Educação: prazo para a LGPD pode ser menor

A partir de outubro, instituições de ensino iniciam os editais para as matrículas do próximo ano e, embora a lei entre em vigor a partir de agosto de 2020, um dos desafios é acelerar os ajustes referentes ao consentimento, com um plano de ação apoiado em um comitê multidisciplinar capaz de criar uma política de privacidade, acesso e revisão do fluxo de dados.

Compartilhar:

Para alguns setores, o cumprimento do prazo para a LGPD pode ser encurtado. É o caso da Educação, uma vez que os editais de matrículas para 2020 iniciam em outubro deste ano, o que significa adequação para regras como o consentimento de quais dados serão armazenados e/ou solicitados em campanhas de marketing, por exemplo.
Pouco regulado, há outro desafio para o setor de ensino: o MEC, por exemplo, exige relatórios com informações sensíveis que, muitas vezes, não serão autorizadas pelo educando ou responsáveis, assim como a confirmação de dados sensíveis para alunos que recebem bolsa de estudo.

 

O cenário foi abordado durante mesa redonda sobre LGPD na área de Educação, realizada pela Conteúdo Editorial em parceria com a Compugraf, no dia 25 de julho, em São Paulo, onde participaram nove C-Levels de diversas instituições de ensino, como Laureate, Móbile, Mackenzie, Fundação Cásper Líbero, Brás Cubas, Colégio Rio Branco, Colégio Adventista, UNASP e Porto Seguro.

 

Na corrida para a conformidade com a Lei Geral de Proteção de Dados, a grande lição de casa agora é o mapeamento de dados, criação de políticas de privacidade e acesso e, paralelamente, o engajamento do corpo pedagógico e a conscientização de todos. Esse papel, na maioria das instituições, está nas mãos da área de TI, uma vez que as pequenas e médias organizações de ensino do País não têm as figuras do compliance e do CISO ou CSO, além da área de SI ser vista como custo e contar com baixo investimento.

 

Salvo algumas exceções, no caso das instituições de ensino com presença internacional, a maioria hoje conta com a TI e o jurídico para seguir com o plano de ação d LGPD, bem como parceiros de tecnologia para orquestrar as ferramentas de segurança e criar as boas práticas para gerenciar o ambiente tecnológico, evitando vazamentos. Muitos, também, estão apoiados nos escritórios de advocacia para interpretações da lei. O grande temor é como a ANPD irá tratar os pontos da LGPD que são interpretativos.

 

Por isso, o setor de educação tem criado grupos de trabalho atrelados aos board das instituições, mapeando os dados para entender o fluxo das informações. Nesse caso, o ecossistema do setor é vasto e sem regulamentação, o que dificulta o campo de visão para identificar por onde o dado trafega, já que a área acadêmica tem livre acesso à informação. Na ponta, os alunos também precisam ser educados, uma vez que muitos têm acesso ao wi-fi das escolas e isso pode impactar em vulnerabilidades e incidentes. Portanto, há um movimento em buscar soluções de privacidade para mitigar os riscos.

 


Quem é o dono da informação?

 

Da secretária até o aluno e/ou responsável, o dado trafega e passa por diferentes áreas e como identificar onde ele está e a sua origem? Esse tem sido o drama de muitos gestores e algumas instituições contam com a área de compliance para orquestrar esse trabalho de mapeamento em conjunto com a TI e segurança da informação. Para tanto, criar mecanismos como questionários para cada área de negócio é uma das soluções, o que também engaja a área pedagógica.

 

Nem sempre o dono do dado é responsável pelo vazamento. No entanto, é possível identificar por meio do fluxo da informação, quem a manipulou e assim responsabilizar os atores envolvidos. A ideia não é focar na penalização em si, mas na educação do usuário.

 

Segundo os participantes da mesa redonda, é importante destacar que a análise e mapeamento dos dados vão além dos meios onde eles trafegam, físico ou virtual. Isso porque, algumas instituições com perfil filantrópico, por exemplo, ainda mantém arquivos mortos e boa parte não migraram para a digitalização.

 

Depois de mapeados, os dados podem ser segregados, ou seja, a secretária não terá o mesmo acesso que a professora ou vice-versa. Assim, o próximo passo é criar uma política de autorização de acessos e privacidade, mitigando os riscos e reduzindo a chance de um incidente.  Na ponta, uma das realidades é a quantidade de grupos de WhatsApp entre funcionários ou até alunos. Neste caso, algumas empresas infiltraram membros de seus comitês de segurança e privacidade de dados, inclusive da área pedagógica, para evitar vazamento de informações.

