LGPD para instituições de ensino

LGPD: quais são os impactos da Lei Geral de Proteção de Dados nas instituições de ensino?

LGPD é a sigla de Lei Geral de Proteção de Dados. Sua promulgação alterou diversos aspectos do Marco Civil da Internet, concentrou diversas normas específicas que já eram exigidas para empresas de alguns setores da economia e ampliou os direitos relacionados à privacidade, liberdade e personalidade das pessoas físicas.

Mas você sabe como a LGPD impacta diretamente o relacionamento das instituições de ensino com os diversos envolvidos em suas rotinas, como colaboradores, professores, alunos, pais e responsáveis? Conhece as principais medidas que precisam ser adotadas na coleta, armazenamento e compartilhamento ou acesso a essas informações?

Para criar este post, entrevistamos o Dr. Rony Vainzof, advogado especialista em proteção de dados e direito digital, e perguntamos sobre o que você precisa saber para adequar a sua instituição à LGPD. Confira!

O que é a LGPD?

A Lei Geral de Proteção de Dados gerou mais transparência sobre a forma como as organizações devem coletar, armazenar e compartilhar as informações das pessoas. Seu grande benefício foi a adição de mais segurança jurídica tanto para as empresas, quanto para as pessoas, em tudo o que está relacionado às informações privadas.

Inspirada e impulsionada pela GDPR (General Data Protection Regulation da União Européia) que consolidou os conceitos e diretrizes debatidos desde 1995 naquele continente, a lei brasileira reúne e esclarece vários conceitos, antes espalhados em legislações nacionais distintas. Indica, de forma criteriosa, um roteiro sobre o que as empresas devem fazer para que o tratamento do dado pessoal seja considerado lícito e não passível de autuações.

Ou seja, ela garante para os colaboradores, fornecedores e consumidores que o uso de qualquer informação que seja considerada como dado pessoal está comprovadamente dentro da lei. Também simplifica a atuação de empresas estrangerias no âmbito nacional ao se equiparar com legislações internacionais que as organizações já precisariam atender em outros países.

A lei define conceitos, como:

  • o que é dado pessoal;
  • o que é dado pessoal sensível;
  • o que são bancos de dados;
  • quem é o titular dos dados;
  • quem pode ser o controlador responsável por tomar decisões referente aos dados;
  • quem é o alterador, ou aquele que cumpre as decisões em nome do controlador;
  • quem é o responsável dentro da empresa por fiscalizar o cumprimento da legislação, também definido como encarregado ou Data Protection Officer;
  • além de definir quais atividades são consideradas lícitas no tratamento e uso dos dados.

A lei indica, ainda, o que é o consentimento, quais as obrigações legais das instituições, sinaliza quais são os dados de proteção da vida e quando uma informação é tratada para a execução de um contrato ou diligências pré-contratuais. Além disso, explicita como cada categoria de dado deve ser tratado pela instituição.

Ou seja, exigirá que as organizações invistam e reservem uma parte de seus orçamentos na implementação de tecnologias, metodologias e revisão de processos de tratamento de dados. Ao mesmo tempo, levará as empresas a tratarem as informações pessoais como um direito do cidadão, não apenas como o cumprimento de uma legislação.

O que muda com a sua aplicação no ensino?

Existem 4 aspectos básicos que precisarão ser revistos:

O primeiro é o cuidado em separar alunos menores de 12 anos, de adolescentes entre 12 e 18 anos e maiores de 18 anos. No caso das crianças, menores de 12 anos, a lei indica que o tratamento de dados deverá ser realizado com o consentimento específico e expresso de ao menos um dos pais ou do responsável legal.

Para os adolescentes, o controlador dos dados poderá utilizá-los para a realização de suas atividades, mas não deverá armazenar dados pessoais sensíveis, sem consentimento claro dos responsáveis. Para os maiores, a decisão caberá aos próprios alunos.

Existem algumas informações pessoais dos alunos que devem ser armazenadas por obrigação legal. Neste caso, a lei precisará ser avaliada, pois é necessário estabelecer uma política de Data Retention definindo quais dados, em quais lugares e prazos, além de para quais fins cada informação será usada. Logo, este é o segundo aspecto.

Outra mudança necessária é definir quais são os dados essenciais para a prestação do serviço e quais dados são apenas suplementares. Essa distinção ajudará a identificar quais informações precisarão de um consentimento claro dos titulares ou de seus responsáveis.

Por exemplo, todas as questões relacionadas ao marketing institucional, como direcionamento de propagandas específicas baseadas nos perfis dos alunos, uso de canais promocionais — por exemplo, redes sociais — precisarão da autorização dos titulares.

