Artigos

A Lei geral de Proteção de Dados só entra em vigência em agosto de 2020, mas as instituições de ensino precisam se ajustar à ela ainda este semestre, no momento da renovação das matrículas para 2020.

De acordo com o Instituto Nacional de Estudos e Pesquisas Educacionais (INEP), no Brasil existem 184 mil escolas e não existe uma integração entre os sistemas público e privado com o MEC.

Mas como a LGPD impacta na rotina de trabalho das instituições de ensino, no relacionamento com os alunos, pais e responsáveis, professores e colaboradores?

Sabemos que existe o uso frequente de grupos de WhatsApp entre alunos, pais e professores; portal online do estudante, com áreas de acesso exclusivo; coleta de imagens de segurança nas dependências das escolas; coleta de dados pessoais e sensíveis no ato de renovação de matrícula, dentre outras situações.

Como as universidades e as escolas podem se preparar para lidar com a LGPD?

Muitos esperam que o setor educacional lidere um movimento que inclua o desenvolvimento de campanhas educativas sobre o universo digital, que envolvam toda a comunidade de ensino, com efeitos positivos. Mas o desafio não para por aí.

As instituições de ensino precisarão rever as regras de coleta e tratamento de dados pessoais, atualizar a política de privacidade, os contratos de matrícula, contrato de trabalho e contrato dos terceirizados, além de política de cookies. A LGPD também exige a comprovação de investimentos nas áreas administrativas e tecnológicas de proteção de dados, de acordo com inciso X do art.6º.

Como lidar com os dados sensíveis de crianças e adolescentes?

De acordo com o artigo 14, parágrafo 1º da LGPD, “o tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal”.

É fácil perceber que as escolas terão que exercer um cuidado redobrado, pois coletam e tratam dados sensíveis em grande escala.

A partir daí, muitas dúvidas surgem, como por exemplo:

Qual o prazo de tratamento de um dado de um aluno, se o MEC pede a guarda dessa informação por cerca de 47 anos ou a vida toda?

Esse prazo é mínimo ou máximo para manter o dado?

Com quem eu tenho que compartilhar esse dado?

E com uma empresa de estágio, posso compartilhar os dados?

Quais são as possíveis infrações e quais são as sanções?

O vazamento de informações, principalmente dos dados sensíveis (aqueles relacionados à saúde dos alunos, orientação sexual, orientação religiosa ou política) é a infração mais comum. Portanto, qualquer software de gestão precisará ser avaliado sob a ótica da segurança x vulnerabilidade.

No art. 52 da LGPD estão previstas as seguintes sanções:

  • Advertência formal;
  • Bloqueio ou eliminação dos dados pessoais referentes à infração;
  • publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  • Multas que podem chegar a 2% do faturamento do grupo ou até 50 milhões de reais por infração.

Quais medidas tomar para se adequar?

As instituições de ensino deverão se adequar a fim de se prevenirem em relação às sanções por vazamentos de dados, ataques hackers e falha humana decorrente da atuação de seus funcionários que tiverem acesso aos dados de alunos.

Abaixo listamos alguns pontos importantes a serem observados:

  • Fazer uma identificação de todos os dados coletados e armazenados pela instituição, inclusive os dados antigos;
  • Levantamento de todos os alunos, colaboradores, prestadores de serviços, parceiros, sócios. É necessário que essas informações sejam categorizadas e monitoradas;
  • Revisar as regras de privacidade para que fique muito bem definido quem poderá acessar, controlar, processar e transferir os dados;
  • Revisar os contratos de matrícula e os termos de consentimento assinados pelos pais e/ou responsáveis, informando para que, quando e por quem os dados dos alunos serão utilizados, bem como a possibilidade de solicitar a exclusão desses dados;
  • Investir em proteção física e virtual – as informações necessitam ser armazenadas em ambientes comprovadamente seguros e controlados;
  • Implantar soluções de proteção e segurança, com redes criptografadas e softwares de monitoramento;
  • Atenção com a hospedagem desses dados em servidores estrangeiros, em países que não possuam qualquer regulamentação sobre a segurança da informação;
  • Desenvolver relatório de impactos à proteção de dados e regras de boas práticas e governança;
  • Realizar treinamentos periódicos da equipe para assegurar as boas práticas no tratamento dos dados pessoais;
  • Eliminar os dados que não sejam necessário, tais como cópias duplicadas e backups que não serão utilizados
  • Implementar procedimento de anonimização de dados, sempre que possível;
  • Ter um plano de ação bem desenhado caso ocorra um vazamento de dados.

Nossa área de Relações e Negócios Digitais fica à disposição para auxiliar pessoas físicas e jurídicas a resguardar seus direitos e estabelecer programas de Compliance Digital.