Escolas e instituições de ensino precisam fazer a lição de casa para se enquadrar na LGPD

Reading Time: 4 minutes

A Lei Geral de Proteção de Dados Pessoais – LGPD, que foi promulgada em 2018, tem por finalidade trazer mais transparência e segurança jurídica sobre a forma que as organizações coletam, armazenam, compartilham e tratam os dados pessoais, o que impõe às organizações a necessidade de reexaminar seus modelos de governança de dados, políticas internas, processos administrativos e tecnológicos.

Embora ainda incerta a data efetiva de sua vigência, em verdade, a LGPD já está impactando todos os setores, visto que todos que tratam dados pessoais precisarão estar adequados à lei.

Porém, alguns segmentos que lidam com dados pessoais sensíveis e questões mais específicas, como é o caso das escolas e instituições de ensino, precisam estar mais atentos em decorrência do modelo de negócio.

A LGPD traz embutida em sua redação uma missão de educação, ética e cidadania. Por tal motivo, muito se espera do papel e da efetiva adequação das escolas e instituições de ensino, as quais podem liderar movimentos e campanhas que promovam educação digital, privacidade e proteção de dados para alunos, pais, professores e toda a comunidade.

Conforme consta no artigo 14 da LGPD, “o tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse”, devendo, portanto, as escolas e instituições realizarem uma gestão mais consistente no que tange o tratamento de dados de menores de idade.

Entretanto, a coleta necessária para contato com pais ou responsáveis legais, ainda que utilizados uma única vez e sem qualquer tipo de tratamento ou armazenamento, ou quando se trata de casos de segurança e proteção da criança e do adolescente, são exceções na legislação. Lembrando que não é permitido a transferência de dados de menores de idade para terceiros.

Pois bem. Mas o que é o dado pessoal que a lei se refere?

O conceito de dado pessoal é muito abrangente, pois contempla toda e qualquer informação relacionada a “pessoa natural identificada ou identificável”, ou seja, o dado será considerado pessoal quando permite que, direta ou indiretamente, uma pessoa natural seja identificada.

Dados pessoais sensíveis são aqueles dados que compreendem informações a respeito de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.  

Nesse aspecto, as escolas e instituições de ensino deverão ter maiores cautelas no que diz respeito aos dados pessoais sensíveis.

Escolas e instituições de ensino coletam dados em grande escala, inclusive os dados pessoais sensíveis, por isso devem se preocupar e se enquadrar, nos termos da nova lei, o mais breve possível.

Além disso, muitos dos dados coletados ficam acessíveis em portais e áreas de acesso a pais e professores, o que pode facilitar eventuais incidentes, como é o caso de vazamentos. Embora eventual vazamento de dados possa atrair a imposição de  penalidades, como advertências e até multas, o risco maior está atrelado à reputação da instituição perante pais, alunos e a sociedade, o que pode trazer um impacto extremamente negativo ao negócio, por passar a mensagem de instabilidade do sistema de segurança da instituição e consequente crise de confiabilidade.

Apesar de incerta a data de vigência da LGPD (agosto/setembro de 2020 ou maio de 2021, em decorrência da Medida Provisória sobre o tema de n.º 959), fato é que as escolas e instituições de ensino terão que estar com os projetos implementados até dezembro de 2020, ou seja, até o período de renovação de matrícula para o próximo ano.

Nesse sentido, escolas e instituições de ensino, para se enquadrarem nas exigências da lei, precisarão fazer sua lição de casa, incluindo (i) o entendimento das etapas de tratamento de dados (fluxos, processos e ciclo de vida), assim como (ii) a revisão dos contratos de prestação de serviços, (iii) políticas internas, (iv) análise de bases legais, inclusive para aferir a necessidade de consentimento para a utilização de imagem ou outro tipo de dado pessoal, além de (v) adequarem seus portais eletrônicos com termos de uso e políticas de privacidade, (vi) verificar os contratos com colaboradores e terceiros, (vii) política de cookies, além de (viii) diversas outras medidas que deverão ser analisadas por profissionais da área, como questões de segurança; sendo certo que tudo isso com o foco voltado ao melhor interesse do menor de idade quando do tratamento de seus dados.

Outro exercício importante na lição de casa das escolas e instituições de ensino é definir para quais as finalidades os dados são tratados, se realmente são necessários, quais detém amparo legal para o tratamento e quais exigem o consentimento do titular ou responsável para poderem ser tratados, dentro das exceções estabelecidas pela LGPD.

Com base nisso, deverá ser elaborado o plano de ação para condução do processo de adequação. 

Importante salientar que a legislação se aplica tanto aos dados que serão tratados na égide da nova lei quanto àqueles dados antigos, coletados anteriormente à LGPD, não podendo ser esquecidos os dados que estão fora do ambiente virtual, inclusive aqueles anotados em cadernos, planilhas e constantes em arquivos físicos, devendo ser verificado quais ainda são necessários e quais podem ser eliminados.

A lei também exige a criação da figura do encarregado pelo tratamento de dados pessoais, o famoso DPO (Data Protection Officer), o qual será a pessoa indicada pela instituição para atuar como seu canal de comunicação com os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O encarregado, embora não precise ter formação jurídica, certamente deverá possuir conhecimento regulatório sobre proteção de dados em si e sobre a legislação que permeia a prestação de serviços educacionais, tornando mais desafiadora essa profissão, pois algumas instituições de ensino e escolas, pequenas e médias empresas não possuem ainda a figura do líder de tecnologia ou segurança e proteção de dados no modo geral.

Assim, a sua instituição de ensino está disposta a obter nota máxima no quesito de adequação a nova legislação? Para tanto, abaixo segue o passo a passo para a conformidade com a LGPD, vejamos:

1. Fazer auditoria de dados pessoais com levantamento dessas informações, finalidade do tratamento, tudo em prol da transparência;
2. Realizar o diagnóstico sobre o cenário da instituição de ensino e escola, a fim de mapear as bases legais para tratamento de dados pessoais;
3. Elaborar um plano de ação para a implementação das recomendações jurídicas e tecnológicas;
4. Implementar as medidas administrativas e técnicas, como termos de uso, políticas de privacidade, inserção de cláusulas de proteção de dados em contratos de prestação de serviços, contratos de trabalhos etc.;
5. Realizar treinamento das equipes e colaboradores;
6. Averiguar a conformidade.

Com isso, recomenda-se às instituições de ensino a criação de um programa de governança corporativa de dados pessoais que seja efetivo, além de comprovar, sempre que necessário, a licitude do tratamento, o uso ético e seguro dos dados pessoais, o que, além de trazer conformidade com a legislação, traz também credibilidade ao mercado e segurança para pais, alunos e toda sociedade.

Larissa Pigão Fioravante

Especialista em Direito Digital (IBEMC – IDD/SP) e Proteção de Dados (EXIN e IAPP). Advogada do Pigão, Ferrão e Fioravante Sociedade de Advogados. Mestranda em Ciências Jurídicas pela Universidade Autònoma de Lisboa (UAL). Currículo Lattes: https://wwws.cnpq.br/cvlattesweb/PKG_MENU.menu?f_cod=4261C6386E991D47B7774F591B978CB3#