LGPD para instituições de ensino

LGPD: quais são os impactos da Lei Geral de Proteção de Dados nas instituições de ensino?

Lyceum - Acervo Acadêmico Digital

LGPD é a sigla de Lei Geral de Proteção de Dados. Sua promulgação alterou diversos aspectos do Marco Civil da Internet, concentrou diversas normas específicas que já eram exigidas para empresas de alguns setores da economia e ampliou os direitos relacionados à privacidade, liberdade e personalidade das pessoas físicas.

Mas, você sabe como a LGPD impacta diretamente o relacionamento das instituições de ensino com os diversos envolvidos em suas rotinas, como colaboradores, professores, alunos, pais e responsáveis? Conhece as principais medidas que precisam ser adotadas na coleta, armazenamento e compartilhamento ou acesso a essas informações?

Para criar este post, entrevistamos o Dr. Rony Vainzof, advogado especialista em proteção de dados e direito digital, e perguntamos sobre o que você precisa saber para adequar a sua instituição à LGPD. Confira!

O que é a LGPD?

A Lei Geral de Proteção de Dados entrou em vigor no dia 18 de setembro de 2020 e gerou mais transparência sobre a forma como as organizações devem coletar, armazenar e compartilhar as informações das pessoas. O seu grande benefício foi a adição de mais segurança jurídica tanto para as empresas quanto para as pessoas, em tudo o que está relacionado às informações privadas.

Inspirada e impulsionada pela GDPR (General Data Protection Regulation da União Europeia), que consolidou os conceitos e diretrizes debatidos desde 1995 naquele continente, a lei brasileira reúne e esclarece vários conceitos, antes espalhados em legislações nacionais distintas. Indica, de forma criteriosa, um roteiro sobre o que as empresas devem fazer para que o tratamento do dado pessoal seja considerado lícito e não passível de autuações.

Ou seja, ela garante para os colaboradores, fornecedores e consumidores que o uso de qualquer informação que seja considerada como dado pessoal está comprovadamente dentro da lei. Também simplifica a atuação de empresas estrangeiras no âmbito nacional ao se equiparar com legislações internacionais que as organizações já precisariam atender em outros países.

A lei define conceitos como:

  • o que é dado pessoal;
  • o que é dado pessoal sensível;
  • o que são bancos de dados;
  • quem é o titular dos dados;
  • quem pode ser o controlador responsável por tomar decisões referente aos dados;
  • quem é o alterador, ou aquele que cumpre as decisões em nome do controlador;
  • quem é o responsável dentro da empresa por fiscalizar o cumprimento da legislação, também definido como encarregado ou Data Protection Officer (DPO);
  • quais atividades são consideradas lícitas no tratamento e uso dos dados.

A lei indica ainda, o que é o consentimento e quais as obrigações legais das instituições, sinaliza quais são os dados de proteção da vida e quando uma informação é tratada para a execução de um contrato ou diligências pré-contratuais. Além disso, explicita como cada categoria de dado deve ser tratada pela instituição.

Ou seja, a LGPD exige que as organizações invistam e reservem uma parte de seus orçamentos na implementação de tecnologias, metodologias e revisão de processos de tratamento de dados. Ao mesmo tempo, leva as empresas a tratarem as informações pessoais como um direito do cidadão, não apenas como o cumprimento de uma legislação.

O que são dados sensíveis segundo a LGPD?

Dados sensíveis é uma categoria criada pela LGPD para reunir dados que permitem a identificação de uma pessoa e abrem margem para discriminações. Eles estão definidos no artigo 5° da LGPD, inciso II:

  • participação em sindicatos;
  • posicionamento político;
  • opção religiosa;
  • etnia;
  • dados referentes à saúde ou vida sexual;
  • dados genéticos ou biométricos.

Diferentemente dos dados sensíveis, os dados pessoais são aqueles que permitem identificar uma pessoa, como nome, idade, RG, CPF, e-mail, cookie e endereço de IPI. Como vimos, o documento deixa bem claro que a chave para tratar os dados sensíveis é o consentimento do proprietário.

O que muda com a sua aplicação no ensino?

Existem alguns aspectos básicos que precisam ser revistos. O primeiro é o cuidado em separar alunos menores de 12 anos, de adolescentes entre 12 e 18 anos e maiores de 18 anos. No caso das crianças menores de 12 anos, a lei indica que o tratamento de dados deve ser realizado com o consentimento de, pelo menos, um de seus pais ou responsáveis legais.

