A empresa de tecnologia educacional PowerSchool e o distrito escolar de Chicago (CPS) chegaram a um acordo preliminar de US$ 17,25 milhões para resolver uma ação coletiva movida após um incidente de violação de dados que expôs informações pessoais de milhões de estudantes. O acordo, que ainda precisa da aprovação final de um juiz, é um dos maiores envolvendo privacidade de dados estudantis nos Estados Unidos.
Escopo do vazamento e ação judicial
A ação coletiva foi movida em nome de mais de 10 milhões de indivíduos potencialmente afetados, incluindo estudantes atuais e antigos, bem como seus pais ou responsáveis. A violação, que ocorreu em 2023, expôs dados pessoais armazenados nos sistemas da PowerSchool, utilizados pelo CPS para gerenciamento de informações estudantis. Os dados comprometidos incluíam nomes, datas de nascimento, endereços, números de identificação escolar e, em alguns casos, informações de contato dos pais.
Termos do acordo proposto
Além do fundo monetário de US$ 17,25 milhões, o acordo exige que a PowerSchool estabeleça um "comitê de governança web" dedicado a monitorar e auditar suas práticas de segurança e privacidade de dados por um período de três anos. O comitê será responsável por revisar políticas de retenção de dados, procedimentos de resposta a incidentes e medidas de segurança técnicas. Indivíduos afetados poderão solicitar reembolsos por despesas relacionadas ao incidente, como custos com monitoramento de crédito, com pagamentos esperados na casa das dezenas de dólares por pessoa, dependendo do número de reivindicações.
Contexto regulatório e implicações
O caso ocorre em um momento de crescente escrutínio sobre a coleta e proteção de dados de crianças e adolescentes. Nos EUA, leis como a Children's Online Privacy Protection Act (COPPA) e regulamentos estaduais impõem obrigações rigorosas. O acordo sinaliza uma postura mais agressiva de distritos escolares e procuradores em responsabilizar fornecedores de tecnologia por falhas de segurança. Para empresas do setor de EdTech, o caso serve como um alerta sobre os riscos financeiros e reputacionais significativos associados a violações de dados sensíveis de estudantes.
Próximos passos e lições aprendidas
Um juiz federal irá realizar uma audiência de aprovação justa para avaliar os termos do acordo. Se aprovado, o processo estabelecerá um precedente para futuros litígios envolvendo violações de dados educacionais. Para outras instituições de ensino e seus fornecedores, os principais aprendizados incluem a necessidade de due diligence rigorosa em contratos de terceirização, a implementação de controles de acesso e criptografia robustos para dados estudantis, e a preparação de planos de resposta a incidentes que incluam obrigações claras de notificação e suporte às vítimas.