A autoridade dinamarquesa de proteção de dados (Datatilsynet) emitiu uma ordem judicial sobre os dados de estudantes serem encaminhados para o Google através do uso de Chromebooks e serviços do Google Workspace nas escolas do país.
O assunto foi levado à atenção da agência cerca de quatro anos atrás por um pai preocupado e ativista, Jesper Graugaard, que protestou contra o envio de dados dos alunos para o Google sem qualquer consideração sobre o potencial de uso indevido ou o impacto que poderia ter nessas pessoas no futuro.
A agência agora decidiu que os métodos atuais de transferir dados pessoais para o Google não têm uma base legal para todos os propósitos revelados.
Portanto, 53 municípios em toda a Dinamarca devem ajustar suas práticas de processamento de dados.
Especificamente, os municípios são ordenados a:
Interromper a transferência de dados pessoais para o Google para fins específicos ou obter uma base legal clara para tais transferências,
Analisar e documentar como os dados pessoais são processados antes de usar ferramentas como o Google Workspace, e
Garantir que o Google se abstenha de processar qualquer dado que recebe para fins não conformes.
A agência esclareceu que os usos permitidos dos dados dos alunos incluem fornecer os serviços educacionais oferecidos pelo Google Workspace, melhorar a segurança e a confiabilidade desses serviços, facilitar a comunicação e cumprir obrigações legais.
Os casos não permitidos são os propósitos relacionados à manutenção e melhoria do Google Workspace for Education, ChromeOS e o navegador Chrome, incluindo medir o desempenho ou desenvolver novos recursos e serviços para essas plataformas.
"Os serviços de TI de hoje frequentemente funcionam de tal maneira que a transferência de dados pessoais está incorporada no produto, e que o uso da informação é frequentemente um pré-requisito para obter o benefício total da funcionalidade dos produtos", afirmou o especialista em segurança de TI e direito da agência, Allan Frank.
"No entanto, isso nem sempre ocorre com foco suficiente na proteção dos cidadãos cujas informações são utilizadas."
"Mas nem a funcionalidade das soluções que você deseja usar, a posição de mercado do fornecedor, a estrutura padronizada ou o simples uso de um produto padrão podem justificar o não cumprimento das regras de proteção de dados, que foi decidido do ponto de vista político que devemos ter na Europa."
A decisão da autoridade não se traduz diretamente em uma proibição dos Chromebooks, que são amplamente utilizados nas escolas dinamarquesas, mas impõe restrições significativas sobre como os dados pessoais podem ser compartilhados com o Google.
Além disso, dado que restringir o processamento de dados sensíveis por parte do Google será difícil, se não impossível, para os municípios garantirem, pode não haver uma maneira prática de aderir às novas políticas sem bloquear o uso de Google Chromebooks e/ou Google Workspace.
Os municípios têm até 1º de março de 2024, para declarar exatamente como pretendem cumprir a ordem do Datatilsynet e até 1º de agosto de 2024, para alinhar totalmente suas práticas de processamento de dados com os novos requisitos.
Embora as pessoas na Dinamarca e em outros lugares tenham recebido bem o anúncio da agência, muitos notaram o tempo desnecessariamente longo que a autoridade levou para tomar uma decisão, que foi de 4,5 anos.
Além disso, os observadores apontaram que as práticas inadequadas identificadas no relatório da agência persistiram por pelo menos uma década e deveriam justificar multas ou outras medidas corretivas para os responsáveis.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...