- Sitios web educativos dirigidos a estudiantes brasileños, incluidos dos creados por secretarías de educación estatales, han estado controlando a niños y recopilando sus datos personales.
- Estos sitios web no sólo vigilaban a los niños en sus aulas en línea, sino que los rastreaban a través de Internet, fuera del horario escolar y adentrándose en sus vidas privadas.
- Brasil debe exigir a empresas y gobiernos que dejen de vigilar los datos de los niños e introducir salvaguardias legales para protegerlos en línea.
(São Paulo) – Los sitios web educativos que Brasileño estudiantes, incluidos dos creados por secretarías de educación estatales, han estado vigilando a niños y recopilando sus datos personales, señaló hoy Human Rights Watch. El gobierno brasileño debe modificar la ley de privacidad de Brasil e introducir nuevas salvaguardias para proteger a los niños en línea.
Un análisis realizado por Human Rights Watch en noviembre de 2022 y revisado en enero de 2023 descubrió que siete sitios web educativos estaban extrayendo datos de niños y compartiéndolos con empresas de terceros mediante el uso de tecnologías de seguimiento para publicidad. Los sitios web son: Estude em Casa, Centro de Mídias da Educação de São Paulo, Descomplica, Escola Mais, Explicaê, MangaHigh y Stoodi. Un octavo sitio web, Revisa Enem, transmitía los datos de los niños a una tercera empresa, pero sin utilizar rastreadores específicos de anuncios.
Estos sitios web no sólo vigilaban a los niños en sus aulas en línea, sino que los rastreaban por Internet, fuera del horario escolar y en lo más profundo de su vida personal.
“En Brasil, los niños y sus familias no son informados de la vigilancia de datos que se ejerce sobre ellos en las aulas virtuales. Hye Jung Han, investigadora y defensora de los derechos del niño y la tecnología en Human Rights Watch. “En lugar de proteger a los niños, los gobiernos estatales han permitido intencionadamente que cualquiera pueda vigilarlos y recopilar sus datos personales en línea”.
Las secretarías de educación de Minas Gerais y São Paulo habían aprobado originalmente estos sitios web para su uso por los niños durante la pandemia de Covid 19, y siguen en uso. Human Rights Watch había informó en mayo de 2022 que este y otro sitio web violan la privacidad de los niños. A raíz de esta investigación, un sitio web, DragonLearn, fue retirado de Internet.
Human Rights Watch descubrió que cinco sitios web utilizaban técnicas de rastreo especialmente intrusivas para vigilar a los niños de formas que no podían evitarse ni protegerse.
Las guías de estudio y los vídeos de Escola Mais fueron aprobados por la Secretaría de Educación de São Paulo para los alumnos de primaria durante el cierre de las escuelas de Covid-19. El sitio web promueve ahora cursos presenciales basados en la tecnología para alumnos de primaria y secundaria.
Human Rights Watch descubrió que Escola Mais utiliza grabadores de sesión, una técnica que permite a un tercero observar y grabar el comportamiento de un usuario en un sitio web. Esto incluye los clics del ratón y los movimientos en una página web; el equivalente digital de la grabación de videovigilancia cada vez que un niño en clase se rasca la nariz o coge el bolígrafo.
Normalmente, el tercero examinaría entonces los datos en nombre del sitio web para sacar conclusiones sobre la personalidad, las preferencias y el próximo comportamiento de un usuario. Escola Mais no respondió a cuatro peticiones de comentarios.
Human Rights Watch también descubrió que, entre 2021 y 2023, los sitios web de educación propiedad de los ministerios de educación de Minas Gerais y São Paulo y operados por ellos enviaron datos personales de niños a empresas de tecnología publicitaria. Ambos sitios web siguen actualizándose periódicamente con videocursos y materiales para estudiantes.
En respuesta a la investigación, la Secretaría de Educación de Minas Gerais retiró inmediatamente todo el seguimiento de anuncios de su sitio web. Este hecho positivo demuestra que es posible desarrollar y proporcionar servicios educativos para niños que no comprometan los datos y la privacidad de los niños.
