Depois de negar e admitir o disparo de um vídeo apócrifo (sem identificação) enviado para pais e responsáveis por alunos durante a greve dos professores, em junho deste ano, a Secretaria de Estado da Educação (Seed) do Paraná informou que o envio do material foi feito “de forma automática”, sem esclarecer que tipo de mensagens podem ser encaminhadas e quem pode acessar os dados fornecidos pelos cidadãos ao governo do estado.
Enviado para os números de celular fornecidos pelos pais à Seed, o vídeo dizia que os alunos correriam riscos caso participassem da paralisação, contrária à votação do projeto de lei que autorizou a terceirização dos serviços administrativos de 204 escolas estaduais.
O disparo ocorreu entre os dias 1º e 4 de junho (a Assembleia Legislativa do Paraná aprovou projeto em primeira votação no dia 3). Com takes de um banco de imagens, que mostravam a rotina de estudantes que não são da rede estadual de ensino, o vídeo afirmava que havia “risco de violência” nas manifestações e que lugar de adolescentes e professores “é na escola”.
No dia 4 de junho, a Seed negou qualquer relação com o material. “O referido conteúdo não foi produzido pela Seed-PR nem tampouco enviado por esta Secretaria”, informou a assessoria da pasta ao Plural. No dia 6, entretanto, nova matéria do Plural mostrou que o responsável por subir o vídeo no drive enviado aos pais foi Luciano Renan, que atua na Fapec – entidade que mantém um convênio com a Seed desde 2022.
Em reposta a um pedido de informações protocolado pelo Plural em setembro, a Seed negou que o colaborador da Fapec teve acesso a dados dos cidadãos, o que poderia estar em desacordo com a Lei Geral de Proteção de Dados (LGPD). Depois de admitir o envio do vídeo, a Secretaria passou afirmar que a peça tinha uma informação “de interesse público” – o que é questionável, pois a intenção era esvaziar uma greve contrária a um projeto enviado pelo próprio governo. O vídeo foi enviado para 4.076 pessoas via WhatsApp e para 2.103.805 via SMS, de acordo com a Seed.
No início de setembro, o Plural protocolou quatro pedidos de informação com questionamentos sobre o disparo do vídeo e o tratamento dos dados dos paranaenses, já que a havia a possiblidade de o governo encaminhar um projeto de lei para privatizar a Celepar (Companhia de Tecnologia da Informação e Comunicação do Paraná), que armazena informações sensíveis dos cidadãos. Enviado no dia 4 de novembro à Assembleia Legislativa do Paraná, o projeto para vender a Celepar foi aprovado no dia 12.
Além da Seed, os pedidos foram enviados à Secretaria de Estado da Educação (Seed), à Casa Civil, à Controladoria Geral do Estado (CGE) e às demais secretarias. Nas respostas referentes ao envio do vídeo, o CGE informou que caberia à Seed comentar o assunto.
“Considerando que compete à Secretaria de Estado da Educação do Paraná exercer as atribuições de Controlador de Dados em relação aos dados pessoais tratados pela Pasta, compete à SEED responder ao questionamento ora apresentado”, foi a resposta da Controladoria para 13 questionamentos.
Resposta da Seed
Assinada por Fernanda Paula Evangelista, servidora identificada como “responsável pelo tratamento de dados pessoais da Seed junto à CGE” na página da Seed, a resposta da Secretaria ao pedido de informações protocolado pelo Plural diz que somente a Assessoria de Comunicação da pasta tem acesso aos dados dos cidadãos e que o envio de mensagens aos pais de alunos ocorre "de forma automática".
"Em atenção aos questionamentos realizados, esclarecemos que a Secretaria de Estado da Educação - SEED, detém, conforme preceitua a legislação, servidor designado para o exercício da função de “encarregado pelo tratamento de dados pessoais”. A função é, por meio da Portaria nº 07, de 25 de janeiro de 2021, atribuída à Chefe do Departamento de Governança de Dados Educacionais.
“No que tange a alegação de suposto uso de dados pessoais de pais e alunos para o envio por mensagem, de vídeo no período de greve de professores, informamos que a SEED monitora constantemente os acessos e processos realizados pelos usuários dos sistemas, os quais estão armazenados os dados sensíveis e protegidos. Qualquer procedimento suspeito que interfira nos dados dos estudantes e de seus familiares, o usuário tem o acesso bloqueado temporariamente para o mapeamento do log de registro do acesso e dos procedimentos realizados, ocasião em que as informações são submetidas para investigação.
