Acordo de US$ 17,25 Milhões da PowerSchool sobre o Rastreamento de Estudantes do Naviance

Acordo de US$ 17,25 Milhões da PowerSchool sobre o Rastreamento de Estudantes do Naviance

Um acordo de ação coletiva de US$ 17,25 milhões contra a PowerSchool está trazendo atenção renovada a uma prática que muitas famílias nem sabiam que existia: a vigilância silenciosa e contínua dos alunos através das próprias plataformas que as escolas determinam que eles usem. O processo teve como foco o Naviance, uma ferramenta amplamente utilizada para preparação para a faculdade e carreira, e alegou que a plataforma incorporou software de rastreamento de terceiros que coletava teclas digitadas, cliques e comunicações privadas dos alunos sem consentimento, de 2021 a 2026. Este caso é um dos exemplos mais claros até agora de como as falhas de privacidade no rastreamento de dados estudantis pela tecnologia educacional podem persistir por anos antes que alguém seja responsabilizado.

O Que o Naviance Realmente Coletava — e Por Quanto Tempo

O Naviance não é uma ferramenta de nicho. Usado por milhões de alunos do ensino médio nos Estados Unidos, ele funciona como um centro para acompanhamento de inscrições para faculdades, avaliações de carreira e planejamento acadêmico. Como as escolas o atribuem, os alunos e as famílias normalmente não têm escolha a não ser usá-lo.

De acordo com o processo, o rastreamento incorporado ao Naviance ia muito além das análises padrão. Softwares de terceiros supostamente capturavam dados no nível das teclas digitadas, o que significa que cada caractere que um aluno digitava podia ser registrado. Cliques, padrões de navegação e comunicações privadas também teriam sido coletados. Esse tipo de coleta de dados não é passivo. É granular, comportamental e, em muitos casos, muito mais revelador do que um simples registro de login.

Talvez o mais impressionante seja o cronograma. O suposto rastreamento ocorreu de 2021 a 2026, uma janela de cinco anos durante a qual milhões de alunos podem ter tido informações sensíveis coletadas sem seu conhecimento ou o conhecimento de seus pais ou responsáveis. Nenhum consentimento foi obtido. Nenhuma divulgação clara foi feita. A vigilância era, por concepção, invisível.

Por Que Plataformas Fornecidas pelas Escolas São um Ponto Cego para a Privacidade dos Alunos

Quando uma empresa vende um aplicativo para o consumidor e incorpora rastreadores, os usuários têm pelo menos a opção teórica de recusar. Quando uma escola exige uma plataforma, essa opção desaparece. Os alunos precisam usar a ferramenta para concluir tarefas, enviar inscrições ou acessar recursos. Isso cria um problema fundamental de consentimento que as leis existentes têm tido dificuldade em abordar completamente.

Estruturas federais como a FERPA (Lei dos Direitos Educacionais e Privacidade da Família) e a COPPA (Lei de Proteção à Privacidade Online das Crianças) fornecem algumas proteções básicas, mas não foram concebidas com a complexidade dos ecossistemas modernos de tecnologia educacional em mente. Uma escola pode contratar um fornecedor. Esse fornecedor pode incorporar código de terceiros. Esses terceiros podem coletar dados. Cada etapa pode tecnicamente estar em conformidade com as regras existentes e ainda assim resultar no fluxo de dados dos alunos para entidades das quais as famílias nunca ouviram falar.

Essa dinâmica é o que torna o caso da PowerSchool significativo além do valor monetário. É um exemplo documentado da lacuna entre a conformidade legal e a transparência genuína. O fato de o rastreamento supostamente ter continuado por cinco anos sem aviso público ressalta quão pouca visibilidade pais e alunos normalmente têm sobre o que as plataformas escolares realmente fazem.

Esse problema não se limita ao rastreamento passivo. Como a violação de dados do Canvas pelo ShinyHunters demonstrou, a exposição de dados dos alunos abrange tanto a vigilância encoberta quanto ataques cibernéticos ativos. Quando quase 275 milhões de registros de alunos foram colocados em risco naquele incidente, isso reforçou que o setor de tecnologia educacional enfrenta vulnerabilidades de múltiplas direções simultaneamente.