La Secretaría de Educación de São Paulo sigue avalando el uso de siete sitios web educativos que recopilan indebidamente datos personales de los niños, incluso los suyos propios. No ha respondido a cuatro solicitudes de Human Rights Watch.
Human Rights Watch también descubrió que cuatro sitios web rastrean a los niños más intensamente que el adulto medio que navega por Internet.
Con la excepción de Revisa Enem, todos los sitios web estudiados por Human Rights Watch recopilaban grandes cantidades de datos de niños y los enviaban a empresas especializadas en publicidad basada en el comportamiento, que analizan los datos de un niño para predecir lo que podría hacer a continuación o cómo podría verse influido. Los anunciantes pueden utilizar estos datos para ofrecer al niño contenidos y publicidad personalizados que le sigan por Internet.
La elaboración de perfiles, la selección de objetivos y la publicidad dirigida a los niños de este modo viola de forma inadmisible la intimidad de los niños, ya que no es proporcionado ni necesario para que estos sitios web funcionen o ofrezcan contenidos educativos. También existe el riesgo de que se vulneren otros derechos de los niños si esta información se utiliza para orientarles en una dirección que sea perjudicial o no redunde en su interés superior. Tales prácticas también desempeñan un papel muy importante a la hora de configurar las experiencias en línea de los niños y determinar la información que ven en un momento de sus vidas en el que sus opiniones y creencias corren un alto riesgo de sufrir influencias manipuladoras.
Durante el cierre de las escuelas Covid 19, los niños no pudieron oponerse de forma significativa a esta vigilancia. Dado que estos sitios web temporales eran gratuitos y el gobierno los entregaba a las escuelas, muchas de ellas adoptaron su uso. Para muchos niños, era imposible escapar a la vigilancia sin renunciar por completo al aprendizaje formal.
Ni la Secretaría de Educación de Minas Gerais ni la de São Paulo parecen haber comprobado que sus herramientas de aprendizaje en línea fueran seguras para los niños. Incluso después de la reapertura de las escuelas, la proliferación de estos sitios web por parte de los gobiernos estatales durante la pandemia allanó el camino para su uso continuado por parte de alumnos y escuelas.
A los niños se les sigue negando el conocimiento para resistirse o protegerse contra estas invasiones de su privacidad: Ni las agencias gubernamentales ni las empresas han revelado completamente sus prácticas de rastreo, que son invisibles para el usuario.
La Autoridad Brasileña de Protección de Datos debería poner fin a estos ataques contra la privacidad de los niños. Debería exigir a estas empresas y a los gobiernos estatales que eliminen los datos de los niños recopilados desde la pandemia e impedir que sigan utilizando los datos de los niños para fines no relacionados con la educación.
La Constitución brasileña protege el derecho a la privacidad. El país también ha ratificado la Convención de la ONU sobre los Derechos del Niño, que otorga a los niños una protección especial de su intimidad.
Aunque la decisión del gobierno del estado de Miras Gerais de eliminar la monitorización de datos de su sitio web de educación es positiva, los niños de Brasil no deberían estar protegidos de forma diferente de un estado a otro, y no se puede confiar en que los proveedores individuales lo hagan mejor. La ley brasileña de protección de datos – la Lei Geral de Proteção de Dados Pessoais o Ley General de Protección de Datos Personales – no ofrece suficiente protección a los niños en su forma actual. No prohíbe explícitamente a los agentes hacer un uso indebido de los datos de los niños, ni les obliga a garantizar un alto nivel de seguridad para los niños.
Los legisladores deben modificar la ley para establecer normas exhaustivas que protejan los datos de los niños, incluida la prohibición de la publicidad basada en el comportamiento y el uso de técnicas de rastreo intrusivas en los niños. Estas normas también deberían exigir a todos los agentes que prestan servicios en línea a los niños -incluido el aprendizaje en línea- que ofrezcan el máximo nivel de protección de los datos y la privacidad de los niños.
“Los niños no deben verse obligados a renunciar a su privacidad para aprender”, dijo Han. “El gobierno debe establecer urgentemente salvaguardias de privacidad para poner fin a la vigilancia de los niños en línea”.
A continuación se ofrecen más detalles sobre cada uno de los sitios web educativos.
