Para alguns setores, o cumprimento do prazo para a LGPD pode ser encurtado. É o caso da Educação, uma vez que os editais de matrículas para 2020 iniciam em outubro deste ano, o que significa adequação para regras como o consentimento de quais dados serão armazenados e/ou solicitados em campanhas de marketing, por exemplo.
Pouco regulado, há outro desafio para o setor de ensino: o MEC, por exemplo, exige relatórios com informações sensíveis que, muitas vezes, não serão autorizadas pelo educando ou responsáveis, assim como a confirmação de dados sensíveis para alunos que recebem bolsa de estudo.
O cenário foi abordado durante mesa redonda sobre LGPD na área de Educação, realizada pela Conteúdo Editorial em parceria com a Compugraf, no dia 25 de julho, em São Paulo, onde participaram nove C-Levels de diversas instituições de ensino, como Laureate, Móbile, Mackenzie, Fundação Cásper Líbero, Brás Cubas, Colégio Rio Branco, Colégio Adventista, UNASP e Porto Seguro.
Na corrida para a conformidade com a Lei Geral de Proteção de Dados, a grande lição de casa agora é o mapeamento de dados, criação de políticas de privacidade e acesso e, paralelamente, o engajamento do corpo pedagógico e a conscientização de todos. Esse papel, na maioria das instituições, está nas mãos da área de TI, uma vez que as pequenas e médias organizações de ensino do País não têm as figuras do compliance e do CISO ou CSO, além da área de SI ser vista como custo e contar com baixo investimento.
Salvo algumas exceções, no caso das instituições de ensino com presença internacional, a maioria hoje conta com a TI e o jurídico para seguir com o plano de ação d LGPD, bem como parceiros de tecnologia para orquestrar as ferramentas de segurança e criar as boas práticas para gerenciar o ambiente tecnológico, evitando vazamentos. Muitos, também, estão apoiados nos escritórios de advocacia para interpretações da lei. O grande temor é como a ANPD irá tratar os pontos da LGPD que são interpretativos.
Por isso, o setor de educação tem criado grupos de trabalho atrelados aos board das instituições, mapeando os dados para entender o fluxo das informações. Nesse caso, o ecossistema do setor é vasto e sem regulamentação, o que dificulta o campo de visão para identificar por onde o dado trafega, já que a área acadêmica tem livre acesso à informação. Na ponta, os alunos também precisam ser educados, uma vez que muitos têm acesso ao wi-fi das escolas e isso pode impactar em vulnerabilidades e incidentes. Portanto, há um movimento em buscar soluções de privacidade para mitigar os riscos.
Quem é o dono da informação?
Da secretária até o aluno e/ou responsável, o dado trafega e passa por diferentes áreas e como identificar onde ele está e a sua origem? Esse tem sido o drama de muitos gestores e algumas instituições contam com a área de compliance para orquestrar esse trabalho de mapeamento em conjunto com a TI e segurança da informação. Para tanto, criar mecanismos como questionários para cada área de negócio é uma das soluções, o que também engaja a área pedagógica.
Nem sempre o dono do dado é responsável pelo vazamento. No entanto, é possível identificar por meio do fluxo da informação, quem a manipulou e assim responsabilizar os atores envolvidos. A ideia não é focar na penalização em si, mas na educação do usuário.
Segundo os participantes da mesa redonda, é importante destacar que a análise e mapeamento dos dados vão além dos meios onde eles trafegam, físico ou virtual. Isso porque, algumas instituições com perfil filantrópico, por exemplo, ainda mantém arquivos mortos e boa parte não migraram para a digitalização.
Depois de mapeados, os dados podem ser segregados, ou seja, a secretária não terá o mesmo acesso que a professora ou vice-versa. Assim, o próximo passo é criar uma política de autorização de acessos e privacidade, mitigando os riscos e reduzindo a chance de um incidente. Na ponta, uma das realidades é a quantidade de grupos de WhatsApp entre funcionários ou até alunos. Neste caso, algumas empresas infiltraram membros de seus comitês de segurança e privacidade de dados, inclusive da área pedagógica, para evitar vazamento de informações.
Vale lembrar que, diante de um setor com entradas e saídas de dados constantes, a aplicação de questionário deve ser revista periodicamente, uma vez que atualmente as empresas passam pelo drama do “shadow IT”. Mas, essa ferramenta é uma grande aliada porque invariavelmente a pessoa que responder as perguntas terá que falar de sistema e o auditor descobrirá o processo ou fala de processo e descobre o sistema. Assim, de acordo com a maioria dos gestores que estiveram presente no debate, é importante ressaltar que não basta simplesmente aplicar um questionário, mas ter o contato físico com quem o respondeu.
Dessa forma, já com uma política de acesso, é possível delimitar até onde a secretária, por exemplo, pode entrar no sistema. Esse é um trabalho que exige a criação de uma nova cultura, com perfis bem definidos e requer o desapego do dado porque culturalmente as pessoas querem acessar tudo a qualquer momento, principalmente áreas como o marketing, que busca todo tipo de informação para geração de leads em suas campanhas.
Sem DPO, quarteto em Si
A figura do DPO, seja consultivo ou fiscalizador, está longe de ser consolidada no Brasil. Poucos são os setores e empresas que contam com esse profissional ou até contratam terceiros. Na educação não é diferente. Esse papel, para muitos, será definido após a análise e criação de uma política de gestão de dados, treinamentos e evangelização dos colaboradores, bem como a revisão e/ou adoção das soluções de segurança. No entanto, muitas instituições de ensino já enxergam um mix para compor a persona e atividades do Data Protection Officer, unindo as áreas de TI/segurança, compliance, jurídico e as ferramentas de segurança com o objetivo de responder as questões da LGPD e da ANPD. Outros deverão definir quem será o DPO, mas os participantes da mesa redonda reforçaram que essa figura terá um perfil equilibrado entre TI e jurídico.
Entretanto, é preciso cuidado e pontos de atenção. Para quem já implementou a GDPR, sabe onde errou e já fez a lição de casa rumo à LGPD. Nesse caso, alguns gestores de segurança e da área de compliance afirmam que as empresas gastaram muita energia com os escritórios de advocacia ou investiram muito em ferramentas tecnológicas. Nesse sentido, executar um plano de ação consciente elevará o nível de maturidade das instituições de ensino no sentido de também garantir um novo patamar e visão sobre questões relacionadas à segurança da informação, antes com baixíssimo investimento.
Além disso, criar um corpo que assuma o papel do DPO será de fundamental importância para não ficar refém dos questionamentos da Autoridade Nacional de Proteção de Dados e, ainda, preservar a reputação e imagem da instituição de ensino, uma vez que – independente de quem foi responsabilizado, colaborador ou aluno, será possível responder e minimizar os riscos.
E, embora esse seja o caminho para levar a educação no nível exigido pela LGPD, será necessário um novo olhar do board. É unânime a opinião dos representantes da mesa redonda: a privacidade dos dados é um caminho sem volta. Aquele que no futuro tiver um processamento de dados no nível de privacidade fará com que as empresas sejam mais eficientes e, consequentemente, transparentes e preservadas, aumentando a sua credibilidade. Para tanto, indiscutivelmente o que antes era visto como despesa, equipes enxutas ou somente para dar suporte e manutenção ao parque tecnológico e de redes, passará a contar com investimentos e alcançará uma relevância para a sobrevivência do negócio. Independente se os louros ficarão para a área de TI ou um comitê multidisciplinar.