1 de setembro de 2021

Cinco motivos para a sua instituição de ensino implantar a LGPD

Por Gustavo Henrique Gonçalves Nobre

A Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em pleno vigor no dia 1° de agosto do corrente ano, trazendo a possibilidade da Autoridade Nacional de Proteção de Dados (ANPD) de aplicar sanções administrativas multimilionárias para quem desrespeitar os ditames da nova legislação.

Com isso, instituições de ensino de todo país, inclusive dos mais diversos portes de mercado, estarão sujeitas à ANPD, para além de também serem fiscalizadas por outros órgãos de controle, como PROCON’s e MP’s, no que a LGPD for transversal às suas respectivas zonas de competência.

Sendo assim, o time de LGPD do FIRLAN Advogados resolveu apresentar cinco motivos pelos quais a sua instituição de ensino deve implementar a cultura da Proteção de Dados Pessoais, vejamos:

1 – Grande volume de dados pessoais tratados:

Conforme o art. 5°, inciso X da LGPD, tratar dados  consiste em “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração“.

Ora, como se percebe, é difícil uma rotina procedimental padrão de uma escola que não esteja envolvida com mais de uma dessas atividades de tratamento.

Logo, desde o simples ingresso na instituição de ensino por meio de cancelas de acesso automatizado, até uma complexa análise psicopedagógica de um aluno, estes procedimentos envolvem o tratamento de dados pessoais, de forma que são zonas de incidência da LGPD, as quais fazem do estabelecimento educacional um sujeito ativo no tratamento de dados – o Controlador, nos termos do art. 5º, inciso VI da LGPD.

Em outras palavras, a instituição de ensino será a grande responsável/artífice da custódia de dados e da zeladoria da privacidade de seus estudantes, colaboradores e pessoas físicas terceirizadas que com ela se relaciona, carregando o peso da responsabilidade por eventuais falhas procedimentais que possam gerar o vazamento de dados e, por conseguinte, dano à personalidade dos Titulares de Dados.

2 – Tratamento de Dados Pessoais de Crianças e de Adolescentes e de Dados Sensíveis:

Para a LGPD, há tipos de dados pessoais que demandam mais força de vigilância quanto ao seu tratamento. Isto se deve ao risco elevado de potencial lesivo na violação de suas estruturas informacionais, atrelado à vulnerabilidade fática de seus titulares.

Sendo assim, ao tratarmos de dados de crianças e adolescentes e de dados sensíveis – que são os dados que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa –, estamos diretamente entrando em um terreno delicado do processo de tratamento, de tal modo que, a menor falha pode gerar graves problemas jurídicos e econômicos para as instituições controladoras.

E aqui um ponto muito importante! No ambiente escolar, muitos são os processos em que há o cruzamento de dados de crianças e de adolescentes com dados pessoais sensíveis.

Em tais casos, temos um duplo dever de guarda e de segurança de dados que demanda, inclusive, um forte aparato organizacional de segurança da informação, o qual se constrói a partir do mapeamento dos processos internos de cada setor escolar, e se aperfeiçoa com a análise de eventuais gaps e, por conseguinte, a elaboração de um plano de ação pormenorizado, a ser adotado pela instituição, que promova a redução de riscos e a adoção de medidas de minimização de impactos.

Nesse ponto, revisar, por exemplo, práticas de coletas de dados biométricos nos departamentos esportivos ou, ainda, revisar os protocolos de segurança de dados da saúde dos alunos, nos setores de enfermagem, psicologia e coordenadoria de ensino, são fundamentais para a preservação da segurança jurídica no meio educacional.

Ademais, no que diz respeito à coleta de dados pessoais de menores no âmbito escolar, é imprescindível que o contrato de prestação de serviço educacional possua uma cláusula de obtenção do consentimento expresso e inequívoco dos pais ou responsáveis pelo menor, devendo a instituição de ensino ater-se, apenas, à solicitação de conteúdo estritamente necessário à consecução da sua atividade econômica, minimizando, no que for possível, os intermináveis cadastros de matrícula.

Mas, atenção! Excepciona-se a regra comentada no parágrafo anterior, quando o tratamento de dados pessoais do menor tiver como finalidade a proteção da integridade física ou mental da criança e do adolescente.

3 – Compartilhamento de Dados com terceiros – Rede de Ensino Internacional, Plataformas de Ensino e de Gestão Escolar:

De acordo com a LGPD, o. compartilhamento de dados refere-se a:

  1. Comunicação, difusão, transferência internacional, interconexão de dados pessoais; e
  2. Tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.

Quanto às hipóteses elencadas na letra “a”, fica evidente que a preocupação no âmbito educacional é ligada, principalmente, àquelas instituições de ensino internacionais cujas mantenedoras são sediadas em outros países. Aqui, deve-se observar as hipóteses do art. 33, da LGPD, mais precisamente em relação aos incisos I, II, VII e VIII.

Quanto à hipótese elencada na letra “b”, mais detidamente em relação à transferência de dados entre entes privados, o que se enluva perfeitamente às questões de plataformas de ensino e de gestão escolar, entende-se que a regra é o consentimento do titular dos dados ou de seu responsável legal quanto ao compartilhamento, ressalvadas as hipóteses de dispensa do consentimento previstas na lei.

De tal forma, o consentimento deve ser realizado por meio de uma manifestação livre, informada e inequívoca, na qual o titular ou seu responsável concorda com o tratamento de seus dados pessoais por tais plataformas, sendo de suma importância que o contrato de prestação de serviços educacionais contenha esta previsão.

Portanto, os dados pessoais só poderão ser utilizados pelos agentes de tratamento para os fins legítimos e especificados aos titulares e de acordo com o que foi previamente estipulado, ou seja, cada dado coletado terá sua utilização limitada ao objetivo preestabelecido.

4 –  Otimização de Processos Internos:

Para além de uma mera exigência legal, adotar um plano de implementação da LGPD é medida que pode entregar à sua instituição educacional uma visão geral do mapa de processos produtivos internos, o que permitirá, por exemplo, uma maior racionalidade no uso de recursos financeiros e humanos para execução do tratamento de dados.

Com isto, a instituição de ensino, sobretudo aquelas que ainda não possuem um escritório de gestão de projetos, consegue dar seus primeiros passos na formalização de rotinas de boas práticas no tratamento de dados dentro de seus diversos setores, afinal de contas, tratar dados em conformidade com a LGPD é estabelecer procedimentos organizacionais seguros, transparentes e humanizados.

Aqui, não raras as ocasiões, enquanto consultores legais, surpreendemo-nos com bases dados espelhadas diversas  vezes dentro de um mesmo setor da organização.

Tal fato, para além de aumentar a exposição das bases de dados pessoais, aumentando desnecessariamente os riscos de incidentes de segurança, pode gerar um desperdício de recursos humanos e financeiros para a instituição.

5 – Cultura da Privacidade como um valor a ser ensinado:

Por fim, mas não menos importante, as instituições de ensino, para além da base curricular formal de conhecimento, são agentes propulsores de valores éticos e morais para as novas gerações.

Em assim o sendo, proteger os dados pessoais, adotando uma forte cultura organizacional de respeito à privacidade do indivíduo é, em última análise, um bom exemplo a ser ensinado aos alunos.

O respeito à privacidade é uma social skill premente na atualidade, sendo as hodiernas conexões socioeconômicas cada vez mais pautadas na data-driven culture, a qual exige designs produtivos amparados na privacidade como padrão de consumo moderno.