Metodología
Brasil delega importantes poderes de decisión en sus autoridades educativas a nivel estatal. Durante la pandemia de cierre de escuelas, esto incluyó decidir qué productos de aprendizaje en línea aprobar o adquirir para uso escolar. Human Rights Watch seleccionó los dos estados más poblados – São Paulo y Minas Gerais – y llevó a cabo un análisis técnico de los nueve productos de edtech que aprobaron. Utilizó una versión personalizada de Blacklight, un inspector de privacidad en tiempo real para sitios web desarrollado por Surya Mattu, antiguo ingeniero de datos senior y periodista de investigación de datos en The Markup.
Para Human Rights Watch, no es posible determinar definitivamente la intención de una tecnología de rastreo o el uso de los datos recopilados, más allá de informar sobre lo que puede determinarse a partir de los datos y las propias declaraciones de empresas y gobiernos. Por ejemplo, un producto puede contener un código informático de terceros que recoja datos que pueden ser útiles para controlar el rendimiento del producto. Estos datos también pueden utilizarse con otros códigos de terceros con fines promocionales.
Para evitar ambigüedades, Human Rights Watch verificó las empresas que recibieron los datos de los niños y las que poseen las tecnologías de seguimiento que se encuentran en un producto de aprendizaje en línea.
La investigación de Human Rights Watch de mayo de 2022 sobre los productos de aprendizaje en línea respaldados por 49 países y su metodología completa puede consultarse aquí. aquí. Todos los resultados y análisis técnicos de este estudio pueden consultarse en aquí.
Human Rights Watch compartió sus conclusiones y pruebas técnicas con las empresas y las dos secretarías de educación estatales, y les dio múltiples oportunidades de formular observaciones. Human Rights Watch ofreció a las secretarías de educación una última oportunidad para comentar en marzo de 2023, antes de la publicación. Todas las respuestas se describen a continuación.
Cuando se le preguntó, Google no confirmó que hubiera recibido datos de estos sitios web, ni respondió si había utilizado estos datos para publicidad. Políticas publicitarias de Google prohíben dirigirse a niños menores de 13 años con publicidad basada en el comportamiento.
Visita a la casa
Estude em Casa es un sitio web que fue creado desarrollado por la Secretaría de Educación de Minas Gerais para ofrecer aprendizaje gratuito a los niños durante el cierre de las escuelas Covid 19, y sigue actualizándose periódicamente con videocursos y materiales. Según la Secretaría de Educación, se desarrolló para ayudar a los niños a “aprender de forma segura en casa durante este período de aislamiento social”.
En mayo de 2022, Human Rights Watch informó de que Estude em Casa los datos de sus usuarios a una empresa tercera y a su departamento de publicidad. Esto implicaba el uso de cuatro rastreadores de anuncios, tres cookies de terceros y la herramienta de Google Analytics “Audiencias de remarketing”, lo que permitía al sitio web dirigirse potencialmente a los usuarios de todo internet con publicidad.
Cuando se le pidieron comentarios en abril de 2022, la Secretaría de Educación afirmó que “Estude em Casa no recopila datos con fines publicitarios u otros fines comerciales” y que “no utiliza ni recopila datos de los estudiantes, ya que no es necesario registrarse para acceder a la plataforma”, pero reconoció que utiliza Google Analytics “con fines de seguimiento y supervisión”.
En noviembre de 2022 y de nuevo en enero de 2023, Human Rights Watch comprobó que Estude em Casa seguía enviando datos de los usuarios a la misma empresa de terceros y a su división de publicidad a través de tres rastreadores de anuncios, tres cookies de terceros y la herramienta “Remarketing Audiences” de Google Analytics.
Tras ser notificada por Human Rights Watch, la Secretaría de Educación eliminó rápidamente todos los rastreadores de anuncios de Estude em Casa el 24 de marzo de 2023.
Centro de Mídias da Educação de São Paulo
Centro de Mídias da Educação de São Paulo es un sitio web y una app desarrollado y utilizado por la Secretaría de Educación de São Paulo desarrollado para ofrecer clases gratuitas durante el cierre de escuelas de Covid-19, y sigue actualizándose periódicamente con videocursos y materiales.
