A LGPD (Lei Geral de Proteção de Dados) foi sancionada em agosto de 2018 e entrou em vigor a partir de setembro de 2020. A lei brasileira tem como inspiração a General Data Protection Regulation (GDPR), assinada em 2016, na União Europeia.
Assim como o modelo estrangeiro, seu objetivo é ampliar a segurança no tratamento de dados pessoais de usuários.
Ambas as legislações preveem a implementação de medidas de segurança em empresas privadas e públicas que façam uso de informações pessoais.
Com a LGPD em vigência, passa a ser obrigatório que todas as empresas que lidam com dados particulares, desde os mais simples — como nome, endereço, telefone — aos mais complexos — como informações bancárias — os protejam por meio de políticas internas.
Levando isso em consideração, as escolas também se enquadram nesse contexto, pois o tratamento de dados pessoais faz parte da rotina escolar, além de ser necessário o consentimento dos responsáveis quando envolve o tratamento de informações de crianças e adolescentes.
Na prática, há algumas dicas básicas para estar em conformidade com a Lei Geral de Proteção de Dados. Confira como sua escola pode iniciar esse processo:
Como a LGPD se relaciona com as escolas?
Adeque sua escola e aprenda a amenizar riscos para não ir contra a LGPD
Como a LGPD se relaciona com as escolas?
Dados são a matéria-prima da informação. Por isso são tão importantes e precisam de proteção. Proteger os dados de alguém é a mesma coisa que proteger a própria pessoa.
Para compreender sua aplicação no ambiente escolar, primeiramente, é preciso entender que nem todos os dados são iguais. Basicamente, podemos dividi-los em dois tipos: os pessoais e os pessoais sensíveis.
Os dados pessoais são os utilizados para identificação de um indivíduo. Os exemplos mais simples são o RG e o CPF. Os dados pessoais sensíveis, por sua vez, se referem a conteúdos mais particulares de uma pessoa.
Dados sensíveis, segundo a LGPD
São considerados sensíveis todos os dados que estejam relacionados a características da personalidade do indivíduo e suas escolhas pessoais. Isto é, informações sobre origem racial ou étnica, convicção religiosa, saúde ou vida sexual, entre outros.
Estão incluídos nessa categoria todos os dados médicos, biométricos e genéticos. Suas digitais, por exemplo, são um dado sensível, assim como sua preferência por algum time, etc.
Dessa forma, podemos considerar que um dado sensível é aquele que pode gerar, em algum âmbito, a discriminação ou o preconceito por parte de outras pessoas.
Bons exemplos de dados pessoais sensíveis dentro das escolas são: atividades avaliativas, registros de desempenho acadêmico e até gravações de câmeras de segurança.
Diante disso, você consegue enxergar melhor os pontos mais delicados da LGPD para as instituições de ensino?
Mais do que registros pessoais, os dados são ferramentas poderosas. Podemos tomar os últimos anos como um exemplo disso. Durante a pandemia de covid-19, os dados dos cidadãos foram essenciais para que os governos conseguissem compreender o contexto da população, prever as chances de proliferação e contaminação pelo vírus e planejar ações e políticas públicas efetivas para o combate à doença.
Essa realidade não é tão distante do que se passa em uma escola. Além das informações que a instituição possui sobre sua comunidade acadêmica, hoje em dia há a preocupação com os dados relacionados à saúde de todos.
Medição de temperatura, casos de contaminação na família e fatores de risco, entre outros, são informações essenciais para o controle sanitário da covid-19 dentro da escola.
Sabemos que a quantidade e a variedade de dados de alunos que a escola possui é gigantesca. Mas os responsáveis também estão incluídos nisso, com seus dados numéricos e informações para o pagamento das mensalidades da escola, por exemplo.
Manter essas informações em segurança precisa ser prioridade para as escolas.
