A Lei Geral de Proteção de Dados (Lei 13.709/18) estabelece a forma correta de tratamento de dados pessoais e é muito relevante para todas as instituições que compõem a rede educacional.
Vocês devem estar se perguntando o que seriam os dados pessoais, não é? Pois bem, dado pessoal é qualquer informação que possa identificar uma pessoa (titular). Exemplos: Nome completo, data de nascimento, RG, CPF. CNH, CTPS, passaporte, título de eleitos, sexo, endereço de e-mail, telefone, etc.
Importante informar que existem, ainda, os dados pessoais sensíveis que são aqueles que se referem a origem racial, étnica, convicção religiosa, opinião política, filiação sindical ou organização de caráter religioso, filosófico, relacionado a saúde, à vida sexual, genético, ou biométrico, que possam gerar atos discriminatórios, devendo ser ainda mais protegidos.
O principal objetivo da LGPD é proteger os direitos fundamentais de liberdade e privacidade, bem como o livre desenvolvimento da personalidade da pessoa natural.
A LGPD é direcionada às pessoas físicas e jurídicas, de direito público e privado, independentemente do meio ou do país onde estejam localizados os dados, ou seja, também é aplicável às escolas.
Assim, é de suma importância que a instituições de ensino se organizem de forma a reservar parte de seu orçamento para implementar as medidas e tecnologias necessárias à proteção dos dados.
As escolas devem fazer um diagnostico e uma revisão acerca de suas atividades para verificar em quais delas há operações e manipulações realizadas com os dados pessoais (tratamento de dados) e estabelecer estratégias para protege-los.
Os dados pessoais que devem ser protegidos referem-se aos alunos, pais, responsáveis legais, funcionários, prestadores de serviços, fornecedores, dentre outros, com quem tenham contato no dia-a-dia.
Os dados relativos a crianças e adolescentes devem ser ainda mais reservados, cuidados e tratados de acordo com os interesses dos menores, nos termos do que dispõe o artigo 14 da LGPD.
Em relação às crianças, sempre será necessário o consentimento especifico e em destaque de um dos pais ou representante legal, sendo consideradas crianças as pessoas com até 12 (doze) anos (Art. 2º do ECA). A exceção ocorre em caso de o tratamento ser necessário levando-se em conta o interesse único e exclusivo da criança e na proteção dos direitos dela.
A escola pode captar fotografias para confecção de documento escolar, biometria para facilitar o acesso às dependências da instituição de ensino. Outra situação permitida é o compartilhamento de dados pessoais de alunos com as Secretarias Estaduais e Municipais de Educação, sendo que nesses casos o tratamento é realizado em virtude do cumprimento de um dever legal.
A lei permite o tratamento de dados apenas nos seguintes casos:
- Quando há o consentimento do titular ou representante legal;
- É necessário o cumprimento de obrigação legal;
- Pela Administração Pública para execução de políticas públicas;
- Para a realização de estudos por órgãos de pesquisa, de preferencia com a anonimização dos dados;
- Para o cumprimento de contrato ou procedimentos ele relacionados;
- Para o exercício regular de direito em um processo judicial;
- Para proteção à vida ou incolumidade física do titular ou de terceiro;
- Para a tutela da saúde, por profissionais de saúde ou entidades sanitárias;
- Para atender interesses do controlador de dados ou de terceiro;
- Para a proteção de crédito.
São direitos dos titulares de dados:
- Confirmação da existência de tratamento;
- Acesso aos dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei;
- Portabilidade dos dados a outro fornecedor de produto ou serviço, mediante requisição expressa;
- Eliminação dos dados pessoais tratados com o consentimento do titular, exceto os casos previstos pelo art. 16 da LGPD.
- Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
- Informação acerca da possibilidade de não fornecer consentimento e sobre as consequências negativas;
- Revogação do consentimento nos termos do §5º da LGPD.
As escolas que não seguirem a LGPD poderão sofrer sérias sanções administrativas e judiciais, diante, por exemplo, de um vazamento de dados. São as principais sanções:
- Advertência com indicação de prazo para adoção de medidas corretivas;
- Multa simples de até 2% R$50milhões do faturamento da pessoa jurídica de direito privado, por infração;
- Multa diária;
- Publicização da infração;
- Bloqueio dos dados pessoais a que se refere a infração até sua regularização;
- Eliminação dos dados pessoais a que se refere a infração.
Para estar em conformidade com a LGPD, a escola precisa passar por uma mudança cultural que se inicia com a informação, passando pelas definições de conduta e treinamento de todos os envolvidos nas atividades de operação de dados.
A escola precisa refletir quais dados precisarão ser efetivamente tratados e quais serão eliminados, bem como que sejam tomadas as seguintes providencias:
- Conscientização e treinamento, liderados pelos Mantenedores, de todos o corpo docente, discente, pais e alunos, na medida que a LGPD envolve uma mudança cultural a cerca da importância da proteção dos dados pessoais das atuais e futuras gerações, para proteger a liberdade e a privacidade;
- Mapeamento dos dados, análise de todas as atividades desenvolvidas pela escola envolvendo dados pessoais, classificando-os, enquadrando a base legal e o fim a que destina cada tratamento, etc.
- Proteger o dado durante seu ciclo de vida, coleta, processamento, análise, compartilhame nto, armazenamento, reutilização e eliminação;
- Revisão d as estruturas físicas e tecnológicas de forma a proteger os dados pessoais;
- Revisão dos dados já coletados e em uso pela escola, ajustando todos os contratos para a inclusão de cláusulas que protejam os dados pessoais;
- Elaboração ou revisão das politicas internas de proteção de dados e de segurança da informação;
- Criação de canal no site da empresa para que o titular possa exercer seus direitos de informação, acesso, retificação, oposição, entre outros;
- Elaboração de um sistema de gestão de crise em caso de acontecimento de incidentes.
Você já implementou a LGPD da sua escola? Quais foram suas maiores dificuldades? Contem com a gente!
Caso ainda não tenha implementado, aí está o check list das principais medidas que você deve adotar para proteger os dados pessoais da sua instituição e mãos à obra! Podem contar conosco!