A Comissão Nacional de Proteção de Dados disponibilizou um conjunto de orientações, com a identificação de alguns riscos e recomendações na utilização de tecnologias no suporte ao ensino à distância.

O documento, que pode ser consultado aqui, identifica como principais riscos para os direitos dos titulares dos dados, os seguintes:

• Risco de utilização indevida dos dados transferidos através das plataformas por parte dos responsáveis dos tratamentos, ou por subcontratantes que forneçam serviços dessas plataformas (por exemplo, em sistemas assentes em cloud computing);
• A falta de transparência relativamente à forma de armazenamento, tratamento e eventuais subcontratações realizadas por fornecedores de soluções de e-learning assentes em cloud computing pode resultar numa perda do controlo dos dados pelos respetivos titulares;
• Risco de definição de perfis ou avaliações, com base na informação observada da atividade dos utilizadores (professores ou alunos), que por sua vez pode gerar o tratamento discriminatório das pessoas a quem dizem respeito os perfis; em especial, o risco decorrente de decisões automatizadas assentes em sistemas de inteligência artificial que analisem o comportamento e desempenho dos alunos (learning analytics);
• A utilização de plataformas de comunicação que não garantam a segurança das comunicações ou cuja incorreta configuração resulte na divulgação ou acesso não autorizada pode colocar em risco a confidencialidade dos dados.
• Em especial, a partilha de computadores potencia riscos à confidencialidade;
• A ausência de uma atribuição clara das responsabilidades no contexto destas tecnologias promove situações em que, nem as instituições de ensino, nem os fornecedores das plataformas, adotam as medidas adequadas de segurança;
• Risco de vigilância à distância com a finalidade de controlar o desempenho profissional dos professores;
• Ausência de um ponto de acesso para o exercício dos direitos pelos titulares dos dados junto das plataformas utilizadas e, com isso, risco de desproteção dos mesmos.

No mesmo documento são apresentadas algumas recomendações para mitigar esses riscos:

• As plataformas escolhidas devem ter finalidades bem definidas e compatíveis com o ensino à distância;
• As plataformas a utilizar deverão recolher e tratar os dados estritamente necessários para as finalidades especificadas (princípio da minimização dos dados);
• A adoção de cada plataforma de suporte ao ensino à distância deve ser precedida de uma avaliação de impacto na proteção de dados, de forma a identificar corretamente os riscos para a privacidade e permitir que sejam adotadas medidas mitigadoras desses riscos. A avaliação pode ser feita pelas entidades que disponibilizam e gerem as plataformas, uma vez que, neste contexto do ensino à distância, a generalidade dos responsáveis pelos tratamentos (e.g., estabelecimento de ensino) não dispõe de recursos técnicos para o efeito. Sublinha-se que as evoluções tecnológicas e sociais podem representar novos riscos e devem ser tidas em conta durante o tratamento de dados, podendo exigir avaliações de impacto subsequentes;
• As plataformas devem definir de forma clara os papéis e responsabilidades dos vários intervenientes no tratamento de dados pessoais, em especial a distribuição de funções e responsabilidades entre quem fornece e gere a plataforma e quem decide sobre a sua utilização;
• As plataformas escolhidas devem estar desenvolvidas de forma que os princípios de privacidade desde a conceção sejam aplicados, pelo que as configurações de privacidade devem estar predefinidas e a sua desativação ser da iniciativa do utilizador;
• Os professores devem ser devidamente informados relativamente à utilização das plataformas. Em particular, devem conseguir identificar as corretas configurações para garantir que não decorrem riscos para a privacidade dos utilizadores, com especial enfoque nos alunos;
• Os estabelecimentos de ensino devem procurar sensibilizar a comunidade escolar (incluindo, pais dos alunos quando sejam crianças) para um conjunto de boas práticas e precauções a seguir na utilização destas tecnologias;
• Deve estar predefinida a informação que é conservada (que, em princípio, corresponderá à que é mantida no ensino presencial); do mesmo modo, devem ser prefixados os prazos da sua conservação;
• Os fornecedores das plataformas de suporte ao ensino à distância devem cumprir a obrigação de comunicação aos estabelecimentos de ensino das violações de dados pessoais que ocorram;
• Sempre que possível, deve optar-se por tecnologias que impliquem a menor exposição possível do titular e do seu ambiente familiar (e.g., fóruns de discussão por oposição a videoconferência);
• Os estabelecimentos de ensino devem avaliar se dispõem de meios técnicos para implementar as plataformas de ensino à distância, para evitar optarem por tecnologias que sobrecarreguem os seus sistemas tecnológicos, tornando-os, por isso, inseguros;
• A utilização de quaisquer algoritmos de análise de desempenho (learning analytics) deve sempre ser criteriosa e feita de forma justa e transparente para com os titulares e apenas se estiver preenchida alguma das condições de licitude desse tratamento.