LGPD

LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS E AS INSTITUIÇÕES DE ENSINO

Após muito tempo de defasagem em relação a outros países, o Brasil aprovou em 14 de agosto de 2018 sua Lei Geral de Proteção de Dados Pessoais ou simplesmente LGPD. A Lei nº 13.709/2018 é fortemente inspirada pelo modelo europeu de proteção de dados, especialmente no Regulamento Geral de Proteção de Dados Pessoais da União Europeia - GPDR, e tem grande importância para toda e qualquer instituição privada ou pública, grande ou pequena, que realize a coleta, o armazenamento e o processamento de dados.

Atualmente, razões não faltam para a elaboração de legislações como a LGPD ou a GDPR, visto que a evolução tecnológica tem impactado fortemente o dia a dia da população mundial, alterando o funcionamento da economia, que migrou para um formato intangível e especialmente digital. Na atual economia, os dados são o principal insumo de todos os setores, assim como a terra foi para a sociedade agrícola, a máquina a vapor foi para a sociedade industrial e a eletricidade foi para a sociedade pós-industrial. De acordo com Márcio Cots e Ricardo Oliveira:

[...] a legislação vem em boa hora. Isso porque, com o aumento exponencial de processamento de dados, inteligência artificial e compartilhamento de informações, estava claro que a privacidade e a intimidade das pessoas estava morrendo aos poucos, vítima de inúmeros mecanismos do mundo moderno, especialmente redes sociais, bancos de dados públicos, migração da informação que antes estava registrada em papel, agora disponível na Internet e outros meios, livre para garimpagem e enriquecimento de bancos de dados de todos os tipos, entre outros. O tratamento de dados era "uma terra sem lei" no Brasil, o que deve ser revertido com a LGPD [...].

Sua instituição de ensino já parou para pensar na quantidade de informações pessoais e sigilosas que detém sobre seus alunos? São muitas, afinal a equipe pedagógica precisa ter conhecimento de qualquer condição que possa influenciar na vida das crianças e dos adolescentes na instituição de ensino. Problemas familiares, físicos ou psicológicos, que vão muito além do histórico escolar, precisam ser conhecidos pela equipe pedagógica para a correta condução do processo de ensino e aprendizagem.

É importante destacar que muito antes da recente Lei Geral de Proteção de Dados Pessoais já consta no Estatuto da Criança e do Adolescente, que a confidencialidade de informações pessoais é um direito dos estudantes. Conforme o art. 17 da Lei nº 8.069/1990 "O direito ao respeito consiste na inviolabilidade da integridade física, psíquica e moral da criança e do adolescente, abrangendo a preservação da imagem, da identidade, da autonomia, dos valores, ideias e crenças, dos espaços e objetos pessoais".

Em 2015 dados sigilosos dos alunos do Colégio Bandeirantes de SP vazaram na internet, depois que um aluno conseguiu ter acesso ao banco de dados onde constavam atas de reuniões sigilosas dos professores e orientadores da escola. Os documentos continham informações confidenciais sobre o desenvolvimento escolar, o perfil emocional e o momento de vida de cada estudante, dados importantes para a identificação de problemas escolares.

Na ocasião a Folha de São Paulo informou que "[...] entre as informações divulgadas estão dados familiares e diagnósticos médicos, sobretudo de doenças mentais. Há também comentários dos professores sobre o comportamento e a fama dos alunos". Cita também trechos do conteúdo dos documentos como "[...] tem olheiras, boca de ódio, tem cara de criança de filme de suspense, informaram anotações sobre um estudante da antiga quinta série (atual sexto ano)".

Considerado gravíssimo, o vazamento de dados pessoais do Colégio Bandeirantes não é o único caso. O setor educacional está atualmente no topo da lista dos alvos de cibercriminosos. Crimes cibernéticos contra instituições de ensino e até mesmo contra Secretarias de Educação como fraude em notas de alunos; vazamento de dados pessoais de estudantes, professores e funcionários; bloqueio de computadores com a ameaça de destruição ou vazamento dos dados, caso o usuário não pague o resgate; invasão aos sistemas tem sido cada vez mais frequentes. Os cibercriminosos têm acesso facilitado em virtude de falhas de segurança que podem ser aproveitadas por pessoas com poucos conhecimentos em informática. Tudo isso demostra as fragilidades dos sistemas decorrentes da negligência com a segurança.

A nova legislação concede maior poder aos titulares de dados pessoais em relação às suas informações, garantindo direitos relativos ao tratamento dos dados, tais como a possiblidade de acessar seus dados pessoais a qualquer momento; solicitar a correção de dados incompletos, inexatos ou desatualizados; a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade; a portabilidade dos dados pessoais para outro fornecedor de serviço ou produto; a eliminação de dados pessoais; a revogação do consentimento para o tratamento de dados pessoais; a garantia de que seus dados só serão tratados após o seu consentimento expresso em relação ao tratamento e à finalidade deste; a possibilidade de peticionar contra o controlador dos dados pessoais perante a autoridade nacional de proteção de dados e/ou órgãos de defesa do consumidor; a possibilidade de solicitação de revisão, dentre outros direitos.

