A Lei nº 13.709/2018 – LGPD (Lei Geral de Proteção de Dados) entrará em vigor em agosto de 2020. Seu principal objetivo é garantir a transparência no uso de dados das pessoas físicas.
A partir do advento dessa nova legislação, o titular deverá sinalizar seu consentimento de forma clara no momento do fornecimento dos seus dados pessoais às pessoas jurídicas coletoras, que deverão informar a finalidade para a qual estão sendo colhidos.
Importante destacar que, assim como qualquer empresa que realiza o tratamento de dados pessoais, ou seja, que colete, lide, manipule ou até exclua informações relacionadas à pessoa natural identificada ou identificável, instituições de ensino também devem se submeter à LGPD, sejam elas do tamanho que for e independentemente se os dados são tratados de forma física ou digital.
Sugerimos que a escola crie um Comitê de Segurança da Informação, que será responsável por analisar a atual situação dos procedimentos internos quanto aos dados recebidos. Dentro desse processo é importante fazer um mapeamento bem detalhado a respeito de como os dados pessoais são tratados e todo o seu ciclo de vida dentro da instituição. Saber para onde vão, onde ficam armazenados, quem tem acesso e se são compartilhados com terceiros. A partir dessa análise, será possível avaliar o nível de maturidade dos processos bem como os riscos envolvidos.
O Requerimento de Matrícula deve conter uma cláusula expressa onde o responsável consente no fornecimento dos dados inseridos em tal documento, e informando que a finalidade de sua coleta é para fins educacionais.
Os dados só devem ser utilizados para as finalidades específicas para as quais foram coletados e previamente informados os seus titulares, o que no nosso caso é para fins educacionais. Nesse contexto, deve-se averiguar quais informações são realmente necessárias para a atividade de educação, uma vez que a escola tem o dever de zelar pela integridade dos seus alunos e responsáveis.
Ademais, o uso de dados de menores de idade somente poderão ser feitos com consentimento dado por ao menos um dos pais ou responsável, ou seja, a escola não pode publicar fotos ou informações pessoais de seus alunos em redes sociais sem a expressa autorização de pelo menos um dos responsáveis legais. Além disso, o uso das imagens deve ter um objetivo claro, como a divulgação das atividades da escola.
As escolas devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Com a nova Lei, as escolas devem investir em cibersegurança e implementar sistemas de compliance efetivos para prevenir, detectar e remediar violações de dados pessoais.
Sugerimos também a adoção das seguintes práticas, além da Criação do Comitê de Segurança da Informação:
– nomeação de um encarregado de TI, responsável em nome da instituição pela proteção de dados;
– realização de uma auditoria de dados;
– elaboração de um mapa de dados;
– revisão das políticas de segurança;
– revisão de contratos com os fornecedores que tem acesso aos dados coletados pela escola;
– elaboração de Relatório de Impacto à Proteção de Dados Pessoais.
As escolas devem se preocupar a partir de agora, quais e como são coletados os dados pessoais de alunos, pais, colaboradores e fornecedores da instituição de ensino, assim como saber onde são armazenados, de que forma, quais medidas técnicas, jurídicas contratuais e comportamentais são adotadas para proteção dos dados, quais os planos de contenção e contingência estão traçados para eventuais vazamentos, enfim, qual a avaliação de risco da instituição.
É importante verificar se todos os dados coletados e dos quais a escola atualmente dispõem para o uso de plataformas digitais são, de fato, imprescindíveis ao cumprimento de seu objetivo. Necessário colher somente àqueles dados necessários e garantir a sua segurança.
Também é necessário sensibilizar professores e funcionários sobre a importância da LGPD, bem como que assumam o compromisso com a proteção das informações dos estudantes, sejam notas e avaliações, informações sobre a família e o local onde vivem. Sugerimos a realização de formação sobre o tema para o quadro de funcionários.
Interessante também a realização de oficinas e palestras para os estudantes, alertando-os sobre os riscos da exposição na internet. Assim, os próprios alunos serão aliados no processo.
Um mapeamento de tudo que está armazenado na escola é fundamental. Depois disso, é aconselhável fazer uma limpeza e manter somente as informações absolutamente necessárias para reduzir a exposição ao risco. Deve ser preocupação constante da escola o vazamento de dados pessoais de seus alunos, professores e responsáveis.
Também é importante checar se os fornecedores da escola também estão tomando as devidas providências para proteger as informações compartilhadas. Isso mitigará riscos de incidentes com possíveis vazamentos.
Esperamos ter contribuído de alguma forma na análise da LGPD, bem como nos colocamos à inteira disposição para maiores esclarecimentos.
