadas on-line e, em geral, foram adotados como soluções de emergência. Talvez seja devido a este último motivo que a sua implantação tenha ocorrido quase sempre de forma inesperada e, em muitas ocasiões, sido realizada sem ao menos possibilitar processos adequados de familiarização de estudantes e docentes com o software.
Outro aspecto interessante a destacar é que a maioria dos programas de e-proctoring eram soluções que utilizavam tecnologias muito avançadas. Por exemplo, os três mais recorrentes funcionavam baseados em algoritmos de inteligência artificial, alimentados com dados obtidos em ferramentas como reconhecimento facial e biometria. Todos esses dados, além do mais, eram obtidos graças ao fato de que os programas assumiam o controle dos dispositivos onde o corpo de estudantes realizava suas provas, exigindo para isso que possuíssem elementos periféricos (câmeras, microfones) e um sistema operacional de acordo com suas necessidades.
O fato de que os softwares de e-proctoring exigiram o consumo de uma grande quantidade de dados produzidos pelo corpo discente durante o desenvolvimento das avaliações foi motivo de preocupação no caso da Universidade San Marcos, conforme mencionado na seção anterior. Quanto ao que pudemos identificar como preocupações diretamente relacionadas à privacidade, essas tecnologias foram percebidas como muito invasivas, pois gravavam constantemente estudantes e seu ambiente, registrando tudo o que era feito em seus dispositivos. Esse material era o insumo principal para desqualificá-los sob parâmetros nem sempre explicitados e geralmente confusos.
Nesse ponto, a pesquisa realizada mostrou que a maioria dos softwares de e-proctoring tratava dados pessoais como: endereço IP, histórico de navegação, imagem do rosto, nomes e sobrenomes, traços faciais e voz. Alguns destes dados, ademais, eram considerados dados sensíveis nos três países de estudo, o que implicava necessariamente a aplicação de diferentes normas que regulam seu tratamento, sobretudo aquelas relacionadas com a proteção de dados pessoais.1010. Ver Anexo 2, ao final deste artigo.
Embora tenha sido identificado que os países tinham leis de proteção de dados pessoais de alcance nacional e disposições de cumprimento obrigatório nesse sentido, também foi descoberto que sua aplicação ao uso do e-proctoring não estava isenta de aspectos controversos. Por exemplo, havia o tema da jurisdição: nenhum dos três programas mais utilizados era fornecido às universidades por empresas domiciliadas no território, mas sim no exterior e pela internet. Uma possível anomia também foi identificada, resultante do fato de que o uso do e-proctoring não tinha sido previsto em nenhum regulamento anterior, de modo que não era claro o nível de exigência de obrigações como o cadastro de bancos de dados pessoais ou a solicitação de consentimento, principalmente em um contexto de crise como o que se vivia em 2020 por causa da Covid-19.
Não obstante o anterior, a pesquisa pôde verificar que pelo menos na Argentina e no Peru, uma vez superado o problema do alcance territorial das normas de proteção de dados pessoais, várias disposições gerais e específicas eram inteiramente aplicáveis, senão às empresas fornecedoras do e-proctoring, ao menos às universidades que contrataram seus serviços. No entanto, diante de uma avaliação de cumprimento, salvo exceções, na maioria dos casos parecia que as universidades haviam pensado que essas disposições não se aplicavam a elas ou simplesmente optaram por descumpri-las.
Um problema adicional para poder determinar com maior precisão em que medida as normas de proteção de dados pessoais desses três países foram descumpridas e que significava ter incorrido em infrações é que, exceto no Peru, não houve investigações ou processos de fiscalização pelas autoridades de proteção de dados. Portanto, a maioria das conclusões do estudo comentado tinha natureza especulativa e requeria pronunciamentos oficiais para que se tornasse mais sólida ou fosse descartada.
Dissemos na introdução que, embora nosso foco de estudo seja a América Latina, as situações de conflito produzidas pela implantação do e-proctoring têm sido globais. Prova disso é que ao mesmo tempo em que a Universidade San Marcos, no Peru, anunciava o uso do SMOWL para controlar seu Exame Virtual, situações semelhantes ocorriam em outros países. Como na Espanha, país onde existe atualmente pelo menos um pronunciamento da Autoridade Espanhola de Proteção de Dados (AEPD) sobre um caso de uso de e-proctoring na Universidade de La Rioja (UNIR).
