Já explicitamos em um de nossos últimos textos sobre compliance e LGPD que uma das primeiras atitudes que a instituição de ensino deverá tomar para se adequar à lei de proteção de dados é a confecção do mapeamento de dados. Ela é obrigatória e responsável por guiar todos os outros passos neste processo.
Leia:
E depois do mapeamento? Quais são as medidas aconselháveis?
A avaliação de risco
Feito o mapeamento, o programa de implementação da Lei Geral de Proteção de Dados requer uma análise de risco, ou seja, o responsável pelo gerenciamento dos dados da instituição deve olhar para o ciclo de vida das informações e entender o risco um a um; a cada análise minuciosa dos dados a avaliação torna-se mais segura.
A avaliação de risco é um processo que permite identificar, analisar e avaliar as ameaças e vulnerabilidades que expõem os dados que a IES armazena e trata.
No caso, por exemplo, se ainda não existe uma política de privacidade na instituição de ensino, ela está infringindo a política de transparência. Se coleta dados desnecessários para determinada operação, está incorrendo na violação do princípio da necessidade. Se transfere dados para fora do país sem garantias, sem segurança e/ou sem um contrato que o determine, tem um sério ponto de risco que precisa ser corrigido.
É interessante mencionar que as melhores práticas para avaliações de risco são descritas na ISO 27001, que é o padrão internacional para um Sistema de Gerenciamento de Segurança da Informação (SGSI).
Como bem especificado no link acima, a norma instrui as organizações a identificar todas as áreas nas quais ela mantém dados confidenciais e a determinar as maneiras como estes dados podem ser afetados, comprometidos. Deve-se, então, atribuir a cada risco uma pontuação com base na probabilidade de a ameaça prevista ocorrer e no quão prejudicial poderá ser.
Um sistema de gerenciamento de segurança da informação em conformidade com os padrões internacionais apresenta proteção no nível das pessoas, ou seja, contorna riscos que envolvem funcionários negligentes ou mal-intencionados, no nível dos processos, que são os riscos oriundos de procedimentos ineficazes, e também no nível da tecnologia, que são os riscos gerados por vulnerabilidades no software ou hardware da empresa. Estes últimos, a propósito, são os que mais chamam a atenção do público leigo.
A LGPD não faz menção a uma estrutura específica para realizar esta avaliação de risco, mas estes pontos são fundamentais. Com o apoio técnico das empresas capacitadas ou de uma equipe técnica própria e bem treinada, os riscos podem ser imensamente reduzidos.
Execução do programa de conformidade
Criar e adaptar processos e sistemas para endereçar os riscos apontados é importante. É hora de mais uma revisão ou elaboração da política de privacidade, dos termos de uso, dos termos de consentimento, da política de segurança, da política de retenção, do descarte, da política de cookies, da elaboração de cláusulas contratuais padrão, da revisão e negociação de contratos, do plano de resposta a incidentes, do relatório de risco e alguns outros que devem ser apontados pela equipe de apoio.
O plano de ação
Feito o mapeamento e analisados os riscos, passamos ao plano de ação, ou seja, à elaboração de um programa de conformidade com detalhamento das etapas e processos de execução, considerando o grau de criticidade dos riscos.
Definir o plano de ação é definir as responsabilidades e atribuições dos envolvidos, além dos processos e sistemas que serão criados ou alterados.
Também é necessário que já exista um Relatório de Impacto que descreva os processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. A referência legal deste relatório é o art. 5º, XVII da Lei 13.709/2018.
A instituição de ensino, vale reforçar, em todas as etapas, deverá assegurar a comunicação eficiente e o treinamento das equipes, com a definição da estratégia de implantação e a elaboração do cronograma que contenha a estimativa de investimento para a adaptação à LGPD.
Treinamento
A maioria dos problemas que ocorrem relacionados a vazamentos de dados são ocasionados por falhas humanas. Portanto, permanecer com funcionários/empregados despreparados para lidar com o adequado tratamento dos dados pessoais e com a evolução das ameaças virtuais expõe a instituição de ensino de maneira desnecessária.
Isto sem contar que vivemos em um momento especialmente sensível a ataques, conjugado com altas exigências regulatórias (vide a vigência da LGPD) e grandes expectativas dos titulares de dados em relação a seus direitos.
Nunca, portanto, foram tão necessários treinamentos e um programa de consciência para os empregados, que devem receber das instituições conhecimentos apropriados para proteger os dados que lhe forem confiados.
Os riscos inerentes da tecnologia, as vulnerabilidades e as ameaças cibernéticas em potencial precisam ser compreendidas adequadamente por todos, criando um ambiente mais criterioso no quesito segurança de dados.
Neste sentido, a proteção dos dados não deve se restringir à esfera digital, mas também açambarcar os dados pessoais tratados de maneira física, a exemplo de arquivos e formulários em papel impressos.
Saiba mais:
Revisão das medidas aplicadas e Monitoramento
Neste momento se faz necessária uma revisão e verificação do nível de maturidade e compliance da instituição de ensino em relação à LGPD. É interessante que se façam checklists, as verificações de lacunas remanescentes e os últimos ajustes.
É também a ocasião da solicitação de evidências para confirmar a aderência do processo implementado ao plano de ação definido e das análises das evidências de registros e documentos frente à Lei Geral de Proteção de Dados.
Leia mais:
Enfim, a LGPD estabeleceu penalidades importantes para o descumprimento de suas determinações, que vão desde a advertência até a imposição de multa no valor máximo de R$50.000.000,00 (cinquenta milhões de reais) por infração.
Um programa de conformidade que carregue consigo processos de gestão de dados em concordância com o que estabelece a LGPD, além de prevenir a ocorrência de eventos prejudiciais, reduz a possibilidade de eventuais punições a serem aplicadas pela ANPD, pois esta, além da gravidade da infração, do grau do dano causado, dentre outros pontos, também analisará se houve a adoção de mecanismos e procedimentos internos para mitigar danos e se há políticas de boas práticas e governança e, ainda, se medidas corretivas foram prontamente adotadas pela instituição. Um bom programa de compliance é indispensável e, a bem da verdade, à essa altura da história, já deve estar confeccionado e sendo colocado em prática.
Leia mais:
Gostou deste texto? Faça parte de nossa lista de e-mail para receber regularmente materiais como este. Fazendo seu cadastro você também pode receber notícias sobre nossos cursos, que oferecem informações atualizadas e metodologias adaptadas aos participantes.
Temos cursos regulares já consagrados e também modelamos cursos in company sobre temas gerais ou específicos relacionados ao Direito da Educação Superior. Conheça nossas opções e participe de nossos eventos.