 

Vale lembrar que, diante de um setor com entradas e saídas de dados constantes, a aplicação de questionário deve ser revista periodicamente, uma vez que atualmente as empresas passam pelo drama do “shadow IT”. Mas, essa ferramenta é uma grande aliada porque invariavelmente a pessoa que responder as perguntas terá que falar de sistema e o auditor descobrirá o processo ou fala de processo e descobre o sistema. Assim, de acordo com a maioria dos gestores que estiveram presente no debate, é importante ressaltar que não basta simplesmente aplicar um questionário, mas ter o contato físico com quem o respondeu.

 

Dessa forma, já com uma política de acesso, é possível delimitar até onde a secretária, por exemplo, pode entrar no sistema. Esse é um trabalho que exige a criação de uma nova cultura, com perfis bem definidos e requer o desapego do dado porque culturalmente as pessoas querem acessar tudo a qualquer momento, principalmente áreas como o marketing, que busca todo tipo de informação para geração de leads em suas campanhas.

 

 

Sem DPO, quarteto em Si

 

A figura do DPO, seja consultivo ou fiscalizador, está longe de ser consolidada no Brasil. Poucos são os setores e empresas que contam com esse profissional ou até contratam terceiros. Na educação não é diferente. Esse papel, para muitos, será definido após a análise e criação de uma política de gestão de dados, treinamentos e evangelização dos colaboradores, bem como a revisão e/ou adoção das soluções de segurança. No entanto, muitas instituições de ensino já enxergam um mix para compor a persona e atividades do Data Protection Officer, unindo as áreas de TI/segurança, compliance, jurídico e as ferramentas de segurança com o objetivo de responder as questões da LGPD e da ANPD. Outros deverão definir quem será o DPO, mas os participantes da mesa redonda reforçaram que essa figura terá um perfil equilibrado entre TI e jurídico.

 

Entretanto, é preciso cuidado e pontos de atenção. Para quem já implementou a GDPR, sabe onde errou e já fez a lição de casa rumo à LGPD. Nesse caso, alguns gestores de segurança e da área de compliance afirmam que as empresas gastaram muita energia com os escritórios de advocacia ou investiram muito em ferramentas tecnológicas. Nesse sentido, executar um plano de ação consciente elevará o nível de maturidade das instituições de ensino no sentido de também garantir um novo patamar e visão sobre questões relacionadas à segurança da informação, antes com baixíssimo investimento.

 

Além disso, criar um corpo que assuma o papel do DPO será de fundamental importância para não ficar refém dos questionamentos da Autoridade Nacional de Proteção de Dados e, ainda, preservar a reputação e imagem da instituição de ensino, uma vez que – independente de quem foi responsabilizado, colaborador ou aluno, será possível responder e minimizar os riscos.

 

E, embora esse seja o caminho para levar a educação no nível exigido pela LGPD, será necessário um novo olhar do board. É unânime a opinião dos representantes da mesa redonda: a privacidade dos dados é um caminho sem volta. Aquele que no futuro tiver um processamento de dados no nível de privacidade fará com que as empresas sejam mais eficientes e, consequentemente, transparentes e preservadas, aumentando a sua credibilidade. Para tanto, indiscutivelmente o que antes era visto como despesa, equipes enxutas ou somente para dar suporte e manutenção ao parque tecnológico e de redes, passará a contar com investimentos e alcançará uma relevância para a sobrevivência do negócio. Independente se os louros ficarão para a área de TI ou um comitê multidisciplinar.

 

 

 

 

 

 

 

 

 

Conteúdos Relacionados

Security Report | Destaques

Cisco emite esclarecimento sobre suposto vazamento de dados

Publicações apontando um possível vazamento de dados anunciado em um fórum na Dark Web circularam durante essa semana. Em nota,...
Security Report | Destaques

Regulação da IA: CISOs e operadores do direito analisam Projeto de Lei

O Senado Federal aprovou a lei em plenário neste mês de dezembro, avançando com a possibilidade de estabelecer normas mais...
Security Report | Destaques

CISO no Board: o desafio de comunicar a linguagem da SI ao negócio

Como líderes de Cibersegurança podem ajustar seu discurso para estabelecer uma ponte efetiva com os conselheiros e influenciar decisões estratégicas
Security Report | Destaques

Unidas Aluguel de Carros identifica tentativa de invasão aos sistemas

Registros de que a companhia havia sido atacada por um ransomware começaram a circular nesta semana, quando grupos de monitoramento...