A Lei geral de Proteção de Dados só entra em vigência em agosto de 2020, mas as instituições de ensino precisam se ajustar à ela ainda este semestre, no momento da renovação das matrículas para 2020.
De acordo com o Instituto Nacional de Estudos e Pesquisas Educacionais (INEP), no Brasil existem 184 mil escolas e não existe uma integração entre os sistemas público e privado com o MEC.
Mas como a LGPD impacta na rotina de trabalho das instituições de ensino, no relacionamento com os alunos, pais e responsáveis, professores e colaboradores?
Sabemos que existe o uso frequente de grupos de WhatsApp entre alunos, pais e professores; portal online do estudante, com áreas de acesso exclusivo; coleta de imagens de segurança nas dependências das escolas; coleta de dados pessoais e sensíveis no ato de renovação de matrícula, dentre outras situações.
Como as universidades e as escolas podem se preparar para lidar com a LGPD?
Muitos esperam que o setor educacional lidere um movimento que inclua o desenvolvimento de campanhas educativas sobre o universo digital, que envolvam toda a comunidade de ensino, com efeitos positivos. Mas o desafio não para por aí.
As instituições de ensino precisarão rever as regras de coleta e tratamento de dados pessoais, atualizar a política de privacidade, os contratos de matrícula, contrato de trabalho e contrato dos terceirizados, além de política de cookies. A LGPD também exige a comprovação de investimentos nas áreas administrativas e tecnológicas de proteção de dados, de acordo com inciso X do art.6º.
Como lidar com os dados sensíveis de crianças e adolescentes?
De acordo com o artigo 14, parágrafo 1º da LGPD, “o tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal”.
É fácil perceber que as escolas terão que exercer um cuidado redobrado, pois coletam e tratam dados sensíveis em grande escala.
A partir daí, muitas dúvidas surgem, como por exemplo:
Qual o prazo de tratamento de um dado de um aluno, se o MEC pede a guarda dessa informação por cerca de 47 anos ou a vida toda?
Esse prazo é mínimo ou máximo para manter o dado?
Com quem eu tenho que compartilhar esse dado?
E com uma empresa de estágio, posso compartilhar os dados?
Quais são as possíveis infrações e quais são as sanções?
O vazamento de informações, principalmente dos dados sensíveis (aqueles relacionados à saúde dos alunos, orientação sexual, orientação religiosa ou política) é a infração mais comum. Portanto, qualquer software de gestão precisará ser avaliado sob a ótica da segurança x vulnerabilidade.
No art. 52 da LGPD estão previstas as seguintes sanções:
- Advertência formal;
- Bloqueio ou eliminação dos dados pessoais referentes à infração;
- publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- Multas que podem chegar a 2% do faturamento do grupo ou até 50 milhões de reais por infração.
Quais medidas tomar para se adequar?
As instituições de ensino deverão se adequar a fim de se prevenirem em relação às sanções por vazamentos de dados, ataques hackers e falha humana decorrente da atuação de seus funcionários que tiverem acesso aos dados de alunos.
Abaixo listamos alguns pontos importantes a serem observados:
- Fazer uma identificação de todos os dados coletados e armazenados pela instituição, inclusive os dados antigos;
- Levantamento de todos os alunos, colaboradores, prestadores de serviços, parceiros, sócios. É necessário que essas informações sejam categorizadas e monitoradas;
- Revisar as regras de privacidade para que fique muito bem definido quem poderá acessar, controlar, processar e transferir os dados;
- Revisar os contratos de matrícula e os termos de consentimento assinados pelos pais e/ou responsáveis, informando para que, quando e por quem os dados dos alunos serão utilizados, bem como a possibilidade de solicitar a exclusão desses dados;
- Investir em proteção física e virtual – as informações necessitam ser armazenadas em ambientes comprovadamente seguros e controlados;
- Implantar soluções de proteção e segurança, com redes criptografadas e softwares de monitoramento;
- Atenção com a hospedagem desses dados em servidores estrangeiros, em países que não possuam qualquer regulamentação sobre a segurança da informação;
- Desenvolver relatório de impactos à proteção de dados e regras de boas práticas e governança;
- Realizar treinamentos periódicos da equipe para assegurar as boas práticas no tratamento dos dados pessoais;
- Eliminar os dados que não sejam necessário, tais como cópias duplicadas e backups que não serão utilizados
- Implementar procedimento de anonimização de dados, sempre que possível;
- Ter um plano de ação bem desenhado caso ocorra um vazamento de dados.
- Nossa área de Relações e Negócios Digitais fica à disposição para auxiliar pessoas físicas e jurídicas a resguardar seus direitos e estabelecer programas de Compliance Digital.
Paula Melina Firmiano Tudisco
Paula Melina Firmiano Tudisco é advogada, formada em 2009 pela UNOPAR (Universidade Norte do Paraná). Possui expertise em Direito Digital, pós graduanda em direito eletrônico e atua no Núcleo de Relações e Negócio Digitais do escritório Küster Machado. É membro da Associação Brasileira de Tecnologia e Direito e membro da Comissão de Direito Digital da OAB Londrina/PR.