A Proteção de Dados nas Instituições de Ensino
Reading Time: 5 minutesEm 14 de agosto de 2018, foi sancionada a Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade, assim como o livre desenvolvimento da personalidade da pessoa natural.
Aliás, você sabia que a LGPD prevê uma seção voltada ao tratamento de dados pessoais de crianças (até 12 anos de idade incompletos) e de adolescentes (de 12 a 18 anos de idade)?
Referida previsão legal está disponível, em destaque, no artigo 14, da LGPD, o que é plenamente justificável, se considerarmos a geração dos nativos digitais que, praticamente, desde os primeiros anos de vida, já são expostos aos mais variados tipos de recursos tecnológicos e, consequentemente, ao tratamento de seus dados pessoais.
O ambiente escolar é marcado pelo tratamento intensivo não só de dados pessoais, ou seja, informação relacionada à pessoa natural identificada ou identificável, mas também de dados pessoais sensíveis, os quais são aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Assim, podem ser considerados dados pessoais não só os dados cadastrais em si, mas também informações constantes em históricos escolares, atas de reuniões de professores e de conselho, registros de ocorrências internas, inclusive relacionadas à saúde do aluno, atividades online e offline, fotografias, registros de câmeras de segurança, ambientes virtuais de aprendizado, redes sociais, dentre outros.
Voltando à proteção legal constante na LGPD, importante ter em mente que o tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse.
Aliás, o próprio Estatuto da Criança e do Adolescente impõe ao poder público, à família, à comunidade, à sociedade em geral, o que inclui as instituições de ensino, o dever de assegurar, com absoluta prioridade, a efetivação dos direitos da criança e do adolescente, contemplando diversas diretrizes sobre aquilo que pode ser considerado como seu melhor interesse, a saber, os direitos referentes à vida, à saúde, à alimentação, à educação, ao esporte, ao lazer, à profissionalização, à cultura, à dignidade, ao respeito, à liberdade e à convivência familiar e comunitária.
Por tratamento de dados pessoais deve-se entender toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Deve-se atentar que o tratamento de dados pessoais e de dados pessoais sensíveis precisa estar fundamentado em uma base legal prevista nos artigos 7º e 11, respectivamente, da LGPD, sendo que as bases comuns são (i) consentimento pelo titular; (ii) cumprimento de obrigação legal ou regulatória pelo controlador (no caso, a instituição de ensino, por tomar as decisões sobre o tratamento de dados); (iii) pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres; (iv) para a realização de estudos por órgão de pesquisa; (v) para o exercício regular de direitos em processo judicial, administrativo ou arbitral; (vi) para a proteção da vida ou da incolumidade física do titular ou de terceiro; e (ix) para a tutela da saúde.
Adicionalmente, apenas para os dados pessoais, ainda há as bases legais de execução do contrato; interesses legítimos do controlador ou de terceiro e proteção de crédito. Para os dados pessoais sensíveis não se aplicam essas bases mencionadas retro, mas também há uma extra de garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.
Contudo, no tocante ao tratamento de dados de crianças (até 12 anos de idade incompletos), a lei exige consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal, excepcionando essa exigência apenas nos casos em que a coleta for necessária para contatar os pais ou o responsável legal, utilizados tais dados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento mencionado retro.
Por consentimento deve-se entender a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
O consentimento pode ser por escrito ou por outro meio que demonstre a manifestação de vontade do titular, como por exemplo, aquelas autorizações sistêmicas que são requeridas ao titular: “Você autoriza o acesso às suas fotografias?”; “Você autoriza o acesso à sua geolocalização?”, dentre outras, com opções de “Aceitar” ou “Negar”.
Embora o próprio contrato de prestação de serviços educacionais possa contemplar cláusulas destacadas para consentimento acerca do tratamento de dados pessoais, é importante que seja dada a possibilidade real para consentimento sobre esse item, visto que autorizações genéricas para o tratamento de dados pessoais serão nulas. Ademais, o Poder Judiciário já entendeu ser inválidos instrumentos que contemplem o “tudo” ou “nada”, ou seja, ou o titular aceita o tratamento de seus dados na forma constante no contrato ou não poderá ter acesso aos serviços educacionais.
Nesse passo, recomenda-se o chamado consentimento granular, pelo qual há manifestação de vontade inequívoca sobre determinado tipo de tratamento de dados.
Além disso, é preciso assegurar meios para que o titular exerça seu direito de revogar o consentimento que concedeu.
Por outro lado, excessos na exigência de consentimento pode trazer um efeito reverso ao almejado pela LGPD, visto que há risco de o titular começar a aceitar tudo sem, de fato, refletir sobre aquilo que está anuindo.
Por isso, recomenda-se que o consentimento só seja utilizado nas situações estritamente necessárias, de acordo com a Lei.
É possível, inclusive, valer-se da base legal do legítimo interesse do controlador, a qual só poderá fundamentar o tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, como aquelas previstas em rol exemplificativo do artigo 10, da LGPD, a saber: (i) apoio e promoção de atividades do controlador; e (ii) proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.
O legítimo interesse poderá, então, fundamentar iniciativas de segurança, como o monitoramento de recursos eletrônicos e por câmeras; o tratamento de dados pessoais em volume (big data); iniciativas de marketing; tratamento de dados de empregados; combate a fraudes etc.
Porém, o uso do legítimo interesse como base legal exige a realização de um teste de proporcionalidade que leve em consideração a finalidade, a necessidade e a proporcionalidade, já que não poderá vulnerar direitos fundamentais do titular.
Some-se a isso que é necessário documentar o tratamento de dados pessoais em um relatório de impacto à proteção de dados pessoais, visto que referido documento poderá ser exigido pela Autoridade Nacional de Proteção de Dados, órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
Por fim, é importante que a Lei Geral de Proteção de Dados seja vista com bons olhos, uma vez que suas diretrizes são extremamente necessárias não só para a proteção dos direitos fundamentais da pessoa, inclusive crianças e adolescentes, mas também porque se revela um importante vetor para a implementação de boas práticas e de governança que são essenciais para a saúde de qualquer negócio.
Rubia Ferrão
Advogada e Professora atuante em Direito Digital e Proteção de Dados. Sócia fundadora do Pigão, Ferrão e Fioravante Sociedade de Advogados. Mestranda em Direito Civil pela Universidade de São Paulo (USP). Fundadora do projeto social de Educação Digital @Mocidadi – Movimento pela Cidadania Digital. Currículo Lattes: http://lattes.cnpq.br/6919075258032289