“A SEED dispõe de recurso automatizado para o envio de mensagens em massa, desenvolvido pela CELEPAR, de uso exclusivo da Assessoria de Comunicação. Não houve, portanto, violação de dados. A ação de envio e disparo das mensagens, que continham em seu conteúdo o vídeo de utilidade pública, não envolveu o convênio com a FAPEC e seus colaboradores. Como dito, o envio ocorre de forma automática, por ferramenta desenvolvida pela empresa de tecnologia citada.
“Oportuno esclarecer que a Secretaria detém e observa a Política de Privacidade de Dados Pessoais formalmente instituída nesta Pasta e, em processo de aperfeiçoamento das políticas e boas práticas de segurança, em breve será expedido um instrumento mais preciso e voltados às Políticas de Governança de Dados.
At.te
Fernanda Paula Evangelista
SEED/DPGE/DGDE"
Resposta da Controladoria Geral do Estado
Em resposta ao pedido de informações do Plural, a Controladoria Geral do Estado informou que caberia à Seed responder sobre o possível acesso de terceiros, como funcionários da Fapec, aos dados pessoais armazenados em seus sistemas. A CGE informou ainda que até hoje não houve nenhum comunicado à Agência Nacional de Proteção de Dados (ANPD) sobre algum incidente de segurança que pudesse gerar riscos aos titulares dos dados armazenados pelo governo.
Segundo a CGE, a atuação dos profissionais de DPO (Data Protection Officer, responsável pela proteção dos dados) na CGE e das demais Secretarias e instituições do estado tem como base a Resolução CD/ANPD nº 18/2024. Veja as principais respostas enviadas pela CGE, assinada pelo Agente de Transparência da CGE, Luiz Henrique Stocco:
Pergunta: Quais foram as providências tomadas para garantir que o compartilhamento de dados com terceiros, incluindo a Fapec, atendeu aos princípios de proteção de dados, como o princípio da necessidade e adequação, além das medidas de segurança e demais regras para o tratamento de dados pessoais pelo poder público, previstas no Capítulo IV da LGPD, especialmente no que concerne ao compartilhamento de dados?
Resposta: Considerando que compete à Secretaria de Estado da Educação do Paraná exercer as atribuições de Controlador de Dados em relação aos dados pessoais tratados pela Pasta, compete à SEED responder ao questionamento ora apresentado.
Pergunta: Quais procedimentos internos foram adotados para verificar o uso dos dados pessoais dos pais de alunos pela Secretaria de Educação para o envio de vídeos para mais de 2 milhões de pessoas?
Resposta: Considerando que compete à Secretaria de Estado da Educação do Paraná exercer as atribuições de Controlador de Dados em relação aos dados pessoais tratados pela Pasta, compete à SEED responder ao questionamento ora apresentado.
Pergunta: Quais medidas foram adotadas pela CGE para garantir a segurança das informações dos pais de alunos e demais cidadãos e a conformidade com a LGPD no tratamento de dados pessoais utilizados no envio de vídeos apócrifos?
Resposta: Considerando que compete à Secretaria de Estado da Educação do Paraná exercer as atribuições de Controlador de Dados em relação aos dados pessoais tratados pela Pasta, compete à SEED responder ao questionamento ora apresentado.
Pergunta: Qual ação realizada pelo DPO quando do acesso das informações dos cadastros dos alunos realizados pela SEED para envio do referido vídeo-campanha, para mais de 2 milhões de pessoas, sem autoria assumida, quando do envio?
Resposta: Considerando que compete à Secretaria de Estado da Educação do Paraná exercer as atribuições de Controlador de Dados em relação aos dados pessoais tratados pela Pasta, compete à SEED responder ao questionamento ora apresentado.
Pergunta: Quais medidas de controle foram aplicadas ao acesso de dados pessoais compartilhados entre a FAPEC e a Secretaria de Educação para evitar abusos ou usos indevidos de dados pessoais? Foi firmado termo de compartilhamento de dados?
Resposta: Considerando que compete à Secretaria de Estado da Educação do Paraná exercer as atribuições de Controlador de Dados em relação aos dados pessoais tratados pela Pasta, compete à SEED responder ao questionamento ora apresentado.
Pergunta: O encarregado pelo tratamento de dados pessoais foi consultado antes de permitir o acesso da FAPEC aos dados pessoais dos cidadãos armazenados nos sistemas das Secretarias?
Resposta: Considerando que compete à Secretaria de Estado da Educação do Paraná exercer as atribuições de Controlador de Dados em relação aos dados pessoais tratados pela Pasta, compete à SEED responder ao questionamento ora apresentado.
