LGPD: o mapeamento de dados nas Instituições de Ensino

Todas as Instituições de Ensino deverão se preparar para manter conformidade com as diretrizes e regras de tratamento de dados previstas na Lei Geral de Proteção de Dados Pessoais e o documento mais importante nesse programa de adequação é o data mapping, ou seja, o mapeamento de dados.


Ele é obrigatório e responsável por guiar todos os outros passos em direção à compliance com a LGPD.


O texto legal que o torna mandatório é o art. 37 da lei nº 13.709, de 14 de agosto de 2018, que dispõe que controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.


Se a Instituição de Ensino não providenciar esse documento poderá sofrer as sanções administrativas prevista na lei. Há quem argumente que não possuir o mapeamento de dados por parte de pequenas instituições pode ser tratado como infração de pouca monta pela ANPD, mas, pela segurança da instituição, é recomendado providenciá-lo.


Leia:

As sanções administrativas previstas na LGPD

O que deve necessariamente constar do mapeamento?


Inicialmente, o documento deve especificar quem são os atores envolvidos no processo, ou seja: o controlador, que é a empresa que realiza o mapeamento; o operador, que é o terceiro com quem o controlador compartilha os dados e o titular dos dados – que, no caso, pode ser o aluno, o empregado da instituição ou um terceirizado, por exemplo.


Além dos atores que envolvem as operações de coleta e tratamento de dados, o mapeamento deve indicar a finalidade do uso das informações coletadas, indicando a base legal que a justifique. Atente para o fato de que as bases legais para o tratamento dos dados pessoais comuns e dados sensíveis são diferentes. Algumas coincidem, mas não é a regra.

Se o tratamento de dados é realizado com base em obrigação legal ou regulatória, originária, por exemplo, da Secretaria de Regulação e Supervisão da Educação Superior, ela precisa ser nominalmente citada.


A listagem dos dados pessoais que serão tratados precisa ser apresentada, obviamente, bem como o tempo que os dados ficarão retidos em poder da Instituição de Ensino. Lembrando que a LGPD obriga as empresas a descartarem os dados findo o prazo determinado em lei.


A propósito, não é frequente que as empresas em geral, incluindo aí as Instituições de Ensino, tenham a prática de descarte de dados. E dentro do mapeamento é necessária a indicação do tempo que a informação será mantida em poder do controlador, que deve ser assessorado tecnicamente nesse sentido, a fim de evitar maiores aborrecimentos.


Terceiros com os quais os dados são compartilhados também devem ser indicados no data mapping e, nos casos abaixo, o compartilhamento independe do consentimento do titular:


  • Quando o tratamento compartilhado de dados for necessário para a execução de políticas públicas;

  • Para que os órgãos de pesquisa possam realizar estudos, sempre observando a anonimização de dados pessoais sensíveis;

  • Para o exercício regular de direitos, incluindo contrato e processo judicial, administrativo e arbitral;

  • Quando os dados forem indispensáveis para o controlador cumprir obrigações legais ou regulatórias;

  • Em caso de proteção da vida ou segurança física do titular dos dados ou de terceiros;

  • Para tutela de saúde, em procedimentos que devem ser realizados por profissionais ou serviços de saúde/autoridade sanitária;

  • Para garantir que o titular dos dados esteja seguro e prevenido de fraudes, sempre observando o direito à informação e transparência garantido pela lei (exceto em casos onde a proteção dos dados seja fundamental para garantir direitos e liberdades).

Para exemplificar, o e-commerce transfere dados para a transportadora para finalizar a transação comercial; a transportadora é o terceiro, mas o seu nome empresarial não entra especificamente no mapeamento. Ele constará de uma lista à parte, pois pode ser substituído por alguma razão ou circunstância e isso não impacta no documento finalizado.


O mapeamento também deve mencionar se existe compartilhamento internacional de dados e quais as medidas de segurança a Instituição de Ensino adota em relação aos dados pessoais tratados.