Por fim, será necessário avaliar como cada categoria de dado será usado e encontrar o embasamento legal para sua coleta e retenção. Afinal, podem envolver questões como a necessidade do tratamento de dado para execução do contrato de prestação de serviços de ensino ou a manutenção dos registros desse tipo de atividade por determinado período de tempo.

Após considerar estes 4 aspectos é necessário observar todas as políticas estabelecidas para a instituição. Não as considerar poderá gerar penalizações.


Quer saber mais sobre os impactos da LGPD nas instituições de ensino? Inscreva-se em nosso webinar!


Quais são as possíveis infrações para essa lei e quais são os tipos de sanções atribuídas?

A lei prevê 3 tipos de sanções:

  • advertência formal;
  • bloqueio dos dados pessoais referentes à infração;
  • multas que podem chegar a 2% do faturamento do grupo ou até 50 milhões de reais por infração.

As infrações mais comuns serão os vazamentos de informações, principalmente de dados sensíveis, como os relacionados à convicção política ou religiosa, partidária ou à saúde dos alunos. Portanto, qualquer sistema de gestão educacional precisará ser avaliado sob o prisma da vulnerabilidade e segurança cibernética.

Quais são os desafios encontrados pelas instituições de ensino nesse contexto?

Existem 4 grandes desafios associados a esse contexto, conforme listamos abaixo.

  1. Conscientizar os executivos, acionistas, donos das instituições e diretores sobre a importância de observar e respeitar a LGPD.
  2. Definir um grupo responsável pelo trabalho de adequação da instituição à LGPD e quem será o responsável direto por este assunto, o Data Protection Officer.
  3. Identificar todas as bases de dados utilizadas pela instituição e orçar quais tecnologias e mecanismos de controle podem ser contratados e instituídos.
  4. Por fim, é necessário estabelecer um programa de governança corporativa que comprove, sempre que necessário, a licitude do tratamento, uso ético e seguro dos dados pessoais.

Como as escolas e universidades podem se preparar para lidar com a LGPD?

As instituições de ensino precisarão se adequar jurídica, metodológica e tecnologicamente para garantir os direitos dos titulares dos dados. Isso significa que se a pessoa quiser saber se uma organização trata os dados dela, poderá perguntar aos seus colaboradores e eles responderão positiva ou negativamente.

Neste caso, se a resposta for sim, deverá informar que tipo de dado trata e como eles foram utilizados. A pessoa também terá o direito de retificar, bloquear ou pedir a portabilidade de seus dados.

Quais são as principais obrigações das instituições de ensino em relação à LGPD?

A LGPD considera a proteção de dados pessoais um direito dos cidadãos. Por conta disso, todas as instituições, independente de porte ou área de atuação, deverão seguir regras rígidas para coletar, processar, compartilhar e resguardar dados pessoais.

Sua instituição de ensino deve ficar atenta aos seguintes itens:

  • O serviço deverá permitir que o usuário escolha como os seus dados serão tratados e autorize ou não o seu uso;
  • O usuário tem direito de saber quais dados estão sendo coletados e para quais finalidades;
  • Deve haver meios para que o usuário solicite a exclusão de informações pessoais ou interrompa a coleta de dados, com a decisão devendo ser respeitada;
  • O usuário também pode acessar, solicitar cópia ou migrar dados coletados para outros serviços (quando cabível);
  • Uso de linguagem clara, concisa e transparente para que qualquer pessoa possa compreender comunicações sobre seus dados, inclusive termos de privacidade;
  • Em caso de incidentes que resultem em vazamento ou violação de dados que podem ferir direitos e a liberdade das pessoas, a organização deverá notificar autoridades;
  • Recomendação de pseudonimização: quando cabível, é recomendável que a empresa proteja informações sensíveis ocultando-as ou substituindo-as de alguma forma para que a identificação do usuário só seja possível com a adição de outros dados;
  • As empresas terão, em certas circunstâncias, que trabalhar com um Data Protection Officer (DPO), executivo que deverá supervisionar o tratamento de dados pessoais, bem com prestar esclarecimentos ou se comunicar com autoridades sobre o assunto.

A LGPD colocou o Brasil em uma nova era, a era do compliance e da proteção das informações pessoais. Se antes, a preocupação das instituições estava voltada para o combate à corrupção, agora ela destaca o uso ético e seguro dos dados pessoais. Mais que um processo burocrático, a lei visa estabelecer um direito fundamental de proteção à privacidade e ao direito da personalidade.

Quer ficar por dentro de qualquer mudança que possa ocorrer sobre este tema ou outros assuntos relacionados às instituições de ensino? Então assine nossa newsletter!

Quer receber mais conteúdos como esse gratuitamente?

Cadastre-se para receber os nossos conteúdos por e-mail.

Email registrado com sucesso
Opa! E-mail inválido, verifique se o e-mail está correto.