Vulnerabilidades digitais e violação da privacidade no Office 365 : análise do termo de adesão UFPR-Microsoft

Abstract

Resumo: Em 2019, a Universidade Federal do Paraná (UFPR) firmou um contrato com a Microsoft, disponibilizando o pacote Office 365 para toda a comunidade acadêmica. Este projeto de pesquisa se propõe a analisar as implicações dessa implementação na privacidade de dados dos usuários. O ponto de partida para essa reflexão é o amplo desenvolvimento, implantação e uso de tecnologias baseadas em dados que podem representar riscos para a soberania do conhecimento das universidades públicas. O objetivo geral do estudo é identificar as possíveis vulnerabilidades na privacidade de dados dos discentes e servidores da UFPR ao utilizarem as ferramentas do pacote Office 365 da Microsoft. Para isso, foram estabelecidos quatro objetivos específicos: verificar os atores, processos e recursos envolvidos no acordo de adesão ao Office 365; analisar as Políticas de Privacidade referentes ao pacote Office 365, bem como o Termo de Adesão firmado entre a Microsoft e a UFPR; especificar de que maneira e quais dados são coletados, como são armazenados, recuperados e descartados nas ferramentas utilizadas pela universidade; desenvolver uma matriz para identificar as vulnerabilidades presentes no acordo, com base no ciclo de vida dos dados e na literatura existente. A metodologia do estudo utilizou entrevista em profundidade e análise documental como instrumentos para a coleta e análise dos dados. Este estudo visa contribuir para a compreensão das implicações na privacidade e segurança de dados da comunidade acadêmica. Através de uma entrevista com um servidor da UFPR, foram destacadas as considerações iniciais entre as opções da Google e da Microsoft, sendo o Office 365 escolhido devido aos seus benefícios superiores. O processo contou com a colaboração do pró-reitor de administração e do reitor, e a RNP intermediou a assinatura com a Microsoft. A análise documental foi amparada pelos artigos 23, 26 e 27 da LGDP e buscou identificar vulnerabilidades à privacidade de dados nas várias fases do ciclo de vida dos dados. Foram identificadas diversas vulnerabilidades, como vigilância, agregação e uso secundário dos dados. A análise revelou inconsistências entre a política de privacidade da Microsoft e o Termo de Adesão, especialmente no uso de dados para publicidade. Por fim, foi desenvolvida uma matriz para identificar as vulnerabilidades presentes no acordo, culminando na constatação de que a UFPR pode estar descumprindo alguns aspectos da LGPD, ressaltando a necessidade de futuras investigações sobre a percepção da comunidade universitária e a análise de alternativas de software.

Abstract: In 2019, the Federal University of Paraná (UFPR) signed a contract with Microsoft, making the Office 365 package available to the entire academic community. This research project proposes an analysis of the implications of this implementation on user data privacy. The starting point for this reflection is the broad development, implementation and use of data-based technologies that may pose risks to the knowledge sovereignty of public universities. The general objective of the study is to identify possible vulnerabilities in the data privacy of UFPR students and servers when using tools from Microsoft's Office 365 package. To achieve this, four specific objectives were defined: verify the actors, processes and resources involved in the Office 365 membership agreement; analyze the Privacy Policies relating to the Office 365 package, as well as the Adhesion Agreement signed between Microsoft and UFPR; specify how and what data is retrieved, how it is stored, retrieved and discarded in the tools used by the university; develop a matrix to identify the vulnerabilities present in the agreement, based on the data life cycle and existing literature. The study methodology used in-depth interviews and document analysis as instruments for data collection and analysis. This study aims to contribute to the investigation of the implications for privacy and data security in the academic community. Through an interview with a UFPR server, initial considerations between the Google and Microsoft options were highlighted, with Office 365 chosen due to its superior benefits. The process bypassed the collaboration of the dean of administration and the dean, and RNP intermediated the signature with Microsoft. The document analysis was expanded by articles 23, 26 and 27 of the LGDP and sought to identify vulnerabilities to data privacy in the various phases of the data life cycle. Several vulnerabilities were identified, such as surveillance, aggregation and secondary use of data. An analysis revealed inconsistencies between Microsoft's privacy policy and the Term of Agreement, especially in the use of data for advertising. Finally, a matrix was developed to identify the vulnerabilities present in the agreement, culminating in the finding that UFPR may be failing to comply with some aspects of the LGPD, highlighting the need for future investigations into the perception of the university community and the analysis of software alternatives.

RESUMEN: En 2019, la Universidad Federal de Paraná (UFPR) firmó un contrato con Microsoft, proporcionando el paquete Office 365 a toda la comunidad académica. Este proyecto de investigación tiene como objetivo analizar las implicaciones de esta implementación en la privacidad de los datos de los usuarios. El punto de partida para esta reflexión es el amplio desarrollo, implementación y uso de tecnologías basadas en datos que pueden representar riesgos para la soberanía del conocimiento en las universidades públicas. El objetivo general del estudio es identificar las posibles vulnerabilidades en la privacidad de los datos de los estudiantes, docentes y servidores técnico-administrativos al utilizar las herramientas del paquete Office 365 de Microsoft. Para ello, se establecieron tres objetivos específicos: identificar los actores, procesos y recursos involucrados en el acuerdo de adhesión al Office 365; analizar el Término de Uso y la Política de Privacidad referentes al paquete Office 365, así como el Término de Adhesión firmado entre Microsoft y la UFPR, con el fin de identificar cómo y qué datos son recopilados, cómo son almacenados, recuperados y descartados en las herramientas; desarrollar una matriz para identificar las vulnerabilidades presentes en el acuerdo, basada en el ciclo de vida de los datos y en la literatura existente. La metodología del estudio utilizó entrevistas en profundidad y análisis documental como instrumentos para la recolección y análisis de datos. Este estudio busca contribuir a la comprensión del impacto de la implementación de tecnologías de productividad en la UFPR, así como las implicaciones en la privacidad y seguridad de los datos de estudiantes, docentes y servidores técnico-administrativos. A través de una entrevista con el Gestor de TIC de la época, que estuvo directamente involucrado en el proceso de selección e implementación, se destacaron las consideraciones iniciales entre las opciones de Google y Microsoft, siendo el Office 365 elegido debido a sus beneficios superiores. El proceso contó con la colaboración del pró-reitor de administración y del rector, y la RNP intermediò la firma con Microsoft. Se lanzó una campaña de comunicación por parte de la AGTIC para involucrar a la comunidad universitaria, aunque se admitió la falta de claridad en la comunicación sobre el acceso a los datos por parte del administrador global. El análisis documental abarcó la LGPD y buscó identificar vulnerabilidades en la privacidad de los datos en las distintas fases del ciclo de vida de los datos. Se identificaron diversas vulnerabilidades, como vigilancia, agregación y uso secundario de los datos. El análisis reveló inconsistencias entre la política de privacidad de Microsoft y el Término de Adhesión, especialmente en el uso de datos para publicidad, sugiriendo posibles violaciones de la LGPD. Por último, se desarrolló una matriz para identificar las vulnerabilidades presentes en el acuerdo, fundamentada en las literaturas de Rodrigues y Sant’Ana (2016) y Song (2021), culminando en la constatación de que la UFPR podría estar incumpliendo algunos aspectos de la LGPD, destacando la necesidad de futuras investigaciones sobre la percepción de la comunidad universitaria y el análisis de alternativas de software.