Passados 02 anos da pior fase da pandemia, as instituições de ensino, públicas ou privadas, seja no modelo híbrido ou totalmente presencial, retomaram as aulas. Todavia, nem todas implementaram a devida conformidade com a LGPD, se esquecendo que a lei já se tornou efetiva em todo o território nacional no dia 18 de setembro de 2020.
E mais: também estão em vigor há mais de um ano, desde 1º de agosto de 2021, os artigos relativos às punições ao descumprimento à norma, cabíveis às pessoas físicas e jurídicas que estiverem em desacordo com os preceitos da lei. A aplicação das sanções se concretizará por meio das decisões da Autoridade Nacional de Proteção de Dados.
Leia:
Infelizmente, muitas instituições ainda não se detiveram no processo de implementar um programa de LGPD. Em um determinado momento, até de certa forma compreensível, mas não justificável, em razão da pandemia, as atenções estavam em como implementar a continuidade do ensino de maneira remota e gerir toda a nova estrutura virtual. Depois as atenções se voltaram para como identificar as lacunas de aprendizagem causadas pelo fechamento das escolas e realinhar a saúde mental e socioemocional de toda a comunidade escolar.
Porém, as instituições que não se adequaram à LGPD não estão protegendo os dados pessoais de seus estudantes e quando se trata de crianças ou adolescentes versus privacidade de dados a questão é mais complexa e todo o cuidado ainda é pouco.
Dados
O ponto inicial é entender quais são os dados pessoais que estão em poder da instituição de ensino, o que é feito deles no dia a dia e quão seguros estão. Hoje, o titular do dado pode cobrar total transparência destas questões e estará em posição de total acesso a eles, podendo solicitar a restrição no tratamento ou que sejam apagados.
Ocorre de não nos darmos conta de que dados isolados podem ser dados pessoais, como um endereço de e-mail ou o número de celular. Dados que podem não estar atrelados a um nome, mas identificam uma pessoa específica. Não existe um rol fechado de dados pessoais: cada empresa precisa averiguar quais possui em seu poder.
Base de dados de endereços eletrônicos armazena dados pessoais e devem ser tratados sob os princípios da LGPD, o que inclui basicamente não usá-los para nenhum outro fim a não ser aquele para o qual foi fornecido.
Especificados quais são os dados pessoais e os dados pessoais sensíveis - definidos em lei - o responsável precisa manter a qualidade dos mesmos, o que seja, precisam ser fidedignos, atuais e anonimizados sempre que possível, sob risco de perda de confiança na empresa.
Em instituições de ensino existem situações de biometria e, especialmente na educação básica, podem ocorrer gravações de imagens para o monitoramento dos pais. Em casos assim a escola deve se manter responsável quanto a coleta, tratamento e armazenamento dos dados. Tudo deve estar de acordo com a LGPD, garantindo que vídeos e filmagens não sejam “hackeados” ou “vazados” por erro ou de forma intencional, seja por alguém de fora ou de dentro da instituição.
Os riscos são muitos. Além das imagens das crianças, as instituições possuem informações básicas como nome completo, filiação, RG, endereço, endereço eletrônico, de forma que, em um cenário desagradável, esse estudante pode ser encontrado virtualmente ou até pessoalmente por um ofensor.
E ainda que remotamente podem ocorrer situações de bullying, assédio sexual, exploração sexual, exposição a conteúdos inapropriados, grooming, publicação de informações privadas, sexting e sextortion.
Pessoalmente todas as agressões citadas podem ocorrer e ainda outras, como o chamado happy slapping, que é uma forma de cyberbullying que ocorre quando uma ou várias pessoas agridem um indivíduo enquanto o incidente é gravado para ser transmitido nas redes sociais.
Sabemos que a escola é uma das instituições que compõem a chamada rede de proteção à infância e adolescência. Ao lado de outros atores de outras áreas, como a Saúde e a Assistência Social, os profissionais da educação devem zelar pelos direitos da população dessa faixa etária, previstos no ECA. Então, em se tratando de menores de idade, os riscos de vazamento de dados pessoais de alunos assumem consequências ainda mais graves. Sobre o tema, falaremos um pouco mais abaixo.