Obviamente que, dentro dessa questão da LGPD, qualquer gestor pensará muito em proteger os dados dos alunos e seus responsáveis. Além disso, é importante lembrar da equipe que trabalha na instituição. Os funcionários também possuem dados de todos os tipos registrados nos arquivos da escola e eles devem ser tratados de acordo com a lei.
Adeque sua escola e aprenda a amenizar riscos para não ir contra a LGPD
Conheça a seguir as melhores formas de alinhar sua instituição de ensino com a Lei Geral de Proteção de Dados:
1. Conscientize sua equipe escolar
A LGPD é recente e muitas pessoas ainda não estão totalmente inteiradas sobre ela. A maioria entende apenas o que diz respeito a seus dados próprios que circulam na web, mas se esquecem dos dados registrados em estabelecimentos comerciais, como instituições de ensino.
Portanto, é preciso que toda a equipe escolar saiba sobre a Lei Geral de Proteção de Dados e como ela se aplica ao trabalho dentro da escola. Se possível, é interessante, inclusive, levar um especialista no assunto para explicar da melhor forma possível e ainda tirar todas as dúvidas.
O mais relevante de tudo é que toda a sua equipe leve a sério a necessidade de proteger os dados que a escola possui. Deve fazer parte da cultura interna o respeito às políticas de segurança para evitar que o mau uso de informações prejudique sua instituição.
2. Contrate uma assessoria para o mapeamento dos dados
Neste passo, é necessário mapear e classificar todos os dados armazenados na sua escola, assim como a finalidade e embasamento legal para cada um deles.
É necessário identificar, ainda, a pessoa responsável do setor ou que conheça bem a LGPD para fazer o mapeamento de informações internas e externas, garantindo a proteção de dados e a análise de inconformidades e riscos.
3. Defina um Comitê de Implementação
É importante que a escola determine um time que deve ser treinado para responder pelo tratamento de dados. Além disso, se você trabalha com um sistema de gestão integrado, também é válido definir os perfis de acesso aos dados por meio de permissões de usuário.
Isso impedirá que funcionários acessem os dados de forma indevida.
Eleger quem terá acesso às informações ajuda a prevenir falhas e a elaborar um plano de riscos em casos de vazamento de dados. Outra vantagem é garantir agilidade na apuração de possíveis erros e na correção deles.
Dessa forma, esses profissionais também devem ter conhecimento sobre as normas e entender as medidas para ficarem em conformidade com a LGPD.
4. Contrate uma assessoria jurídica
Sua escola pode considerar a contratação de uma assessoria jurídica para adaptar e criar documentos e contratos com a cláusula de proteção à privacidade, junto dos termos de consentimento para o tratamento de dados.
Essa decisão, inclusive, é a mais indicada para evitar trechos confusos para o contratante, ou que não estejam em conformidade com a legislação vigente.
Toda Lei, principalmente as que surgiram recentemente, tem particularidades que requerem análises de especialistas para serem cumpridas efetivamente. A fim de evitar que erros de interpretação gerem prejuízos para a escola, o ideal é possuir esse amparo jurídico.
5. Defina quem será seu DPO (interno/externo)
Alinhado à capacitação de pessoal, está o desenvolvimento de um cargo que será responsável por verificar se a escola está de acordo com a LGPD: o Data Protection Officer (DPO), ou Encarregado de Proteção de Dados, conforme a lei brasileira.
Além dessa verificação de segurança, quem ocupar esse cargo também será a ligação da escola com os titulares dos dados, dando amparo e respondendo pelos direitos estabelecidos para eles. O profissional ainda será o representante da instituição junto à Autoridade Nacional de Proteção de Dados (ANPD), órgão que fiscalizará a aplicação da lei no país.
É importante criar um canal de comunicação direto, que permita aos alunos, pais e responsáveis a ciência, a alteração ou a revogação do seu consentimento para tratamento de seus dados pessoais.
