A Lei Geral de Proteção de Dados está impactando todos os setores, mas alguns acabam por lidar com questões mais específicas, de acordo com o modelo de negócios. É o que acontece com as instituições de ensino. Um dos efeitos da lei é forçar as empresas a rever seus modelos de governança de dados e consequentemente processos administrativos e tecnológicos. O tema foi debatido em evento promovido pela iStart, Peck Sleiman Educação e com apoio da Conteúdo Editorial.
Em função das mudanças exigidas na lei, as escolas terão que rever seus contratos de matrículas, muitos deles a serem assinados ainda esse ano, porque envolvem captura ou atualização de bases de dados pessoais e sensíveis. Além disso, existe um alto risco de vazamento de informações nas equipes educacionais, em função do uso massivo de grupos de WhatsApp envolvendo pais, alunos e professores, além de portais com áreas exclusivas de acesso. Sem falar, na coleta regular de imagens nas dependências da escola.
Educação e ética
Por se tratar de um segmento cuja missão está intimamente relacionada com educação, ética e cidadania, muitos esperam que o setor educacional lidere um movimento que inclua o desenvolvimento de campanhas educativas sobre o universo digital, que envolvam a comunidade de ensino, professores, pais e alunos, com efeitos positivos sobre a sociedade em geral, afinal esse é um dos objetivos precípuos de qualquer instituição que atue nesse segmento.
“No caso das escolas, principalmente, será necessário um controle rígido no tratamento de dados pessoais, com exigências mais pesadas às instituições que capturam dados sensíveis de menores de idades, conforme previsto no artigo 14 da LGPD dedicado ao tema”, declarou a advogada especializada em direito digital Patricia Peck, fundadora do iStart.
Patricia se refere ao capítulo específico da LGPD que define a forma permitida de captura desses dados, mediante o consentimento por pelo menos um dos pais ou responsável legal, além de outras exigências. Da mesma forma, o tratamento de dados pessoais de crianças e adolescentes deverá ser realizado em seu melhor interesse.
A exceção fica por conta dos casos em que a coleta for necessária para contatar os pais ou responsáveis legais, mesmo assim os dados deverão ser utilizados uma única vez e sem armazenamento; ou em casos de segurança e proteção do menor. De qualquer forma, os dados de menores não poderão ser repassados a terceiros.
Cuidado redobrado
A lei é clara no que tange a dado pessoal, definindo que se trata de toda e qualquer informação relacionada a “pessoa natural identificada ou identificável”. No entanto, no que diz respeito aos dados sensíveis as escolas terão que exercer um cuidado redobrado. Esses dados englobam informações sobre a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, todos vinculados a uma pessoa.
Ao observar essas informações fica fácil perceber o quanto as escolas e universidades terão que se preocupar já que elas coletam e tratam dados sensíveis em grande escala, levando em consideração os perfis de alunos, pais, professores, equipes administrativas e até mesmo visitantes. Muitos desses dados ficam disponíveis em portais e áreas exclusivas de acesso a pais e professores, o que significa que qualquer eventual vazamento desses dados pode representar advertências e multas, mas principalmente um impacto extremamente negativo na imagem da escola perante pais, alunos e a sociedade.
Lição de casa
Preocupadas com esse cenário, as instituições privadas de ensino já estão se movimentando em busca de informações e ações que possam prepará-las para agosto de 2020, prazo previsto para a lei entrar em vigor. Embora essa data pareça distante, na verdade, não está.
Para as escolas, efetivamente, a data será antecipada já que muitas políticas terão que ser implementadas ainda esse ano, no período de renovação de matrícula para o próximo ano. Em muitas instituições esse processo começa a ser implementado no meio do ano, o que significa que até julho de 2019 muitas escolas terão que redefinir os contratos de matrícula com novas regras em relação à coleta de dados.
Em suma, as instituições de ensino terão que antecipar suas regras de coleta e tratamento de dados pessoais, além de atualizar a política de privacidade, os contratos de matrícula, de trabalho, de terceirizados, além de política de cookies. A lição de casa inclui ainda revisão e eventuais investimentos nas áreas administrativas e tecnológicas de proteção de dados, já que a lei exige a comprovação da aplicação dessas medidas.
De acordo com Patrícia Peck, advogada especializada em direito digital, existem algumas dicas práticas para ficar em conformidade com a lei. O ideal é começar por um levantamento de quais dados pessoais são coletados e de que forma isso ocorre, por ficha cadastral em papel, via portal, e-mail, telefone.
Além disso, definir claramente para quais finalidades eles são utilizados, quais possuem amparo legal para coleta e quais deles precisarão de consentimento do titular ou que podem ser tratados dentro das exceções previstas pela Lei. “Após essa análise é preciso elaborar um plano de ação que norteará o processo de adequação dentro do prazo necessário”.
É necessário não descuidar dos dados antigos, exigindo um levantamento e análise de quais dados poderão ser armazenados e quais deverão ser eliminados. Patrícia atenta para o fato de que as mesmas regras criadas para novas coletas deverão ser aplicadas ao legado, mas com procedimentos específicos.
A advogada explica que dados que não serão mais coletados, deverão ser eliminados se fizerem parte do legado. Dados que exigirão consentimento em novas coletas, mas que já existem no legado, deverão ser legitimados por meio de uma nova comunicação e consentimento expresso do titular.
De forma resumida, trata-se, portanto, de dois tipos de grupos de dados pessoais, os que precisam de consentimento e os que podem ser mantidos dentro de alguma das exceções de consentimento, como é o caso de cumprimento de obrigação legal, por exemplo.
Por fim, mas não menos importante, a lei exige a criação da figura do encarregado, ou DPO, responsável em nome da instituição pela proteção de dados. Essa questão torna-se bastante desafiadora para as escolas, assim como para as empresas em geral, principalmente as de médio e pequeno portes, já que muitas delas não possuem nem mesmo a figura de um líder de tecnologia ou mesmo segurança e proteção de dados em geral.
O alento é que a medida provisória 869, baixada no final de 2018, prevê que a função de encarregado ou DPO poderá ser exercida também por pessoa jurídica ou mesmo terceirizada, o que poderá ser uma saída para as instituições com deficiência de equipes especializadas.
Mas um aspecto importantíssimo não pode ser relegado a segundo plano em qualquer instituição que se debruce sobre a LGPD, isto é, a mobilização de todas as áreas de negócios. A lei traz esse bom efeito, o de reunir interesses e ao mesmo tempo desafios que englobam diversas disciplinas, o que termina por ser um fator importante para o estabelecimento de novos processos que exigem mobilização de todos os setores.
Passo a passo para a conformidade com a LGPD
(Fonte: iStart, Ética Digital):
1. Fazer o levantamento inicial do inventário das bases de dados pessoais atuais
2. Realizar o diagnóstico
3. Elaborar um plano de ação
4. Implementar as medidas administrativas e técnicas
5. Realizar a sensibilização das equipes
6. Fazer a verificação da conformidade