Enfim, para verificar se a instituição já protege os dados de seus estudantes, cumprindo as determinações da LGPD, é preciso verificar se já:
Realizou o mapeamento dos dados pessoais (e pessoais sensíveis);
Fez o mapeamento de impacto de riscos de privacidade de dados;
Delimitou para qual finalidade mantém as informações;
Analisou os softwares presentes na instituição;
Avaliou arquivos físicos e o processo de guarda e segurança destes documentos;
Definiu o tipo de dado que processa, definindo a necessidade ou não de ser anonimizado;
Monitorou a base legal para o processamento, verificando, por exemplo, casos em que precisa do consentimento do titular para dar continuidade ao tratamento;
Certificou quem são os terceiros destinatários dos dados e para onde vão.
Identificou vulnerabilidades de tecnologia;
Determinou processos de comunicação das informações de alunos com órgãos públicos;
Previu políticas internas de privacidade e segurança da informação;
Treinou colaboradores sobre privacidade;
Definiu métodos de segurança e como serão as respostas a eventuais brechas e vazamentos.
Definiu período de retenção dos dados.
É importante que todo o processo de implementação seja feito de forma metódica para uma eventual fiscalização da Autoridade Nacional de Proteção de Dados (ANPD).
Menores de 18 anos
A LGPD define que para menores de 18 anos o consentimento para tratamento de dados deverá ser realizado de forma específica e em destaque, dado por pelo menos um dos pais ou pelo responsável legal, em consonância com os princípios definidos no Estatuto da Criança e do Adolescente, que define as regras de proteção aos menores de idade no Brasil.
Em razão da indefinição sobre quais hipóteses legais autorizam o tratamento de dados pessoais de crianças e adolescentes, a interpretação da norma vem sendo objeto de alguma controvérsia, configurando uma situação de incerteza jurídica para os agentes de tratamento. Isto gerou a publicação de um estudo de caráter preliminar por parte da ANPD para fomentar o debate público e subsidiar futura tomada de decisão sobre o tema.
Acompanharemos o transcorrer dos debates e publicaremos a decisão da Autoridade de Dados no momento oportuno. Enquanto isso, entenda melhor a questão acessando nosso texto ANPD estuda hipóteses legais aplicáveis ao tratamento de dados pessoais de crianças e adolescentes.
Também são muitos os dados considerados “sensíveis” pela LGPD coletados no ambiente escolar; são dados de saúde, biometria e imagens, dentre outros. Os dados biométricos são dados de alto grau de proteção em segurança da informação e não devem ser exigidos, entregues e utilizados sem necessidade.
Confira se todas essas questões estão sendo observadas em sua instituição, inclusive em relação ao site da universidade ou escola; em muitas ocasiões a coleta de dados pessoais já começa antes do aluno se matricular.
O processo de análise da adequação à LGPD permite que as instituições aprimorem seus processos internos. Ao obrigar que esquadrinhem “suas casas”, mapeiem seus fluxos de dados e correspondam às regras de privacidade e direitos de alunos, professores e colaboradores, a lei pode propiciar que a reputação da instituição atinja um melhor patamar no mercado, o que, não se pode negar, é um ótimo diferencial competitivo.
O que deve ficar claro é que segurança exige intenção e custos; que quanto mais valiosos são os dados, mais forte deve ser o sistema de proteção e que não existe aquele "à prova de hackers".
Enfim, a conformidade com a LGPD demonstra que a instituição respeita a privacidade e os direitos não só dos alunos, mas professores e funcionários. Quem ainda não a promoveu, deve fazê-lo imediatamente.
Gostou deste texto? Faça parte de nossa lista de e-mail para receber regularmente materiais como este. Fazendo seu cadastro você também pode receber notícias sobre nossos cursos, que oferecem informações atualizadas e metodologias adaptadas aos participantes.
Temos cursos regulares já consagrados e modelamos cursos in company sobre temas gerais ou específicos relacionados ao Direito da Educação Superior. Conheça nossas opções e participe de nossos eventos.