En mayo y noviembre de 2022, y de nuevo en enero de 2023, Human Rights Watch estará declaró que el producto envía datos de los usuarios a dos empresas de terceros a través de cuatro rastreadores de anuncios, incluido un script de seguimiento que puede habilitar la publicidad.
La Secretaría de Educación de São Paulo no respondió a cuatro solicitudes de comentarios, las últimas realizadas al nuevo gobierno en enero y marzo de este año. Tampoco respondió a la oferta de Human Rights Watch de marzo de 2023 de discutir estos hallazgos antes de su publicación.
Descomplica
Descomplica es un sitio web y una aplicación desarrollados por la empresa brasileña Descomplica Cursos Livres Via Web, dirigidos a los estudiantes que realizan los exámenes de acceso Enem y Vestibular a las universidades brasileñas. Descomplica afirma ser la mayor plataforma de enseñanza en línea del país y ha sido aprobada por el Ministerio de Educación nacional.
El 26 de marzo de 2020, la Secretaría de Educación de São Paulo aprobó. su uso para los estudiantes de secundaria que se preparan para estos exámenes durante el cierre de las escuelas Covid 19. El uso era gratuito hasta diciembre de 2020.
En mayo de 2022, Human Rights Watch informó de que Descomplica… los datos de sus usuarios a 20 empresas. Se trataba de 30 rastreadores de anuncios y 19 cookies de terceros que rastreaban a los usuarios por internet. La mayoría de estas empresas estaban especializadas en utilizar este tipo de información para dirigir publicidad basada en el comportamiento.
Los niños que utilizaban Descomplica con fines de estudio eran objeto de un seguimiento más intenso que el adulto medio que visita un sitio web. Para comparar: The Markup ha descubierto que ha descubierto que los 80.000 sitios web más populares del mundo -una lista que incluye a gigantes mundiales del comercio electrónico que utilizan una amplia publicidad- cargan una media de tres cookies de terceros y siete rastreadores de anuncios.
Descomplica también utilizó la grabación de sesiones para registrar lo que hacían los usuarios en su sitio web, incluidos clics y movimientos en la página, y envió el registro a una empresa de terceros. Descomplica también utilizaba el píxel de Facebook y las “audiencias de remarketing” de Google Analytics, dos herramientas que le permitían dirigirse a los usuarios con publicidad a través de Internet.
En noviembre de 2022 y de nuevo en enero de 2023, Human Rights Watch descubrió que Descomplica enviaba datos de los usuarios a 26 empresas, utilizando 37 rastreadores de anuncios y 39 cookies de terceros. Descomplica siguió utilizando registradores de sesión, el píxel de Facebook y la herramienta “Remarketing Audiences” de Google Analytics.
Descomplica no respondió a cuatro solicitudes de comentarios.
DragonLearn
DragonLearn era un sitio web desarrollado por la empresa brasileña del mismo nombre. El 26 de marzo de 2020, la Secretaría de Educación de São Paulo aprobó. uso para los estudiantes de primaria durante el cierre de las escuelas Covid 19, y el sitio podría ser utilizado de forma gratuita hasta diciembre de 2020.
En mayo de 2022, Human Rights Watch informó de que DragonLearn era los datos de sus usuarios a seis empresas. Se trataba de ocho rastreadores de anuncios y tres cookies de terceros que rastreaban a los usuarios a través de Internet. DragonLearn también utilizó grabadores de sesión para registrar lo que hacían los usuarios en su sitio web, incluidos los clics y los movimientos en la página, y envió los registros a una empresa de terceros. DragonLearn también utilizó Facebook Pixel y Google Analytics “Remarketing Audiences”, dos herramientas que le permitían dirigirse a los usuarios con publicidad en internet.
Tras la investigación de Human Rights Watch en mayo y la posterior cobertura mediática, DragonLearn fue retirada de Internet.
DragonLearn no respondió a tres solicitudes de comentarios.
Escola Mais
Escola Mais es un sitio web creado por una empresa brasileña del mismo nombre que ofrece clases particulares para estudiantes de primaria y secundaria. El 26 de marzo de 2020, la Secretaría de Educación de São Paulo aprobó. el uso de las guías de estudio y vídeos de Escola Mais para los alumnos de primaria durante el cierre de las escuelas de Covid-19, y el sitio web podrá utilizarse gratuitamente hasta enero de 2021.