6. Treine o seu time
Normalmente, um vazamento de dados é atribuído a um ataque cibernético de hackers, porém, na maioria das vezes, a violação da privacidade é uma simples falha humana, que pode ser por inexperiência ou descuido, como, por exemplo: deixar uma ficha cadastral sobre uma mesa.
Portanto, a melhor forma de evitar situações como essas é a capacitação. Treine a equipe que irá tratar os dados de sua escola, ensinando como devem ser feitos os procedimentos para garantir que tudo ocorra conforme exige a lei, usando a internet de forma segura.
Além disso, treine seu time para que aprenda como usar o sistema de gestão da escola de forma segura, para não correr o risco de acabar vazando algum dado pessoal ou sensível. Com esse cuidado, muitas dores de cabeça podem ser evitadas.
7. Organize seus documentos sobre proteção de dados
Para evitar que a escola seja pega de surpresa em uma eventual fiscalização, organize com muito cuidado seus documentos sobre proteção de dados.
O ideal é fazer uma classificação das informações. Separe-as de acordo com o nível de confidencialidade que possuem para sua escola, certificando-se que cada categoria receba o nível de proteção adequado.
Vale ressaltar que todos esses cuidados, incluindo as classificações, referem-se também aos documentos digitalizados e às informações que estão registradas no sistema de arquivos da escola.
8. Defina a finalidade do tratamento
A LGPD exige que os dados coletados estejam em conformidade e proporcionalidade com os fins para os quais foram adquiridos. Ou seja, a escola deve trabalhar apenas com os dados necessários e deixar bem claro por que eles estão sendo coletados e para o que serão usados.
Para isso, recomendamos criar ou revisar a forma pela qual os alunos, pais e responsáveis poderão conferir a finalidade do tratamento de seus dados pessoais, possibilitando que exerçam seus direitos como titulares de dados.
No mais, a prioridade é assegurar aos responsáveis que as informações dos estudantes, bem como dos próprios pais, estejam completamente seguras nos arquivos da escola e no sistema de gestão.
9. Direito dos titulares e Canal de comunicação
A Lei Geral de Proteção de Dados traz um capítulo dedicado aos direitos dos titulares, entre os quais temos:
- Confirmação da existência do tratamento: como o próprio nome sugere, é o direito garantido ao titular de confirmar se a empresa (controladora ou operadora) realiza o tratamento de seus dados pessoais.
- Acesso aos dados: a lei garante aos titulares o direito de obter uma cópia de seus dados pessoais (entre outras informações relacionadas a isso). Assim como no caso da confirmação do tratamento, o titular pode requisitar o acesso em formato simplificado (de forma imediata) ou em formato completo (com o prazo de 15 dias para atender à solicitação).
- Correção de dados incompletos, inexatos ou desatualizados: também é garantido ao titular o direito à correção de dados incompletos, inexatos ou desatualizados. Ou seja, ele pode solicitar que os dados sejam corrigidos ou atualizados.
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade: o titular tem o direito de pedir a anonimização, bloqueio ou eliminação, caso os dados pessoais tratados pela empresa se mostrem 1) desnecessários para a finalidade que justifica a realização do tratamento; 2) excessivos em relação ao necessário para alcance da finalidade; 3) em desconformidade, ou seja, caso não estejam sendo tratados para finalidades específicas ou o tratamento não seja justificável por nenhuma base legal.
- Portabilidade dos dados a outro fornecedor de serviço ou produto: é garantido ao titular o direito de solicitar o compartilhamento dos dados fornecidos à empresa, ou seja, a portabilidade dos dados a outro fornecedor de serviço ou produto. O formato padrão deverá ser definido pela ANPAD.
- Eliminação dos dados pessoais tratados com o consentimento do titular: caso não deseje mais que seus dados pessoais sejam tratados pela empresa, o titular tem o direito de solicitar a eliminação de seus dados pessoais.
É importante ressaltar, todavia, que esse direito não é absoluto: dados necessários para cumprimento de obrigação legal ou regulatória, bem como dados financeiros e outros tratados com finalidade legítima que transcendem a vontade do titular, não devem ser excluídos.