De acordo com o art. 7º da LGPD, o tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

  • Mediante o consentimento do titular
  • Para o cumprimento de obrigação legal ou regulatória pelo responsável pelo tratamento;
  • Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas;
  • Para a realização de estudos por órgão de pesquisa, sem a individualização da pessoa;
  • Para a execução de contrato ou de procedimentos preliminares relacionados a um contrato;
  • Para pleitos em processo judicial, administrativo ou arbitral;
  • Para a proteção da vida ou da integridade física do titular ou terceiro;
  • Para a tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
  • Para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
  • Para a proteção do crédito, nos termos do Código de Defesa do Consumidor.

Importante destacar que, os dados pessoais protegidos pela nova legislação são os obtidos em qualquer meio de suporte, tais como, texto, som, imagem, biométrico, etc. A LGPD define dado pessoal como qualquer informação que possa levar à identificação de uma pessoa, de maneira direta ou indireta. São exemplos de dados pessoais, nome, apelido, endereço de residência, endereço eletrônico, número de um cartão de identificação, dados de localização, endereço IP (Internet Protocol), testemunhos de conexão (cookies), dados obtidos por um hospital ou médico que permitam identificar uma pessoa. Não são considerados dados pessoais número de registro de empresa, endereço eletrônico de empresa e dados anônimos. Já informações como etnia e origem racial, posicionamento religioso ou político, dados sobre saúde ou vida sexual, impressões digitais, reconhecimento facial são considerados dados sensíveis.

Diante do exposto, constata-se notoriamente que as instituições de ensino, sejam elas públicas ou privadas, estão sob a força da LGPD, visto que tratam de dados pessoais sensíveis de toda sua comunidade escolar (discentes, docentes, terceiros, etc.).

Para melhor compreensão da aplicação da LGPD nos serviços educacionais, é fundamental separar menores de 12 anos, de adolescentes entre 12 e 18 anos e maiores de 18 anos. Para as crianças, ou seja, para os menores de 12 anos, a LGPD determina que o tratamento de dados deverá ser realizado com o consentimento específico e expresso dos pais ou do responsável legal.

Para os adolescentes, entre 12 e 18 anos, a instituição poderá tratar os dados de acordo com a necessidade, mas não poderá armazenar dados pessoais sensíveis, sem o consentimento expresso dos pais ou do responsável legal.

Para os maiores, acima de 18 anos, a decisão caberá aos próprios discentes.

Situações como o direcionamento de propagandas específicas baseadas nos perfis dos alunos, uso de dados dos mesmos em canais oficiais ou não na instituição (sites, redes sociais, etc.) precisarão da autorização dos titulares dos dados.

Desta forma, as instituições de ensino terão que revisar todos os seus documentos, desde os contratos de matrícula, contratos de trabalho, contratos com terceiros que tenham acesso a dados pessoais, Políticas de Privacidade de seus portais (sites, redes sociais, aplicativos, etc.).

Para tanto, caberá as instituições de ensino fazer um minucioso levantamento de quais dados são coletados e para quais finalidades, definindo quais são os dados essenciais para a prestação do serviço educacional e quais os são dados apenas suplementares. Desta forma, será possível identificar quais deles precisarão de consentimento dos pais ou do responsável legal. Além disto, as instituições deverão verificar o nível de proteção aplicado a esses dados e quem será o responsável por eles.

Outro aspecto importante da LGPD é o que trata dos dados pessoais de crianças e adolescentes. O §1º do art. 14 dispõem que o tratamento destes dados somente poderá ser realizado com o consentimento específico dado por pelo menos um dos pais ou pelo responsável legal. Porém, o §3º do mesmo artigo prevê que os dados sejam coletados sem o consentimento quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o § 1º. Isto permite, por exemplo, que uma escola colete dados de familiares de um aluno, caso ocorra uma emergência na escola e os pais não sejam encontrados.

As consequências pelo descumprimento da lei podem ser de advertência com prazo para adequação, aplicação de multa que vai desde 2% do faturamento da empresa ou grupo econômico, no limite de até R$ 50 milhões, multa diária no mesmo limite, impedimento de utilizar os dados coletados ou até mesmo de coletá-los futuramente.

Sendo assim, adequar-se a LGPD, mais do que uma necessidade, será uma obrigação para todas as empresas de pequeno, médio ou grande porte, incluindo as instituições educacionais. Tal adequação garantirá maior segurança nas operações de dados, agregando confiança, ética e transparência para as instituições. Para os usuários dos serviços, representará o conhecimento pleno acerca de como são tratados os seus dados pessoais, garantindo confiabilidade e respeito.

Tal adequação exige um planejamento, com análises, planos de ações que ocorrem de forma gradativa, tarefas que dificilmente as instituições conseguem fazer sozinhas, requerendo normalmente auxílio de profissionais especializados. A melhor forma de as instituições de ensino se prevenirem de problemas decorrentes da falha na proteção de dados é iniciando um projeto imediatamente, para levantamento, análise e definição de ações, lembrando que o prazo de adequação é até agosto de 2020.

Notícias:

Veja notícias relacionadas:

Nenhuma notícia disponível!
Sou Digital
Desenvolvido por BRSIS