En mayo de 2022, Human Rights Watch informó de que Escola Mais estaba los datos de sus usuarios a seis empresas. Esto implicaba el uso de 11 rastreadores de anuncios y 6 cookies de terceros que rastreaban a los usuarios por internet. El sitio web también transmitía los datos de los usuarios a través del píxel de Facebook y de “Audiencias de remarketing” de Google Analytics, dos herramientas que le permitían dirigirse a los usuarios con publicidad a través de internet.
En noviembre de 2022 y de nuevo en enero de 2023, Human Rights Watch descubrió que Escola Mais había compartido los datos de sus usuarios con 37 empresas, utilizando 34 rastreadores de anuncios y 53 cookies de terceros. Escola Mais siguió utilizando el píxel de Facebook y las “audiencias de remarketing” de Google Analytics.
Human Rights Watch también descubrió que Escola Mais había empezado a utilizar registradores de sesión, una técnica que permite a un tercero observar y registrar el comportamiento de un usuario en un sitio web. Escola Mais también había empezado a utilizar key logging, una técnica invasiva que captura en secreto la información personal que los usuarios introducen en formularios, como nombres, números de teléfono y contraseñas, antes de que hagan clic en enviar. Las empresas han utilizado esta técnica con muchos fines, entre ellos identificar a usuarios anónimos de Internet cotejándolos con direcciones postales y nombres reales antes de que puedan dar su consentimiento.
Escola Mais no respondió a cuatro solicitudes de comentarios.
Explicaê
Explicaê es un sitio web creado por la empresa brasileña Explicaê Conteudo e Educacao Digital. El 26 de marzo de 2020, la Secretaría de Educación de São Paulo aprobó. su uso para los estudiantes de secundaria que se preparan para las Pruebas de Acceso a la Universidad de Brasil Enem y Vestibular durante el cierre de las escuelas Covid 19, y su uso era gratuito hasta enero de 2021.
En mayo de 2022, informó Human Rights Watch, Explicaê había los datos de sus usuarios a cinco empresas. Para ello se utilizaron siete rastreadores de anuncios y una cookie de terceros que rastreaban a los usuarios a través de internet. El sitio web también transmitía los datos de los usuarios a través del píxel de Facebook y de las “audiencias de remarketing” de Google Analytics, dos herramientas que le permitían dirigirse a los usuarios de todo internet con publicidad.
En noviembre de 2022 y nuevamente en enero de 2023, Human Rights Watch descubrió que Explicaê había compartido los datos de sus usuarios con 9 empresas, utilizando 12 rastreadores de anuncios y 10 cookies de terceros. Explicaê también siguió utilizando el píxel de Facebook y las “audiencias de remarketing” de Google Analytics.
Explicaê no respondió a cuatro solicitudes de comentarios.
MangaHigh
MangaHigh es un sitio web desarrollado por la empresa británica Blue Duck Education Limited que ofrece juegos de aprendizaje matemático para alumnos de preescolar, primaria y secundaria. El 26 de marzo de 2020, la Secretaría de Educación de São Paulo aprobó. su uso para alumnos de primaria durante el cierre de las escuelas Covid 19, y el uso era gratuito hasta diciembre de 2021.
En mayo de 2022, Human Rights Watch informó de que MangaHigh era los datos de sus usuarios a 4 empresas, utilizando 11 rastreadores de anuncios. El sitio web también transmitía los datos de los usuarios a través de Facebook Pixel y de “Remarketing Audiences” de Google Analytics, dos herramientas que le permitían dirigirse a los usuarios con publicidad en todo Internet. MangaHigh también utilizaba la grabación de sesiones para registrar lo que hacían los usuarios en ese sitio web, incluidos los clics y los movimientos del ratón en la página, y enviaba la grabación a una empresa tercera. También grababa las pulsaciones del teclado para capturar el texto que los usuarios escribían antes de hacer clic en “enviar”.
