A Dinamarca proíbe o Gmail and Co das escolas devido a preocupações com a privacidade.

A autoridade de protecção de dados da Dinamarca segue as autoridades holandesas e alemãs, levantando preocupações sobre o cumprimento do PIBR do Google.

2022-07-26
Stop using Google; alternatives like Tutanota fully comply with the GDPR and protect user privacy.
As escolas dinamarquesas devem deixar de utilizar os serviços de correio electrónico e de nuvem do Google devido a preocupações ou à violação dos elevados padrões de privacidade europeus definidos pela GDPR. De acordo com a autoridade dinamarquesa de protecção de dados, o pacote de software de espaço de trabalho baseado na nuvem do Google "não cumpre os requisitos" dos regulamentos de privacidade de dados da União Europeia da GDPR.

O e-mail e a nuvem do Google "não satisfazem os requisitos".

A privacidade dos alunos deve ser protegida

Numa declaração publicada em meados de Julho, a agência dinamarquesa de protecção de dados expressa "sérias críticas e proíbe ... a utilização do Google Workspace".

Com base numa avaliação de risco para o Município de Helsingør, a autoridade de protecção de dados concluiu que o tratamento de dados pessoais dos alunos não satisfaz os requisitos do GDPR e deve, por isso, parar.

A proibição é efectiva imediatamente. Helsingør tem até 3 de Agosto para eliminar os dados dos alunos e começar a utilizar uma solução alternativa de nuvem.

"O Município de Helsingør fez um excelente e competente trabalho para mapear a forma como os dados pessoais são utilizados na escola primária, mas também destaca os problemas legais de protecção de dados que podem estar com as formas das grandes empresas tecnológicas de resolver a tarefa", diz Allan Frank, que é um especialista em segurança informática e advogado da Autoridade Dinamarquesa para a Protecção de Dados.

Protecção de Privacidade invalidada

Esta decisão segue-se a decisões semelhantes das autoridades holandesas e alemãs.

As questões com que as instituições governamentais se vêem confrontadas começaram com ainvalidação do Privacy Shield já em 2020.

O Privacy Shield foi um acordo de transferência de dados entre os EUA e a União Europeia e era suposto tornar as transferências de dados entre os dois legalmente possíveis. No entanto, o acordo foi declarado inválido pelo Tribunal de Justiça Europeu (TJE) em 2020 devido a preocupações com a privacidade.

Um grande problema que o Tribunal da UE salientou é que os dados de estrangeiros não estão protegidos nos EUA. As protecções que existem - mesmo que limitadas - só se aplicam a cidadãos dos EUA. O NSA pode obter acesso total a todo e qualquer dado de cidadãos não norte-americanos de empresas norte-americanas em qualquer altura. Além disso, as pessoas em causa não americanas não têm direitos passíveis de acção perante os tribunais contra as autoridades americanas, o que viola a "essência" de certos direitos fundamentais da UE, constatou o TJCE.

O acordo de tratamento de dados não é suficiente

Na sequência da anulação do Privacy Shield, os serviços de nuvem americanos passaram a depender de acordos de processamento de dados com os seus clientes europeus.

No entanto, esta prática é altamente questionada entre os especialistas em privacidade de dados, particularmente no que diz respeito à sua legalidade.

A declaração agora emitida pela autoridade de protecção de dados da Dinamarca prova-o mais uma vez. Lamenta - entre outras questões - que

"o acordo de tratamento de dados estabelece que a informação pode ser transferida para países terceiros em situações de apoio sem o nível de segurança exigido".

A decisão resume quatro questões principais:

  1. Suspensão do Município de Helsingør que efectua o tratamento de informação quando esta informação é transferida para países terceiros sem o nível de protecção necessário.

  2. Proibição geral do processamento com Google Workspace até que a documentação e a análise de impacto adequadas tenham sido feitas e até que o processamento seja levado em conformidade com o GDPR.

  3. Críticas sérias ao tratamento de dados pessoais por parte do município.

  4. Muitas das conclusões desta decisão serão provavelmente aplicáveis a outras municipalidades que utilizam a mesma estrutura de processamento. Espera-se que estas municipalidades tomem elas próprias medidas relevantes com base na decisão.

Google Analytics também é ilegal na Europa

Esta última decisão vem depois de os cães de guarda da privacidade de dados em França e na Áustria terem decidido que é ilegal para os websites europeus utilizar o Google Analytics para localizar os visitantes devido a uma violação das regras europeias de privacidade de dados.

Também aqui a questão é que os dados pessoais são transferidos para os Estados Unidos para processamento sem o consentimento dos visitantes do website.

Consequências para as escolas dinamarquesas, holandesas e alemãs

Com base nas declarações dos cães de guarda da privacidade dinamarqueses, holandeses e alemães, as escolas na Dinamarca, nos Países Baixos e na Alemanha não podem utilizar o correio electrónico do Google ou os serviços em nuvem.

Embora as declarações dos cães de guarda da privacidade dinamarqueses, holandeses e alemães se refiram principalmente a pressionar as empresas tecnológicas americanas a aderir finalmente a regulamentos de privacidade europeus rigorosos, seria muito preferível ter uma verdadeira alternativa à Microsoft, Google e Apple. É isso que a Tutanota está a construir neste momento. Começando com e-mails seguros, a Tutanota oferece hoje também um livro de endereços encriptado, um calendário encriptado e o formulário de contacto encriptado Secure Connect. Estão planeadas muitas mais funcionalidades, tais como uma unidade encriptada, e estimamos que dentro de mais alguns anos, poderemos oferecer um Groupware encriptado com o máximo respeito pela privacidade do utilizador.

Alternativa europeia

As escolas europeias podem agora ou esperar até que a Big Tech resolva os seus problemas de privacidade. Ou podem começar a procurar alternativas europeias. Estas últimas terão um grande impacto positivo na Europa e na população europeia como um todo:

  1. O negócio europeu da tecnologia é reforçado e pode estabelecer uma alternativa à Big Tech.

  2. Os dados dos cidadãos europeus estão a ser protegidos de acordo com o GDRP.

  3. Os dados são armazenados na Europa e nenhuma transferência de dados está a acontecer.

Tutanota, por exemplo, assinala todas as caixas que uma escola europeia gostaria de proteger os dados sensíveis de alunos, professores e pais. Muitas escolas, particularmente na Alemanha, já estão a utilizar Tutanota.

"Num ambiente empresarial muito sensível, escolhemos Tutanota entre vários programas de encriptação. Tutanota impressiona com a sua aplicação extremamente simples. Mesmo os colegas não técnicos podem codificar anexos e textos sensíveis de acordo com os regulamentos de protecção de dados. A administração simples, imediatamente acessível e sempre amigável e um preço justo também se destaca", diz Dietmar Kopp, Maria-Montessori-School.

Para além do cumprimento de regulamentos rigorosos de protecção de dados, em Tutanota todos os dados são armazenados encriptados em servidores alemães. Assim, Tutanota está em total conformidade com a GDPR.