A primeira coisa que escolas, universidades e instituições de ensino e pesquisa precisam introjetar é que a proteção aos dados é multisetorial: é necessário envolver a tecnologia, o financeiro, o jurídico e o marketing. Quem ainda não se preparou precisa se conscientizar do impacto da lei em vigor e iniciar o compliance o quanto antes.
Alguns passos podem colaborar nesse processo de adequação, iniciando, por exemplo, pelo mapeamento dos dados que estão em poder do empreendimento, se há razão para sua manutenção e se há necessidade de consentimento para tanto.
Os dados que já existem nas instituições de ensino receberão o mesmo tratamento dos novos, submetendo-se às mesmas exigências estabelecidas na LGPD. Frisando: os que não podem mais existir no armazenamento devem ser eliminados e os que podem permanecer vão necessitar de autorização. No caso dos menores de idade, deverão ser reapresentados aos pais ou representantes legais para que sejam autorizados para uso.
Os setores responsáveis também precisam certificar-se sobre com quem poderá compartilhar as informações. Basicamente, seguindo resumo de passos apresentados pela Escola em Movimento, os gestores deverão:
Reunir equipes e mapear operações internas de tratamento de informações;
Assegurar os direitos garantidos ao titular das informações com adequação das ferramentas sistêmicas;
Revisar Políticas de Privacidade, contratos e Termos de Uso para colocar em destaque cláusulas de direitos do titular das informações;
Revisar contratos com internos e com terceiros que tenham acesso ou façam tratamento de informações;
Detalhar os mecanismos de Segurança às bases de dados documentando técnicas usadas;
Criar equipes internas com indicação dos agentes de tratamento de dados pessoais;
Analisar quais serão as providências tomadas para que o tratamento dos dados atenda à lei;
Criar relatório de impactos à proteção de informações e regras de boas práticas e governança;
Fazer treinamentos constantes para garantir as boas práticas no tratamento dos dados pessoais;
Não coletar ou armazenar dados que não sejam necessários: cópias duplicadas e backups que não serão usados;
Nomear um DPO (Data Protection Officer) como gestor de Proteção de Dados.
É preciso se ater ao fato de que haverá impactos em diferentes esferas de atuação dentro das IES. A captação de alunos, por exemplo, deve respeitar a nova lei, assim como a gestão de permanência dos alunos e o marketing de conteúdo.
No caso dos cookies, da mesma forma, nada de recolher dados e salvá-los em suas páginas sem o consentimento dos potenciais e atuais alunos. É necessário solicitar a anuência do usuário para que os cookies sejam coletados e manipulados no site da instituição; isso apenas como mais um exemplo do que deverá ser feito pela IE.
Lembrando que entre as penalidades previstas para quem não respeitar a LGPD estão a advertência, a multa simples e diária, o bloqueio de acesso a dados ligados à infração ou a exclusão dela, a suspensão parcial ou integral do banco de dados ligado à violação e a suspensão temporária a proibição total das atividades de processamento de dados.
Leia nosso texto:
Outras dicas interessantes:
O site da universidade ou escola também já deve estar em conformidade com a LGPD, mesmo porque em muitas ocasiões a coleta de dados pessoais já começa antes mesmo do aluno se matricular. Várias instituições solicitam informações das pessoas interessadas no próprio site para que possam enviar materiais de interesse e manter um relacionamento com a comunidade.
Não dificulte a opção de cancelamento de uma assinatura ou inscrição de uma lista de e-mails. Retirar qualquer tipo de consentimento deve ser tão fácil quanto concedê-lo.
Seja categórico quando descrever termos, ressaltando que, ao optar por aceitá-los, os usuários terão acesso a informações relevantes e de seu interesse. Sempre deixando claro que ele poderá realizar o cancelamento quando desejar.
Faça com que o usuário não precise aceitar os termos de uso todas as vezes que for baixar ou acessar algum conteúdo em seu site, cuidando, obviamente, que todas as possíveis utilizações para os dados estejam devidamente mapeados e sincronizados no momento da anuência.
Capacite seus funcionários. Somente assim haverá sucesso na implantação das novas práticas.
Esteja amparado por bons agentes de tratamento, ou seja, por bons profissionais que farão as vezes de controlador e operador em sua instituição.
Uma empresa terceira que atue como controladora e operadora pode ser muito interessante para a instituição de ensino; isso porque, havendo algum tipo de vazamento de dados, a responsabilidade primária será da empresa operadora contratada - e que tem acesso aos dados.
Investir em medidas preventivas sempre será a melhor opção, lembrando da multa de até 2% do faturamento líquido da pessoa jurídica de direito privado no total de até 50 milhões por infração. Isso sem contar o impacto na imagem da instituição.
Fins acadêmicos e pesquisa
Para as instituições de ensino e pesquisa há exceções que devem ser consideradas. As ressalvas estão presentes no art. 4º, que trata dos casos em que a lei não se aplica ao tratamento de dados pessoais. Para fins acadêmicos o que vale é a hipótese dos arts. 7º, IV e art. 11, II, c, que define que o tratamento de dados pessoais, com destaque para informações sensíveis, somente poderá ser realizado para estudos por órgão de pesquisa, mantendo, sempre que possível, o anonimato dos dados pessoais.
Em se tratando de alunos, existem casos em que o consentimento será necessário, mas uma análise mais aprofundada nos mostra que assim o será em poucas circunstâncias. A necessidade de consentimento do aluno para tratamento de seus dados será praticamente a exceção.
A lei elenca dez casos de dispensa de consentimento por parte do aluno, abrangidos por três hipóteses: quando há interesse legítimo da IES; quando a IES estiver cumprindo obrigação regulatória ou em casos em que a IES precise do tratamento dos dados para cumprir obrigações oriundas de contrato.
Sobre o tema, leia nossos textos abaixo:
O art. 13, inciso II, por sua vez, trata da responsabilidade pela segurança da informação no caso de pesquisa de dados em saúde pública, bem como a possibilidade de conservação dos dados pelos órgãos de pesquisa nos termos do art. 16 da LGPD. Segundo a lei, os dados poderão ser mantidos para a finalidade de estudo por órgãos de pesquisa.
No caso, de toda sorte, o processo de adequação à LGPD permite que as instituições aprimorem seus processos internos. Ao obrigar que vasculhem “suas casas”, mapeiem seus fluxos de dados e correspondam às regras de privacidade e direitos de alunos, professores e colaboradores, a nova lei pode alçar a um melhor patamar a reputação da instituição perante o mercado, o que, não se pode negar, é um enorme diferencial competitivo.
Enfim, todos os setores empresariais têm as suas particularidades. No caso específico da instituição de ensino falamos de um ambiente que dissemina a cultura, o treinamento e o aprendizado, o que pode contribuir para promover para toda a sociedade as novas determinações sobre o tema; e da melhor maneira possível.
Gostou deste artigo? Faça parte de nossa lista de e-mail para receber regularmente textos como este e notícias de seu interesse.
Fazendo seu cadastro você também pode receber mais informações sobre nossos cursos. No próximo 04 de novembro, de 16h às 18h, teremos o curso EAD sobre a LGPD aplicada às instituições de ensino. Conheça nossa programação e faça sua inscrição!