En noviembre de 2022 y de nuevo en enero de 2023, Human Rights Watch descubrió que MangaHigh enviaba los datos de sus usuarios a tres empresas, utilizando cuatro rastreadores de anuncios y una cookie de terceros. El sitio web ya no utilizaba el registro de sesiones ni los píxeles de Facebook, pero seguía utilizando el registro de claves y las “Audiencias de remarketing” de Google Analytics.
Cuando se puso en contacto con MangaHigh en diciembre de 2022, esta solicitó detalles sobre el nuevo análisis técnico. Human Rights Watch proporcionó una copia completa de las pruebas y conclusiones. MangaHigh no respondió.
Revisa Enem
Revisa Enem es un sitio web creado por una empresa brasileña con el mismo nombre. El 26 de marzo de 2020, la Secretaría de Educación de São Paulo aprobó. su uso durante el cierre de las escuelas Covid-19 para los estudiantes de secundaria que se preparan para los exámenes de ingreso a la universidad brasileña Enem y Vestibular, y podría ser utilizado de forma gratuita hasta diciembre de 2021.
En mayo de 2022, Human Rights Watch encontró que Revisa Enem los datos de sus usuarios a una empresa tercera que utiliza un rastreador de anuncios.
En noviembre de 2022 y de nuevo en enero de 2023, Human Rights Watch descubrió que Revisa Enem transfería los datos de sus usuarios a una empresa de terceros que utilizaba dos rastreadores de anuncios.
Revisa Enem no respondió a varias solicitudes de comentarios.
Stoodi
Stoodi es un sitio web desarrollado por una empresa brasileña con el mismo nombre. El 26 de marzo de 2020, la Secretaría de Educación de São Paulo aprobó. su uso durante el cierre de las escuelas Covid-19 para los estudiantes de secundaria que se preparan para los exámenes de ingreso a la universidad brasileña Enem y Vestibular, y podría ser utilizado de forma gratuita hasta febrero de 2021.
En mayo de 2022, Human Rights Watch descubrió que el Stoodi era enviaba los datos de sus usuarios a 18 empresas, utilizando 24 rastreadores de anuncios y 21 cookies de terceros que rastreaban a los usuarios por internet. El sitio web también enviaba datos de los usuarios a través del píxel de Facebook y de “audiencias de remarketing” de Google Analytics, dos herramientas que le permitían dirigirse a los usuarios de todo internet con publicidad.
También descubrió que Stoodi utilizaba registros de sesión para registrar lo que los usuarios hacían en ese sitio web, incluidos los clics y los movimientos por el sitio, y enviaba los registros a una empresa de publicidad, Ve Global. Stoodi también utilizaba registros de pulsaciones de teclas para capturar el texto tecleado por los usuarios antes de hacer clic en “enviar”.
Cuando se contactó con Ve Global en marzo de 2022, ésta reconoció que Stoodi era un antiguo cliente y confirmó que el sitio web de Stoodi seguía utilizando las etiquetas de seguimiento de Ve Global. Ve Global confirmó que posteriormente había desactivado la etiqueta y la había inutilizado para que Stoodi pudiera seguir enviando datos de los usuarios a Ve Global.
En noviembre de 2022 y de nuevo en enero de 2023, Human Rights Watch descubrió que Stoodi estaba enviando datos de usuarios a 16 empresas, utilizando 20 rastreadores de anuncios y 19 cookies de terceros. Stoodi seguía utilizando el píxel de Facebook, las “audiencias de remarketing” de Google Analytics, la grabación de sesiones y el registro de claves.
Cuando se contactó con Stoodi en diciembre de 2022, la empresa reconoció los hallazgos de Human Rights Watch y afirmó que sus prácticas de datos estaban diseñadas para mejorar la experiencia del usuario y “promocionar Stoodi entre clientes potenciales y permitir el CRM”. [customer relationship management] promociones comerciales”. Stoodi declaró que sus usuarios tenían al menos 16 años, que no vendía datos personales a terceros y que no tenía un contrato activo con una institución educativa pública desde 2021.
A petición de Stoodi, Human Rights Watch proporcionó una copia completa de las pruebas técnicas y las conclusiones. Stoodi no respondió.
Source link