Em hipótese de requisição desse direito, devem ser eliminados dados relacionados ao consentimento do titular, como para fins de campanhas de marketing ou cadastro.
- Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados: é direito do titular saber com quem os seus dados estão sendo compartilhados. Aqui, temos presente o princípio da transparência. Ou seja: não adianta colocar informações amplas e genéricas como “compartilhado com terceiros”, “parceiros terão acesso aos dados pessoais”.
Por isso, a importância de manter atualizada a documentação sobre o mapeamento e o fluxo de dados, pois é com base nesses documentos que a controladora, nesse caso sua escola, poderá dar uma resposta assertiva ao titular de dados.
- Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa: para que o consentimento seja considerado realmente livre, é necessário que a empresa dê a informação sobre a possibilidade de não fornecê-lo.
Junto a essa informação, devem ser apresentadas as consequências de não fornecer o consentimento, como possíveis prejuízos na experiência do usuário, menor customização, limitação de acesso a determinadas “áreas logadas” que necessitem desse consentimento, entre outras. Aqui, também, há o princípio da transparência.
- Revogação do consentimento: o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado. É importante ressaltar que os tratamentos realizados anteriormente sob amparo desse consentimento retirado continuam válidos, até que haja expressa manifestação do titular pela eliminação de tais dados.
10. Ações básicas de segurança
As medidas de segurança, mesmo quando falamos daquelas que parecem básicas ou irrelevantes, são imprescindíveis e devem ser praticadas no cotidiano escolar.
Listamos abaixo algumas ações que você e sua equipe podem praticar para ampliar a segurança das informações:
- Recomenda-se a criação de senhas seguras, utilizando caracteres especiais além de letras maiúsculas e números.
- Certifique-se de não estar sendo observado ao digitar senhas.
- Não forneça suas senhas para outra pessoa, em hipótese alguma.
- Troque suas senhas com frequência.
- Habilite, quando disponível, as notificações de login ou verificação em duas etapas, pois assim fica mais fácil perceber se outras pessoas utilizaram indevidamente o seu perfil.
- Use sempre a opção de logout para não esquecer a sessão aberta.
- Mantenha o computador seguro, com os programas atualizados e com todas as atualizações aplicadas (Antivírus, firewall, packs de segurança).
- Desconfie de mensagens recebidas, mesmo que tenham vindo de pessoas conhecidas, pois elas podem ter sido enviadas de perfis falsos ou invadidos.
- Seja cauteloso ao acessar links reduzidos. Há sites e complementos para o seu navegador que permitem que você expanda o link antes de clicar sobre ele.
- Certifique-se de utilizar serviços criptografados quando o acesso a um site envolver o fornecimento de senha.
- Procure manter sua privacidade, reduzindo a quantidade de informações que possam ser coletadas sobre você.
- Caso seu dispositivo permita o compartilhamento de recursos, desative essa função e ative somente quando necessário, usando senhas difíceis de serem descobertas.
11. Conte com a tecnologia
A escola possui a responsabilidade de proteger todos os dados coletados e a tecnologia pode ser uma grande aliada nessa tarefa.
Quando as informações são armazenadas em planilhas e arquivos gigantes com pilhas de papéis, a escola corre um grande risco de danificar, perder e até mesmo causar um vazamento de dados.
Para evitar esse tipo de problema e garantir a confidencialidade, integridade e disponibilidade das informações, o ideal é contar com um software de gestão que armazene tudo na nuvem, de forma segura.
O sistema de gestão escolar Sponte conta com a tecnologia em nuvem mais segura do mercado: Amazon Web Services (AWS). Isso, além de garantir os princípios da segurança da informação, significa que todas as informações ficam criptografadas, restringindo o acesso de pessoas não autorizadas.
Adriana Cristina Lefchak Mackievicz