Pergunta: Qual foi a posição do encarregado pelo tratamento de dados pessoais em relação ao Decreto que autorizou o acesso aos dados das Secretarias Estaduais por terceiros, como a FAPEC, considerando os riscos aos direitos dos titulares?
Resposta: Considerando que compete à Secretaria de Estado da Educação do Paraná exercer as atribuições de Controlador de Dados em relação aos dados pessoais tratados pela Pasta, compete à SEED responder ao questionamento ora apresentado.
Pergunta: A CGE tomou alguma medida corretiva ou proativa para prevenir o uso inadequado de dados pessoais em campanhas ou envios de mensagens em massa no Paraná?
Resposta: Considerando que compete à Secretaria de Estado da Educação do Paraná exercer as atribuições de Controlador de Dados em relação aos dados pessoais tratados pela Pasta, compete à SEED responder ao questionamento ora apresentado.
Pergunta: Como a CGE gerencia o acesso de terceiros, como a FAPEC, aos dados pessoais armazenados nos sistemas das Secretarias? Existem medidas de controle e rastreamento destes acessos?
Resposta: Considerando que compete à Secretaria de Estado da Educação do Paraná exercer as atribuições de Controlador de Dados em relação aos dados pessoais tratados pela Pasta, compete à SEED responder ao questionamento ora apresentado.
Pergunta: A CGE já comunicou à ANPD algum incidente de segurança que pudesse acarretar riscos ou danos relevantes aos titulares?
Resposta: Considerando não ter ocorrido incidente de segurança no âmbito da CGE-PR até a presente data, que ocasionasse prejuízo ao titular de dados pessoais, não foi necessária nenhuma comunicação à ANPD.
Pergunta: O acesso aos dados de sistemas e cadastros da Secretaria de Educação para ato apócrifo são motivos para manifestação à ANPD?
Resposta: Considerando que compete à Secretaria de Estado da Educação do Paraná exercer as atribuições de Controlador de Dados em relação aos dados pessoais tratados pela Pasta, compete à SEED responder ao questionamento ora apresentado.
Pergunta: Em quais situações uma ação do DPO pode ser considerada de responsabilidade do Encarregado pelo tratamento de dados pessoais, conforme a LGPD?
Resposta: De acordo com o art. 42 da LGPD, a responsabilidade pela reparação de dano patrimonial, moral, individual ou coletivo, decorrente da violação à legislação de proteção de dados é atribuída ao controlador ou operador de dados e não ao encarregado. Porém, considerando as atribuições do encarregado de dados, este poderá ser responsabilizado, civil ou criminalmente, se comprovado o dolo ou culpa, decorrente de ações intencionais advindas de negligência, imprudência ou imperícia no exercício de suas atividades.
Pergunta: O DPO instalou algum procedimento interno para verificar acesso a bases ou dados da SEED que possam ter participado do envio de mensagens aos identificados como interessados por essa Secretaria?
Resposta: Considerando que compete à Secretaria de Estado da Educação do Paraná exercer as atribuições de Controlador de Dados em relação aos dados pessoais tratados pela Pasta, compete à SEED responder ao questionamento ora apresentado.
Pergunta: Qual o tipo de relatório o DPO deve informar a ANPD – Autoridade Nacional de Proteção de Dados?
Resposta: O relatório de impacto à proteção de dados pessoais é um documento do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco (art. 5º, inciso XVII da LGPD).
A solicitação deste relatório poderá ser feita pela ANPD a agentes do Poder Público (art. 32 da LGPD), nos moldes do art. 38 da LGPD.
Portanto, a responsabilidade pelo envio do mencionado relatório é do controlador de dados e não do encarregado, conforme solicitação da ANPD.
Em caso de ocorrência de incidentes de segurança que possam causar riscos ou danos relevantes aos titulares, o controlador deverá comunicar aos titulares e à ANPD, conforme art. 48 da LGPD.
De acordo com os procedimentos para comunicação de incidente à ANPD indicados pela própria autarquia, esta deve ser realizada pelo encarregado pela proteção de dados ou por um representante legalmente constituído do controlador, por peticionamento eletrônico por meio do sistema SEI! da ANPD.
Pergunta: Quando o DPO fez manifestação à ANPD? Quais motivos?
Resposta: Não ocorreu até o momento, no âmbito da CGE, evento que ensejasse o envio de manifestação perante a ANPD.
Pergunta: O acesso a dados de sistemas e cadastros da Secretaria de Educação para ato apócrifo são motivos para manifestação à ANPD?
Resposta: Considerando que compete à Secretaria de Estado da Educação do Paraná exercer as atribuições de Controlador de Dados em relação aos dados pessoais tratados pela Pasta, compete à SEED responder ao questionamento ora apresentado.
