A LGPD E AS INSTITUIÇÕES DE ENSINO

Ano começando em meio a um modelo diferente de rotina – a pandemia repaginou totalmente as relações interpessoais e aqui destacamos a rotina das instituições de ensino. Parece que o ano de 2020 voou e neste salto temporal as escolas precisaram lançar-se ainda mais no mundo virtual e na exposição de dados considerados sensíveis... o ano de 2021 apenas irá amadurecer as transformações, tendo em vista que o “efeito vacina” não terá “mágico” e imediato.

Neste contexto, no segundo semestre do ano passado, entrou em vigor a Lei nº 13.709/2018, após altos e baixos, trazendo a necessidade de maior cuidado e atenção ao tratamento dos dados pessoais das pessoas físicas, demonstrado pelo artigo 1º da norma: A LGPD, dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

O “inclusive nos meios digitais” nos aponta para a imensidão de dados pessoais que estão no universo físico, em arquivos físicos e transitando nas mãos de outras pessoas físicas.

Por óbvio as instituições de ensino já são automaticamente inseridas neste assunto; são pessoas jurídicas obrigadas a cumprir com o tratamento exigido pela LGPD. Com imposições da Lei as instituições de ensino devem rever sua organização, gestão, rotina corporativa, principalmente ao que confere a estrutura de seu banco de dados na proteção de dados, destacadamente pertencentes aos funcionários (colaboradores) e alunos.

O banco de dados pessoais das instituições de ensino deve ser revisto e o tratamento dos dados carecem da autorização dos titulares dos dados. No caso de estudantes menores, esse consentimento precisa partir de um responsável legal. A solicitação desta autorização deve ser feita pela instituição. Porque, via de regra, como apresenta o art 7º da LGPD, o tratamento de dados pessoais somente poderá ser realizado mediante o fornecimento de consentimento pelo titular.

Dentre outras coisas importa dizer que a LGPD exige a elaboração de um relatório de impacto (documentação do controlador[1] que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco)[2] e para tanto a instituição de ensino precisará criar uma metodologia e estratégia para mapear e relatar suas vulnerabilidades. Tudo isto por uma razão – a norma exige e a Autoridade Nacional de Proteção de Dados irá cobrar em algum momento.

Ainda, importa destacar que um encarregado de dados deve ser nomeado pela instituição a fim de atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Este profissional funciona efetivamente como elo de facilitação entre as partes destacadas na Lei.

Contudo, para que tudo isso seja possível, palpável e faça sentido, é imprescindível que todos os envolvidos com o tratamento de dados (toda operação realizada com dados pessoais) seja treinado, conscientizado da importância e dos limites no manuseio das informações pertencentes as pessoas físicas, principalmente quando estes titulares são crianças.

A LGPD exige atenção especial para o que chama de dados sensíveis e para dados de crianças e adolescentes, e, neste último caso, o art. 14 nos traz – que o tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. Ademais, O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere à Lei foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis.

Conforme dito inicialmente, 2021 nos apresenta a necessidade de uma rotina diferente e amparada pela segurança imposta através da LGPD. Entendemos que toda mudança é difícil e, por vezes dolorosa... mas esta adequação à nova realidade é imperativa.

Orientamos a mudança de rotina e o ajustamento às regras da LGPD pois a desobediência e a inadequação acarretam a aceitação e exposição a riscos que vão desde cunho reputacional, operacional até financeiro. A partir de agosto de 2021 punições, dentre as quais pecuniárias, poderão ser aplicadas, tais como multa em até 50 milhões de reais. No entanto, desde a vigência da LGPD (agosto/setembro de 2020) reprimendas como base em normas como o Código de Defesa do Consumidor, por exemplo com a suspensão da utilização dos dados pessoais armazenados em bancos de dados, podem ser aplicadas.

Imaginemos uma escola exposta midiaticamente por ter seu banco de dados exposto em ações de invasões cibernéticas; ou punida com a impossibilidade de acessar o banco de dados dos alunos em pleno período de matrícula. Seria um prejuízo catastrófico e não citamos as reprimendas a advirem pós agosto de 2021.

As escolas e instituições de ensino como um todo devem neste momento atentar não apenas para a captação de alunos, mas para como irão captar e como irão administrar os dados que já possuem por uma questão de sustentabilidade.

Quer saber mais? Fala com a gente.

[1] LGPD – art. 5º - VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. [2] LGPD – art. 5º - XVII.