Como Funciona o Rastreamento Oculto de Teclas Digitadas e Comunicações

Para os leitores não familiarizados com os mecanismos técnicos, vale a pena entender como esse tipo de rastreamento opera na prática. Scripts de rastreamento de terceiros são normalmente incorporados pelos desenvolvedores da plataforma durante o processo de construção. Quando um usuário carrega uma página, esses scripts são executados automaticamente em segundo plano. O usuário não vê nada de anormal.

Scripts de registro de teclas digitadas podem gravar a entrada em tempo real, capturando o que alguém digita antes mesmo de apertar o botão de enviar. Ferramentas de repetição de sessão podem gravar movimentos do mouse, comportamento de rolagem e padrões de clique para reconstruir exatamente o que um usuário fez durante uma sessão. A interceptação de comunicações pode ocorrer quando mensagens enviadas pelo sistema interno de uma plataforma passam por infraestrutura de terceiros antes de chegar ao seu destino.

Nada disso requer acesso especial a um dispositivo. Acontece dentro do navegador, na própria plataforma. Softwares antivírus padrão não sinalizam isso. Controles parentais não bloqueiam. Até mesmo extensões de navegador focadas em privacidade podem não detectar se os scripts estiverem profundamente integrados ao código da própria plataforma.

É por isso que o consentimento e a divulgação em nível contratual, entre escolas e fornecedores, importam tanto. No momento em que um aluno abre o Naviance, o fluxo de dados já foi estabelecido.

O Que as Famílias Podem Fazer para Limitar a Vigilância da Tecnologia Educacional

O acordo da PowerSchool não será o último do tipo. A adoção da tecnologia educacional continua a se expandir, e os incentivos financeiros para monetizar dados comportamentais permanecem fortes. Dito isso, as famílias não estão totalmente sem recursos.

Solicite o inventário de dados. Sob a FERPA, pais de alunos menores de 18 anos têm o direito de solicitar acesso aos registros educacionais. As escolas também devem ser capazes de fornecer uma lista de fornecedores terceiros com os quais compartilham dados dos alunos. Solicitar essa lista coloca as escolas em alerta de que as famílias estão prestando atenção.

Revise as políticas de tecnologia escolar anualmente. Muitos distritos atualizam suas políticas de uso aceitável e privacidade de dados no início de cada ano letivo. Ler esses documentos, mesmo que de forma resumida, pode revelar quais plataformas estão em uso e quais práticas de dados são divulgadas.

Use proteções no nível do navegador sempre que possível. Embora as famílias nem sempre possam optar por não usar plataformas atribuídas pela escola, os alunos que usam dispositivos pessoais para o trabalho escolar podem se beneficiar de navegadores focados em privacidade ou extensões que limitam a execução de scripts de terceiros, quando tais ferramentas não interferem na funcionalidade necessária da plataforma.

Envolva os conselhos escolares e administradores. A proteção mais eficaz a longo prazo vem da responsabilização institucional. Perguntas lideradas por pais em reuniões do conselho escolar sobre contratos com fornecedores e auditorias de dados criam pressão por uma supervisão mais forte.

Mantenha-se informado sobre incidentes de tecnologia educacional. O caso da PowerSchool e a violação do Canvas pelo ShinyHunters fazem parte de um padrão mais amplo. Entender que violações de dados e vigilância de alunos são problemas recorrentes, não eventos isolados, é a base para exigir melhores proteções.

O acordo de US$ 17,25 milhões contra a PowerSchool é um resultado significativo, mas a verdadeira importância é o que ele revela sobre as práticas padrão da indústria. Se uma plataforma usada por milhões de alunos durante cinco anos pôde incorporar software de rastreamento não divulgado, a pergunta que vale a pena fazer não é apenas o que o Naviance estava fazendo, mas o que outras plataformas de tecnologia educacional podem estar fazendo agora. Famílias, educadores e formuladores de políticas têm todos um papel a desempenhar na exigência de respostas antes do próximo acordo, não depois.