Para os adolescentes, o controlador dos dados pode utilizá-los para a realização de suas atividades, mas não deve armazenar dados pessoais sensíveis sem consentimento claro dos responsáveis. Para os maiores, a decisão cabe aos próprios alunos.

Existem algumas informações pessoais dos alunos que devem ser armazenadas por obrigação legal. Nesse caso, a lei precisa ser avaliada, pois é necessário estabelecer uma política de Data Retention, definindo quais dados e em quais lugares e prazos, além de para quais fins cada informação é usada.

Outra mudança necessária é estabelecer quais são os dados essenciais para a prestação do serviço e quais dados são apenas suplementares. Essa distinção ajuda a identificar quais informações precisam de um consentimento claro dos titulares ou de seus responsáveis.

Por exemplo, todas as questões relacionadas ao marketing institucional, como direcionamento de propagandas específicas baseadas nos perfis dos alunos e uso de canais promocionais — por exemplo, redes sociais —, precisam da autorização dos titulares.

Por fim, é necessário avaliar como cada categoria de dado é usada e encontrar o embasamento legal para sua coleta e retenção. Afinal, a coleta e a retenção podem envolver questões como a necessidade do tratamento de dados para execução do contrato de prestação de serviços de ensino ou a manutenção dos registros desse tipo de atividade por determinado período de tempo.

Após considerar esses aspectos, é necessário observar todas as políticas estabelecidas para a instituição, pois não fazer isso pode gerar penalizações.

Quais são os tipos de sanções atribuídas pela LGPD?

Embora a LGPD já esteja valendo, os artigos sobre as sanções atribuídas para quem desrespeitar as normas do documento ainda não estão em vigor. A data prevista para que as sanções comecem a valer é agosto de 2021. A lei prevê três tipos de sanções:

  • advertência formal;
  • bloqueio dos dados pessoais referentes à infração;
  • multas que podem chegar a 2% do faturamento do grupo ou até 50 milhões de reais por infração.

As infrações mais comuns são vazamentos de informações, principalmente de dados sensíveis. Portanto, qualquer sistema de gestão educacional precisa ser avaliado sob o prisma da vulnerabilidade e da segurança cibernética.

Quais são os desafios encontrados pelas instituições de ensino?

Existem quatro grandes desafios associados ao atual contexto de vigência da LGPD, conforme listamos abaixo:

  • conscientizar os executivos, acionistas, donos das instituições e diretores sobre a importância de observar e respeitar a LGPD;
  • definir um grupo responsável pelo trabalho de adequação da instituição à LGPD e o responsável pelo Data Protection Officer (DPO);
  • identificar as bases de dados utilizadas pela instituição e orçar quais tecnologias e mecanismos de controle podem ser contratados e instituídos;
  • estabelecer um programa de governança corporativa que comprove, sempre que necessário, a licitude do tratamento, uso ético e seguro dos dados pessoais.

Quais são as principais obrigações das instituições de ensino em relação à LGPD?

A LGPD considera a proteção de dados pessoais um direito dos cidadãos. Por conta disso, todas as instituições, independentemente de porte ou área de atuação, devem seguir regras rígidas para coletar, processar, compartilhar e resguardar dados pessoais.

As instituições de ensino precisam se adequar jurídica, metodológica e tecnologicamente para garantir os direitos dos titulares dos dados. Isso significa que, se a pessoa quiser saber se uma organização trata os dados dela, ela deve ter a possibilidade de perguntar aos seus colaboradores, e eles deverão responder positiva ou negativamente.

Se a resposta for sim, a instituição deve informar que tipo de dado trata e como eles foram utilizados. A pessoa também tem o direito de retificar, bloquear ou pedir a portabilidade de seus dados.

Sua instituição de ensino deve ficar atenta aos seguintes itens:

  • o serviço deve permitir que o usuário escolha como os seus dados serão tratados e autorize ou não seu uso;
  • o usuário tem direito de saber quais dados estão sendo coletados e para quais finalidades;
  • deve haver meios para que o usuário solicite a exclusão de informações pessoais ou interrompa a coleta de dados, com a decisão devendo ser respeitada;
  • o usuário também pode acessar, solicitar cópia ou migrar dados coletados para outros serviços (quando cabível);
  • uso de linguagem clara, concisa e transparente para que qualquer pessoa possa compreender comunicações sobre seus dados, inclusive termos de privacidade;
  • em caso de incidentes que resultem em vazamento ou violação de dados que podem ferir direitos e liberdade das pessoas, a organização deve notificar autoridades;
  • recomendação de pseudonimização — quando cabível, é recomendável que a empresa proteja informações sensíveis, ocultando-as ou substituindo-as de alguma forma, de modo que a identificação do usuário só seja possível com a adição de outros dados;
  • as empresas precisam, em certas circunstâncias, trabalhar com um Data Protection Officer, responsável por supervisionar o tratamento de dados pessoais, bem com prestar esclarecimentos e se comunicar com autoridades sobre o assunto.

