Departamento de Educação ‘Infeliz’ repreendido por violação ‘inaceitável’ de dados
O Departamento de Educação foi emitida uma reprimenda pelo regulador de protecção de dados do Reino Unido após ter sido descoberto que as empresas de jogos de azar tinham tido acesso aos registos de aprendizagem dos alunos.
O Gabinete do Comissário de Informação emitiu o aviso após o que chamou um “uso indevido prolongado das informações pessoais de até 28 milhões de crianças”.
Uma inspecção constatou que o DfE tinha concedido Trust Systems Software UK, negociando como TrustopiaUma empresa de selecção de emprego, acesso à base de dados para fins de verificação da idade, para ajudar as empresas de jogo a confirmar se os clientes eram maiores de 18 anos.
Esta partilha de dados, disse o ICO, significava que a informação não estava a ser utilizada para a sua finalidade original, o que é contra a lei de protecção de dados.
John EdwardsO Comissário de Informação do Reino Unido declarou que uma multa de 10 milhões de libras teria sido justificada devido à natureza grave da infracção, no entanto, qualquer dinheiro ganho como tal “é devolvido ao governo, e por isso o impacto teria sido mínimo”, foi notado.
Foi emitida uma repreensão ao DfE, estabelecendo medidas claras a tomar para melhorar as suas práticas de protecção de dados, para que os dados das crianças sejam devidamente tratados.
O ICO descobriu que a base de dados do serviço de registos de aprendizagem tem informações pessoais de até 28 milhões de crianças e jovens a partir dos 14 anos de idade. Esta regista o nome completo, dados de nascimento e género, com campos opcionais para endereço de correio electrónico e nacionalidade, bem como os resultados de aprendizagem e formação de uma pessoa. e é mantida durante 66 anos.
Na altura da violação, 12.600 organizações tinham acesso à base de dados do LRS, incluindo escolas, faculdades, instituições de ensino superior e outros fornecedores de ensino.
Verificou-se que Trustopia teve acesso à base de dados da LRS de Setembro de 2018 a Janeiro de 2020 e que foram efectuadas pesquisas em 22.000 alunos para fins de verificação da idade.
“Ninguém precisa de persuadir que uma base de dados dos registos de aprendizagem dos alunos a ser utilizada para ajudar as empresas de jogo é inaceitável”, comentou John Edwards, Comissário de Informação do Reino Unido.
“A nossa investigação concluiu que os processos postos em prática pelo Departamento de Educação eram lamentáveis. Os dados estavam a ser mal utilizados, e o Departamento desconhecia que havia mesmo um problema até que um jornal nacional os informou.
“Todos nós temos o direito absoluto de esperar que os nossos departamentos do governo central tratem os dados que possuem sobre nós com o máximo respeito e segurança. Ainda mais quando se trata da informação de 28 milhões de crianças.
“Esta foi uma infracção grave da lei, e que teria justificado uma multa de 10 milhões de libras neste caso específico. Tomei a decisão de não emitir essa multa, uma vez que qualquer dinheiro pago em multas é devolvido ao governo, e por isso o impacto teria sido mínimo.
“Mas isso não deve diminuir a gravidade dos erros que salientámos, nem a urgência da sua resolução pelo Departamento de Educação”.
Na sequência do incidente, o DfE retirou o acesso à base de dados do LRS a 2.600 organizações e diz-se também que reforçou o seu processo de registo.
Além disso, a investigação sobre Trustopia confirmou que a empresa já não tinha acesso à base de dados, tendo sido eliminado o cache de dados mantidos em ficheiros temporários. Devido à dissolução de Trustopia antes da conclusão da investigação da ICO, não foi possível tomar medidas regulamentares.