Especial LGPD: As adequações a serem feitas pelas escolas

Apesar de ter sido criada principalmente para combater os abusos no uso de dados indevidos por algumas áreas do marketing e de vendas, a Lei Geral de Proteção de dados atinge em cheio todas as empresas e prestadoras de serviços, inclusive as escolas; entenda o que é preciso fazer para que o colégio não corra o risco de ser penalizado por multas astronômicas

A LGPD – Lei Geral de Proteção de Dados ganha relevância à medida que as pessoas entendem que ela chega para toda e qualquer empresa em território nacional, seja indústria, comércio, profissionais autônomos ou prestadoras de serviços. Nesse cenário se encaixam as instituições de ensino, que estão na mira dos órgãos reguladores por tratarem, principalmente, de dados menores de idade.

Se na primeira matéria do Especial LGPD tratamos de explicar a lei em um panorama geral e chamar a atenção para prazos, desta vez, nosso foco é o seguimento educacional. Afinal, quando e por onde começar as mudanças? Quais as adequações necessárias? Como comunicar as alterações para os pais? Confira as respostas a essas e outras dúvidas comuns para o gestor escolar.

Dados pessoais de menores, atenção redobrada

Todos os dados coletados são informações importantes para as pessoas envolvidas, por isso carecem de proteção, seja na maneira como estão sendo absorvidos, no modo como serão armazenados ou para quais finalidades serão utilizados. Entretanto, quando falamos de dados de crianças e adolescentes, o radar apita mais forte.

“As escolas possuem em sua base os dados de identificação dos alunos e seus pais, além de dados médicos quando passados pela família para emergências, tais dados são de natureza sensíveis e exigem maior cuidado para não serem acessados indevidamente. Foi comum, no passado, o vazamento de dados em instituições de ensino. Se já estivessem sobre a égide desta lei, certamente as empresas envolvidas não teriam saído ilesas”, aponta Leandro Alvarenga Miranda, especialista em proteção de dados pessoais e advogado associado da Cots Advogados.

Uma instituição de ensino, portanto, trata diversos dados, desde os mais genéricos aos sensíveis. “A implicação de dados de crianças e adolescentes se dá na autorização e finalidade da coleta dos mesmos, pois devem ser autorizados por um dos pais ou responsáveis, sendo a escola responsabilizada pelos esforços de garantia de sigilo e segurança”, alerta Cristina Sleiman, pedagoga e advogada na Cristina Sleiman Sociedade de Advogados, especialista em Direito da Tecnologia e mestre em Sistemas Eletrônicos.

A responsabilidade dos colégios quanto a dados sensíveis

A LGPD prevê uma determinada penalização para o uso indevido de dados pessoais, mas quando se trata de dados sensíveis, essa penalização pode ganhar proporções ainda maiores.

“Além disso, toda e qualquer informação deve ser clara e de fácil entendimento ao público a que se destina. Assim, acesso a portais, uso de tablets e qualquer coleta de dados, ainda que seja para mensurar nível de aprendizagem, deverão ser autorizados através de consentimento específico”, reforça Cristina, sobre dados utilizados no dia a dia de instituições de ensino.

Para entender melhor o risco a que as escolas estão se expondo, vale conhecer a classificação de dados que, na LGPD, é basicamente dividida em três:

  • Dados pessoais – São informações que identificam o cidadão direta ou indiretamente, como nome, sobrenome, data de nascimento, documentos pessoais, endereço, telefone, e-mail, IP do computador pessoal e até os famosos cookies de histórico de navegação na internet.
  • Dados sensíveis – Os dados sensíveis dizem respeito a características que podem discriminar o cidadão, por isso precisam de proteção total e podem ser alvo fácil da fiscalização. Entre elas estão: religião, opção sexual, convicções morais, opiniões políticas, imagens, rendimento escolar, informações sobre comportamento, boletins de saúde e dados médicos.
  • Dados anônimos – Dados em que as pessoas não são identificadas, como informações estatísticas, por exemplo.

Passo a passo para a adequação

Confira dicas práticas de como se adequar à LGPD de maneira simples e a tempo:

1 – Diagnóstico de riscos e conformidades

O primeiro passo a ser dado pela instituição é fazer um levantamento para identificar onde estão depositados os dados pessoais e sensíveis de todos os envolvidos (alunos, pais, colaboradores) e se há vulnerabilidade de segurança, ou seja, se eles podem ser facilmente acessados, violados e vazados.

“Quais informações o colégio já possui, seja física ou digital? Quais dados pessoais ela coleta, qual a finalidade, onde são armazenadas? Há transferência de dados, usa armazenamento na nuvem? Essas e outras informações são necessárias de se levantar”, explica Cristina Sleiman, que também faz parte da comissão de Comissão Especial de Educação Digital da OAB/SP.

2 – Análise

Com todas as informações em mãos, é preciso fazer uma análise do cenário atual, riscos e ações necessárias para adequação, criando plano de ação. Aqui, avaliamos como está a aplicação de controles como governança de proteção de dados, gestão de dados pessoais, segurança da informação, gestão de riscos, gestão de dados pessoais em terceiros e gestão de incidentes.

“O colégio deve classificar os dados armazenados conforme a lei, posteriormente deve adequar o acesso a estes dados e a forma de tratamento dada a ele, mesmo que seja para publicidade. Há, ainda, a necessidade de fazer uma revisão dos contratos e criar políticas de privacidade recolhendo o consentimento dos titulares ou de seus responsáveis legais”, exemplifica Miranda, que também é autor do livro “A Proteção de Dados Pessoais e o Paradigma da Privacidade”.

3 – Executar o plano de ação

Priorizando as atividades, é hora de tirar o projeto do papel, começando pela criação da equipe encarregada pelas ações, que deve ser composta de vários departamentos e até por assessorias de empresas especializadas. A orientação é de que a equipe tenha pelo menos quatro pessoas, considerando suas experiências em análise de riscos e compliance e expertise em direito digital e cibersegurança, por exemplo.

“Por ser uma regulamentação híbrida, a LGPD exige conhecimentos multidisciplinares, tanto técnicos , relacionados à governança de dados e de segurança da informação, quanto jurídicos, para definir as prioridades, realizar a atualização documental e apoiar na resposta a incidentes” ressalta o escritório PG Advogados.

4 – Comunicar

Transparência é regra. Toda e qualquer mudança deve ser apresentada aos colaboradores envolvidos para um maior engajamento e, claro, para os pais, que precisam entender que todas as mudanças serão para o bem comum. “Não é uma questão de estratégia. Para estar em conformidade será necessário informar toda finalidade de uso, de forma clara”, defende Cristina, que ainda cita a necessidade de atualização do Regimento Escolar.

Para melhor informar a todos os envolvidos, os aplicativos de comunicação escolar se tornam uma ferramenta importante no processo. Além dos módulos de troca de mensagens e publicação de comunicados, no IsCool App, por exemplo, ainda é possível aplicar o processo de matrícula por meio de assinatura digital, garantindo a total clareza do conteúdo e segurança dos dados já nos padrões da LGPD.

5 – Monitorar

Depois de transparência, controle é outra palavra-chave do processo. As áreas envolvidas serão responsáveis pela manutenção do plano e das ações, além da busca contínua por melhorias no processo como um todo, conforme a evolução do negócio.

2 comentários sobre “Especial LGPD: As adequações a serem feitas pelas escolas

    1. Agradecemos o comentário, Luiz! Ficamos felizes em saber que o conteúdo, que é de tanta importância, agrade a leitores como você!

Deixe uma resposta