Blog Escola em Movimento

Há muito se fala da Lei Geral de Proteção de Dados (LGPD), e recentemente, ela foi sancionada e entrou em vigor, passando a valer para todas as empresas que utilizam dados pessoais, dentre elas, as escolas. Muitas dúvidas ainda pairam pelo ar, mas uma coisa é certa: sua instituição de ensino precisará se adequar à LGPD. Apesar de toda a confusão, uma coisa é certa: é preciso que a sua instituição de ensino se adeque a ela.

Mas, afinal, o que é a LGDP? O que mudará com ela? Por que sua instituição deve se preocupar e se adequar a ela? E como fazer isso? Tudo isso abordaremos neste post. Então acompanhe e boa leitura!

A LGPD (Lei Geral de Proteção de Dados ou Lei nº 13.709/18) é um regulamento que mudará a maneira de funcionamento e operação das organizações ao estabelecer regras claras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, colocando um padrão mais rígido de proteção e penalidades significativas para o não cumprimento da norma.

Qual é a diferença de um dado pessoal e um dado sensível?

Quando falamos da Lei Geral de Proteção de Dados, é preciso explicitar a diferença entre um dado pessoal e um dado sensível. O art. 5º, inciso I, da LGPD conceitua dados pessoais como “informação relacionada a pessoa natural identificada ou identificável”.

Por exemplo: dados cadastrais (nome, endereço, endereço de e-mail, números de documentos, telefone etc.), data de nascimento, profissão, dados de GPS, identificadores eletrônicos, nacionalidade, gostos, interesses e hábitos de consumo, entre outros.

Já dados sensíveis são, de acordo com o inciso II, do art. 5º, qualquer conteúdo “sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

Em outras palavras, são aqueles dados que podem levar à discriminação de uma pessoa e, por tal motivo, devem ser considerados e tratados como dados sensíveis. Compreender essa diferenciação é essencial para saber como administrar esses dados e se adequar à LGPD daqui em diante.

Leia mais: Negociação com os pais: 5 dicas para ajudar você na escola

Existem muitas mudanças com a LGPD, algumas das quais bastante técnicas. Aqui, vamos destacar as mais importantes.

A partir da sanção da lei, é preciso obter o consentimento explícito por parte do titular dos dados. Ou seja, ele precisará ser informado claramente dos termos de uso e extensão da autorização e é necessário que ele conceda-a livremente;

A partir de agosto, uma empresa só poderá recolher determinadas informações a partir da autorização do proprietário dessas informações, ou seja, o titular. Em outras palavras, precisará comprovar que a sua coleta é útil para a sua interação com seus consumidores.

É importante lembrar que os titulares das informações poderão a qualquer momento cancelar, retificar ou solicitar sua exclusão da sua base de dados. A LGPD dá ao consumidor o poder de controlar seus dados e a possibilidade de punir os responsáveis por qualquer prejuízo causado pelo mau uso dos seus dados.

Leia mais: Como eliminar desperdícios e ganhar mais sustentabilidade financeira na escola?

A Lei Geral de Proteção de Dados é uma norma que se aplica a basicamente qualquer pessoa física ou jurídica que trate dados pessoais, inclusive aqueles coletados antes do começo da obrigatoriedade. Assim, todas as empresas que tratem de dados de pessoas físicas precisam se adequar a essa regra.

Para ficar claro, tratamento de dados inclui toda operação realizada com dados pessoais, como: a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Leia mais: Comunicação não-violenta com pais e alunos: como aplicá-la na sua escola?

As escolas são um setor pouco regulado, o que significa que terão bastante desafios para se adequar à LGPD. Esses desafios passam por segurança da informação até a ausência da figura do CISO (Chief Information Security Officer) e uma infraestrutura que não condiz com a quantidade de dados que precisam ser protegidos.

Assim, a Lei Geral de Proteção de Dados exigirá das instituições mais investimento tanto em segurança da informação quanto em consultorias jurídicas para interpretação da nova lei.

Afinal, além de gerenciar dados pessoais e sensíveis, muitos desses dados são de crianças e adolescentes. E, segundo o artigo 14, parágrafo 1º, “o tratamento de dados pessoais de crianças e adolescentes deverá ser realizado com o consentimento específico e em destaque dado por, pelo menos, um dos pais ou pelo responsável legal”.

De maneira geral, lidar com a LGPD vai além de saber o que fazer com os dados das instituições, mas também com toda a cadeia de relacionamento. Por exemplo: qual é o prazo de tratamento da informação de um aluno? Com quem será possível compartilhar esses dados? Quando for o caso de um menor, como saber se a pessoa responsável que está assinando um documento é realmente o pai?
Tudo isso leva ao último tópico do nosso artigo:

Uma das primeiras coisas que sua escola precisa saber é que a proteção de informações não é só responsabilidade de apenas um setor da escola. Assim, é preciso envolver os setores de tecnologia, financeiro, jurídico, marketing e outros agentes conforme o perfil da instituição.

A partir disso, as escolas podem seguir alguns passos para se adequarem à LGDP, partindo da visão sobre quais dados foram e deveriam ser coletados, se há necessidade de consentimento e com quem se pode compartilhar a informação.

Reunir equipes e mapear operações internas de tratamento de informações;
Assegurar os direitos garantidos ao titular das informações com adequação das ferramentas sistêmicas;
Revisar Políticas de Privacidade, contratos e Termos de Uso para colocar em destaque cláusulas de direitos do titular das informações;
Revisar contratos com internos e com terceiros que tenham acesso ou façam tratamento de informações;
Detalhar os mecanismos de Segurança às bases de dados documentando técnicas usadas;
Criar equipes internas com indicação dos agentes de tratamento de dados pessoais;
Analisar quais serão as providências tomadas para que o tratamento dos dados atenda à lei;
Criar relatório de impactos à proteção de informações e regras de boas práticas e governança;
Fazer treinamentos constantes para garantir as boas práticas no tratamento dos dados pessoais;
Não coletar ou armazenar dados que não sejam necessários: cópias duplicadas e backups que não serão usados;
Nomear um DPO (Data Protection Officer) como gestor de Proteção de Dados.

Entre as punições previstas para quem violar a LGPD estão: advertência, multa simples e diária, bloqueio de acesso a dados ligados à infração ou a exclusão dela, suspensão parcial ou integral do banco de dados ligado à violação, suspensão temporária a proibição total das atividades de processamento de dados.

Entretanto, as punições estão previstas apenas para agosto de 2021, conforme a Lei 14.010/2020 (“Lei da pandemia”). Contudo, isso pode variar de acordo com o entendimento do juiz que julgar processo, a exemplo do Caso Cyrela, primeira empresa a ser condenada por descumprir a LGPD. Por isso é importante não deixar adequações para última hora.

Leia mais: TUDO que a sua escola precisa saber para a volta às aulas pós-quarentena

Esperamos que este post tenha ajudado você a entender o que é a LGPD e por que sua instituição precisa se adequar a ela. Estamos trabalhando duro para se adequar às determinações da LGPD. Se você tiver mais dúvidas de como podemos ajudar você nesse processo, entre em contato com a gente!