Essas informações podem ser encontradas no conteúdo apresentado pelo governo federal no Guia de Boas Práticas da Secretaria de Governo Digital: o documento materializa o resultado de discussões e propõe caminhos que levem à sustentabilidade das ações de proteção aos dados pessoais para o país. As orientações do site estão voltadas para o setor público, mas podemos utilizá-las amplamente no setor privado, adaptando-as para a realidade de cada Instituição de Ensino.

Quem coleta dados nas Instituições de Ensino?


Quais áreas das Instituições de Ensino coletam e tratam dados pessoais? Normalmente, todas as áreas o fazem, embora muitas vezes não pareça. É que tratamento inclui a simples disponibilidade da informação ou apenas a possibilidade de visualizá-la.


Logo, é preciso determinar cada área em específico e, para essa função, existe a Gestão de Acesso, também responsável por analisar os riscos envolvidos. Recursos Humanos, Marketing e o Financeiro são exemplos de áreas chave, sendo ideal que todos os sujeitos nelas envolvidos façam treinamento sobre o compliance.


No mapeamento ainda é preciso indicar o que cada área tem em seu poder de dados/informações. O resultado dessa etapa depende da complexidade da instituição, mas todas vão precisar apresentar uma listagem, um inventário dos dados. Também é a Instituição de Ensino que indica quem é o controlador e o encarregado. Identifica serviços e também negócios que tratam dados pessoais


É preciso entender quais são as pessoas que vão ajudar a empresa nessa fase: quem vai ser os olhos do DPO em cada área? Não há necessidade de que seja pessoal de altos cargos na instituição, mas sim que tenha gerência sobre outras pessoas das áreas nomeadas. Dependendo da estrutura da Instituição de Ensino, pode ser um funcionário de seus quadros, desde que, para sua própria segurança, tenha recebido treinamento adequado.


A contratação de empresas externas para uma consultoria multidisciplinar é bastante interessante e indicada, é claro, mas não dispensa a necessidade de se instituir uma cultura de proteção de dados dentro da instituição.


Os dados


Os dados pessoais estão em todos os lugares: na seleção, admissão, contratação, demissão de funcionários; na seleção e matrícula de alunos. Na contratação com terceirizados.


No mapeamento, informações sobre os dados pessoais também devem ser especificados, como o seu ciclo de vida, escopo e natureza. Afinal, eu preciso estabelecer e comunicar se o dado circula ou fica em meu poder; qual foi sua fonte, se o titular ou um terceiro.


Indicar a base legal para o tratamento é necessário e precisa ser fundamentado. É preciso decidir se as áreas da Instituição podem fazê-lo sozinhas ou se necessitarão de apoio externo.


A finalidade e as informações sobre os benefícios que os dados fornecem também devem ser indicadas no documento, bem como deve ser feita uma avaliação sobre o excesso na coleta de dados. Nesse momento é interessante iniciar uma limpeza no banco de dados, caso essa necessidade seja percebida.


Muito importante, da mesma forma, especificar quais categorias de dados estão sendo coletados: se são identificações pessoais, características pessoais, dados profissionais, características psicológicas, categoria familiar, dados financeiros, profissão e emprego. Dados desnecessários devem ser descartados. No site do governo há a indicação dos dados pessoais sensíveis e eles devem ser avaliados da mesma maneira.


Segurança


A área de TI é crucial quando falamos de medidas de segurança: o que deve ser adotado, quais medidas devem ser tomadas para assegurar que a Instituição de Ensino trate dados pessoais sem infringir a nova lei?


A lista é meramente exemplificativa e quanto maior for a instituição, medidas de segurança diferentes serão necessárias. A área da Tecnologia da Informação deve atuar promovendo:

  • A análise da necessidade de consentimento;

  • O compliance com a privacidade;

  • Os controles de segurança na rede;

  • Os controles criptográficos;

  • O controle de acesso;

  • O desenvolvimento seguro;