Em maio de 2022, uma tradicional instituição de ensino superior americana encerrou as atividades de 157 anos após sofrer um ataque ransomware.
Em outubro de 2024, uma servidora municipal de uma creche no estado brasileiro do Tocantins foi presa por suspeita de roubar dados pessoais de pais de alunos e de colegas de trabalho para aplicar golpes bancários.
Em janeiro de 2025, uma gigante americana de software educacional baseado em cloud, atuante especialmente nos Estados Unidos e no Canadá, além do Brasil, informou às escolas das quais é fornecedora (operadora de dados pessoais de alunos e pais/responsáveis) que havia sofrido um incidente cibernético com exfiltração de dados pessoais.
O que essas instituições de ensino têm em comum?
Sem entrar no mérito da causa de cada situação descrita, o que essas instituições têm em comum é que todas sofreram incidentes de segurança da informação com o comprometimento de dados pessoais.
O grande volume de dados pessoais tratados, a alta digitalização nos últimos anos, os baixos investimentos em medidas preventivas eficazes, o uso de sistemas legados e desatualizados, pouco ou nenhum treinamento dos colaboradores e a descrença de que possam se tornar alvo são algumas das razões pelas quais as escolas, faculdades e universidades são vulneráveis a incidentes deste tipo.
As fraquezas das empresas educacionais são conhecidas e exploradas, principalmente por ciber atacantes.
O que acontece em escolas e universidades
Um dos pontos que se pode observar nesses negócios é a falta de clareza sobre os seus processos, mesmo para quem está inserido neles. É comum a falta de controle adequado no acesso aos dados pessoais de alunos e responsáveis; o compartilhamento de dados baseado na confiança; professores tirando fotos de alunos menores com o seu próprio celular; postagens em redes sociais sem consentimento expresso; contratação de fornecedores descomprometidos com o seu papel de operadores de dados.
Como atuar para tornar o ambiente educacional mais seguro
Investimento, essa é a palavra-chave. Em quê? Em um ambiente de TI com medidas técnicas robustas; em treinamento para colaboradores pedagógicos e administrativos; em parcerias seguras e contratos bem elaborados com fornecedores (operadores de dados); na nomeação de um DPO conhecedor da matéria privacidade e proteção de dados, da LGPD e do negócio; num canal de comunicação com titulares e com a ANPD bem estabelecido. Por fim, em transparência.
Cabe às instituições de ensino básico e superior se apropriarem do seu papel de controladoras de dados pessoais e perceberem a responsabilidade que isso representa. Os dados pessoais são insumo para o negócio educacional, não há escola ou universidade sem tratar dados de alunos, de pais/responsáveis, de colaboradores, e isso acontece em grande volume.
Considerar a proteção dos dados pessoais como prioridade nos processos educacionais e administrativos, além de obrigação legal, pode ser um diferencial competitivo num país que ostenta o título de campeão mundial em vazamento de dados.