Quais são as adaptações tecnológicas que a instituição de ensino deve fazer?

Vimos que a LGPD exige inúmeras mudanças jurídicas das instituições para garantir o respeito às normas vigentes, mas adaptações tecnológicas também se mostram necessárias, uma vez que os dados devem permanecer armazenados em ambiente digital.

O documento define que qualquer usuário precisa ter a possibilidade de solicitar a visualização dos seus dados armazenados. Nesse sentido, as instituições de ensino contam com algumas soluções para cumprir esse objetivo. Uma das opções é contar com uma equipe interna responsável por garantir o armazenamento de dados dos alunos.

A contratação de profissionais responsáveis por essa gestão pode facilitar a adaptação da instituição às normas da LGPD e garantir processos mais seguros. No entanto, nesse caso, há o risco de dificultar o acesso de familiares aos dados armazenados, além de mantê-los dispersos em papéis, planilhas e arquivos digitais.

O ideal é que as instituições de ensino invistam em um sistema de gestão educacional (SGE), que pode facilitar o acesso aos dados, uma vez que essa tecnologia exige apenas a busca pelo nome do aluno. Além disso, a centralização dos dados e a restrição de acesso evitam que as instituições passem por situações de perda ou roubo. Ainda existem mais vantagens com a aquisição de um sistema de gestão!

Quais são as principais vantagens de um sistema de gestão?

Um sistema de gestão educacional é uma tecnologia fundamental para garantir o controle de todos os processos administrativos, financeiros e educacionais. Há uma diversidade de vantagens associadas ao uso do sistema de gestão no dia a dia escolar.

A seguir, reunimos as mais importantes no contexto de adaptação às normas da LGPD.

Processos automatizados

O sistema de gestão educacional coloca as instituições de ensino na tendência mundial de substituir processos manuais por processos automatizados. Isso significa que tarefas repetitivas e burocráticas passam a ser feitas por um software. Pagamento de boletos, acesso a informações do aluno e demais funções ficam muito mais rápidas e simples com essa tecnologia.

Transparência no armazenando de dados

Armazenar e organizar grande volume de dados gerados diariamente é um dos grandes desafios das instituições de ensino no atual contexto tecnológico. Não é por acaso, pois é isso que permite um diálogo bem-sucedido entre setores internos e, consequentemente, um serviço de qualidade aos alunos.

Com o sistema de gestão educacional, os dados podem ficar armazenados na nuvem e ser organizados com toda a transparência para facilitar o acesso.

Comunicação rápida entre instituição, aluno e família

Outra vantagem do sistema de gestão educacional é o ambiente de comunicação interna gerado e a possibilidade de agilizar a comunicação com os alunos — e também com as famílias no caso das escolas. Se a instituição mantém o fluxo de envio e recebimento de informações importantes dentro do software, ela evita a ocorrência de vazamento de dados e passa mais confiança aos alunos.

A LGPD colocou o Brasil em um novo momento: a era do compliance e da proteção das informações pessoais. Se antes a preocupação das instituições estava voltada para o combate à corrupção, agora ela destaca o uso ético e seguro dos dados pessoais. Mais que um processo burocrático, a lei visa estabelecer um direito fundamental de proteção à privacidade e ao direito da personalidade.

Se você chegou até aqui, é porque está atrás de mais segurança para os dados da sua instituição de ensino. Saiba que as soluções do sistema de gestão Lyceum têm ajudado diversas instituições na tarefa de obter processos automatizados que garantem total privacidade. Para saber mais detalhes, acesse o site do Lyceum e entre em contato conosco!

Quer receber mais conteúdos como esse gratuitamente?

Cadastre-se para receber os nossos conteúdos por e-mail.

Email registrado com sucesso
Opa! E-mail inválido, verifique se o e-mail está correto.

Parceiros