Tal qual explicado nesta cronologia1111. M. Gonzalo, “Proctoring: cuando la evaluación de exámenes es vigilancia”. Newtral, 12 de maio de 2021, acesso em 9 de dezembro de 2021, https://www.newtral.es/proctoring-que-es-evaluacion-examenes-vigilancia-unir/20210512/. do meio de comunicação Newtral, em março de 2021, a UNIR informou a seu corpo discente que, devido à pandemia de Covid-19, realizaria seus exames de julho em modalidade virtual. Após este anúncio, também foi indicado que um programa de “autenticação biométrica” seria implementado como medida de segurança. De modo muito similar ao ocorrido no caso da Universidade San Marcos, um expressivo grupo de estudantes espanhóis expressou suas críticas à mudança, mas não foi devidamente atendido. Inclusive, o software utilizado nesta ocasião era o mesmo que no Peru, o SMOWL.
O caso foi denunciado pelas pessoas afetadas aos tribunais e também à AEPD. Esta última emitiu um pronunciamento de advertência em julho deste ano.1212. “Resolución de Advertencia”, Agencia Española de Protección de Datos, 2021, acesso em 15 de outubro de 2021, https://www.newtral.es/wp-content/uploads/2021/08/documentoEnvio_624316-1.pdf?x60645. Algumas das conclusões do documento incluíram:
Além disso, os argumentos anteriores também são respaldados em informe divulgado pela AEPD, há um ano, sobre o uso de técnicas de reconhecimento facial na realização de provas de avaliação on-line,1313. Informe N/REF: 0036/2020 da Agencia Española de Protección de Datos. no qual já havia sido indicado que:
Não obstante o caso ocorrido no Peru ainda esteja pendente de resolução final pela Autoridade de Proteção de Dados, há vários elementos que fazem parte da denúncia apresentada naquela ocasião à autoridade e que se assemelham ao caso espanhol.1414. Carlos Guerrero Argote, “Denunciamos a la Universidad Nacional Mayor de San Marcos por el uso de software biométrico en su Examen Virtual”. Hiperderecho, 22 de setembro de 2020, acesso em 9 de dezembro de 2021, https://hiperderecho.org/2020/09/denunciamos-a-la-universidad-nacional-mayor-de-san-marcos-por-el-uso-de-software-biometrico-en-su-examen-virtual/.
Por exemplo, em relação ao princípio da legalidade no direito peruano, que pressupõe uma base legitimadora para o tratamento de dados pessoais, não existe, até o momento, nenhuma regulamentação específica no país sobre o uso de ferramentas como o e-proctoring. De acordo com a pesquisa mencionada na seção anterior, esta ausência parece ter sido entendida pela Universidade San Marcos como um fator que lhe permitia descumprir obrigações formais de nosso sistema, como o cadastro prévio de um banco de dados pessoais (requisito obrigatório).
Algo similar ocorre no caso do consentimento, que foi denunciado à Autoridade como ausente ou inválido, pois a Universidade não teria prestado informações suficientes, a quem se candidata, sobre a natureza do tratamento de seus dados pelo SMOWL. Outro argumento, no mesmo sentido, também indica que, ainda que fosse provada a solicitação de consentimento, este não poderia ser dado livremente, pois não outorgá-lo (e, portanto, não participar do Exame Virtual) causava sérios prejuízos às pessoas candidatas, que ficariam sem possibilidade de acesso à Universidade durante esse ano.
Há também a questão da proporcionalidade. Embora seja verdade que a norma peruana não é tão avançada como a norma espanhola, sendo a primeira inspirada em regulamentação anterior ao atual Regulamento Geral de Proteção de Dados da Espanha,1515. Diríamos que seja mais próxima à Diretiva 95/46/CE e à Lei Orgânica de Proteção de Dados, de 1999, da Espanha. parece fazer sentido considerar a necessidade de avaliar se, efetivamente, uma ferramenta como o SMOWL, no contexto da pandemia de Covid-19, era um instrumento necessário e não apenas conveniente para cumprir o objetivo de realizar uma avaliação e evitar condutas desonestas.
Existem ainda outros aspectos que se afastam do ocorrido no caso da UNIR e não queremos deixar de mencionar, pois não é impossível que também se apresentem na Espanha e/ou em outros países onde são utilizadas tecnologias de e-proctoring, sobretudo em grande escala. Quanto a este ponto – que também aparece na denúncia – indica-se a aparente infração ao princípio de segurança que, na normativa peruana, é desenvolvido expressamente por uma Diretiva que estabelece obrigações específicas segundo o tipo de dados, a finalidade do tratamento e se o detentor do banco de dados é uma entidade pública ou privada.1616. Diretiva de Segurança da Informação Administrada pelos Bancos de Dados Pessoais, de 2014, produzida pela Autoridade de Proteção de Dados do Ministério da Justiça. As violações a este princípio estariam refletidas nas diversas situações irregulares relatadas durante os dias do Exame Virtual, conforme mencionadas na segunda seção, como a ausência de cadastro prévio do banco de dados e a falta de divulgação das políticas de privacidade no portal da Universidade, entre outras.
Algumas conclusões a podemos chegar a partir de tudo o que foi dito neste artigo são:
| Nome da Universidade | Tipo de instituição | Tecnologia de e-proctoring |
|---|---|---|
| Universidade Empresarial Siglo 21 | Privada | KLARWAY |
| Universidade Argentina da Empresa | Privada | PROCTORIO |
| Universidade de Congreso | Privada | PROCTORIO |
| Instituto Tecnológico de Buenos Aires | Privada | RESPONDUS |
| Universidade de Morón | Privada | SUMADI |
| Universidade de Palermo | Privada | SUMADI |
| Universidade Católica de Salta | Privada | NÃO ESPECIFICADO |
| Universidade de San Andrés | Privada | RESPONDUS |
| Universidade Nacional de Córdoba | Pública | RESPONDUS |
| Universidade Nacional do Chaco Austral | Pública | SMOWL |
| Nome da Universidade | Tipo de instituição | Tecnologia de e-proctoring |
|---|---|---|
| Universidade Diego Portales | Privada | RESPONDUS |
| Universidade de Las Américas | Privada | SMOWL, SUMADI |
| Universidade de Concepción | Privada | SUMADI |
| Universidade Católica de Temuco | Privada | SUMADI |
| Universidade Católica del Maule | Privada | SUMADI |
| Universidade Santo Tomás | Privada | SUMADI |
| Universidade San Sebastián | Privada | SUMADI |
| Universidade Mayor | Privada | SUMADI |
| Universidade Gabriela Mistral | Privada | SUMADI |
| Pontifícia Universidade Católica do Chile | Privada | NÃO ESPECIFICADO |
| Universidade do Chile | Pública | VÁRIOS |
| Nome da Universidade | Tipo de instituição | Tecnologia de e-proctoring |
|---|---|---|
| Universidade San Ignacio de Loyola | Privada | EXAM |
| Universidade Nacional de San Agustín | Pública | METTL |
| Universidade Nacional de Juliaca | Pública | METTL |
| Universidade de Piura | Privada | METTL |
| Universidade Privada Antenor Orrego | Privada | METTL |
| Universidade Nacional Agrária La Molina | Pública | METTL |
| Universidade Nacional de Jaén | Pública | NÃO ESPECIFICADO |
| Universidade Nacional del Santa | Pública | NÃO ESPECIFICADO |
| Universidade Nacional de Piura | Pública | NÃO ESPECIFICADO |
| Universidade Nacional José María Arguedas | Pública | NÃO ESPECIFICADO |
| Universidade Nacional Autônoma Altoandina de Tarma | Pública | NÃO ESPECIFICADO |
| Universidade Católica San Pablo | Privada | NÃO ESPECIFICADO |
| Universidade de Lima | Privada | PROCTOR TRACK |
| Pontifícia Universidade Católica do Peru | Privada | PROCTOR TRACK |
| Universidade Nacional Autônoma do Alto Amazonas | Pública | SAFE EXAM BROWSER |
| Universidade Católica de Santa María | Privada | SAFE EXAM BROWSER |
| Universidade Nacional Maior de San Marcos | Pública | SMOWL |
| Universidade Nacional de Engenharia | Pública | SMOWL |
| Universidade Nacional Jorge Basadre Grohmann | Pública | SMOWL |
| Universidade Peruana Cayetano Heredia | Privada | SMOWL |
| Universidade Privada San Juan Bautista | Privada | SMOWL |
| Universidade César Vallejo | Privada | SMOWL |
| Universidade do Pacífico | Privada | SUMADI |
| Universidade Privada do Norte | Privada | SUMADI |
| Universidade Peruana de Ciências Aplicadas | Privada | SUMADI |
| Ferramenta | Dados pessoais tratados |
|---|---|
| Reconhecimento facial para validar identidade | Imagem, traços faciais, nome, documento de identidade |
| Monitoramento em tempo real por meio de câmera web | Imagem, voz, traços faciais, endereço IP |
| Gravação e/ou captura de imagem por meio de câmera web | Imagem |
| Gravação e/ou captura de áudio por meio de microfone | Voz |
| Qualificação, por meio de algoritmos, de condutas suspeitas | Imagem, voz, traços faciais, endereço IP, histórico de navegação |
| Bloqueio de ações (nos dispositivos) | Endereço IP, histórico de navegação |
