Apresentação ¹

O presente artigo tem por objetivo descrever, de forma sucinta, as rotinas escolares que são afetadas pela Lei Geral de Proteção de Dados (“LGPD”). Este material não aborda todas as mudanças que precisam ser realizadas para que as instituições de ensino se adaptem à legislação, já que a realidade de cada escola é que define o nível de sua adequação à LGPD e o caminho necessário para evitar a aplicação das penalidades nela previstas.

Entendendo a LGPD e seus principais aspectos.

A promulgação da LGPD em 2018², inseriu o Brasil no movimento global de respeito à privacidade e proteção de dados. Nossa legislação se inspirou no “GDPR” (sigla em inglês que significa Regulamento Geral de Proteção de Dados), como ficou conhecida a lei vigente na União Europeia.

Recentes vazamentos de informações pessoais causados por empresas de grande notoriedade comprovaram a importância da proteção. Além disso, dados pessoais são ativos relevantes para qualquer empresa, pois quanto maior o conhecimento de seu público, mais oportunidades para oferecer produtos e serviços e, consequentemente, lucrar com vendas convertidas, por exemplo. Nesse contexto, busca-se com a LGPD a criação de um ambiente seguro, transparente e eficiente para o compartilhamento de dados pessoais, o que beneficia os titulares de dados e as empresas. Vale ressaltar que o prazo máximo para adequação à lei é agosto de 2020³.

A LGPD se aplica a todas as pessoas físicas e jurídicas, dos setores público e privado, que tratem dados pessoais, por meio físico ou digital, no território nacional. Na prática, empresas que coletam, tratam e armazenam dados, chamadas “controladoras”, devem se adequar às diretrizes da LGPD. E as creches, escolas e universidades estão incluídas nesse rol, uma vez que possuem acesso a dados de alunos, pais, responsáveis, visitantes e colaboradores, que são os titulares dos dados pessoais.

¹ Este documento foi produzido por Renata Rodrigues e destina-se aos clientes e integrantes do Renata Rodrigues Advocacia. O presente material tem caráter meramente informativo e não busca orientar qualquer pessoa para fins legais, não podendo ser utilizado como opinião legal.
² Lei n. 13.709, de 14 de agosto de 2018.
³ Encontra-se em tramitação na Câmara dos Deputados o Projeto de Lei 5762/19, que prorroga por dois anos, de agosto de 2020 para agosto de 2022, a vigência da maior parte da LGPD. Quando da edição deste material, em fevereiro/2020, o PL ainda não havia sido votado.

A própria lei estabelece as hipóteses em que o tratamento de dados é permitido. São as chamadas bases legais e, em linhas gerais, consistem em:

I. Consentimento: autorização dada pelo titular, por escrito ou outro meio que demonstre a sua vontade em permitir o tratamento de seus dados. Esta permissão é específica e o titular de dados precisa ser alertado sobre o fim a que se destina;

II. Cumprimento de obrigação legal ou regulatória do controlador: o controlador poderá tratar dados quando tiver de cumprir, por lei ou por normativos de órgãos reguladores, alguma obrigação;

III. Execução de políticas públicas: base legal para o tratamento de dados por órgãos públicos. Tais políticas precisam estar previstas em leis, regulamentos, contratos ou convênios;

IV. Realização de estudos por órgãos de pesquisa: sempre que possível deve ser utilizada a anonimização dos dados pessoais;

V. Execução de contrato: o titular precisa ser parte do contrato e pedir o seu cumprimento;

VI. Exercício de direitos em processo judicial, administrativo ou arbitral;

VII. Proteção da vida: do titular ou de terceiros para que seja prestado socorro;

VIII. Tutela da saúde: para realização de procedimentos por profissionais de saúde ou autoridade sanitária;

IX. Proteção ao crédito: para mitigar o risco de inadimplência;

X. Legítimo interesse do controlador: assim entendido o apoio à promoção das atividades do controlador. Não é uma base legal genérica, pois deve ser utilizada apenas para tratar os dados pessoais estritamente necessários para a finalidade pretendida, bem como tem de ser realizada a validação de sua utilização.

Então, para definir a base legal, é preciso verificar a origem do dado, sua categoria (geral, sensível, de criança ou de adolescente) e a finalidade para a qual o dado será tratado.

Importante destacar que para a categoria “geral” de dados pessoais, a LGPD determina que se verifique a base legal mais adequada para a finalidade de tratamento, enquanto os dados sensíveis podem ser tratados mediante o consentimento do titular. Usar outra base legal para o tratamento de dados sensíveis é exceção.

Além de definir a base legal que legitima o tratamento dos dados pessoais, a lei assegura diversos direitos aos titulares, os quais devem ser permanentemente observados pelas empresas. A seguir, listamos alguns desses direitos:

  • O titular escolhe como seus dados são tratados e autoriza, ou não, seu uso e compartilhamento;
  • Deve ser informado ao titular quais dados são coletados e a finalidade específica de cada coleta, uso e armazenamento;
  • Caso o titular solicite a interrupção da coleta de seus dados, a exclusão desses ou qualquer outra ação relacionada aos dados, a empresa deve respeitar e executar;
  • Deve ser assegurado ao titular o acesso aos dados, sua cópia ou transferência para outras empresas;
  • Toda comunicação com o titular deve ser transparente e utilizar linguagem simples, clara e objetiva para que qualquer pessoa compreenda a mensagem.

A LGPD ainda prevê princípios que precisam ser respeitados no tratamento de dados pessoais e gostaríamos de destacar 03 (três):

I. Finalidade: o tratamento deve ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular;

II. Adequação: o tratamento deve ser compatível com a finalidade que foi apresentada ao titular; e

III. Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos.

Um exemplo prático de aplicação desses três princípios pelas instituições de ensino é a coleta de dados para registro de histórico escolar, cujo propósito (ex. métricas internas e análise de desempenho) é diferente do propósito de coleta de dados dos alunos para fins de publicidade e marketing. Para fazer propaganda, as escolas precisam de dados pessoais que traduzam o comportamento dos alunos para que se possa direcionar a publicidade. Sendo assim, a finalidade precisa ser claramente informada ao titular para que o consentimento seja dado livre de vícios. Os responsáveis, por exemplo, podem consentir com a coleta dos dados para histórico escolar e não autorizar o uso de dados comportamentais para fins de marketing. Portanto, a escola não pode publicar fotos ou informações pessoais de seus alunos nas redes sociais sem a expressa autorização. E o uso das imagens deve ter um objetivo claro e previamente informado ao responsável, como, por exemplo, a divulgação das atividades da escola.

Para conhecer os principais aspectos da LGPD de forma mais detalhada e se aprofundar na matéria, acompanhe nossas publicações no site renata@renatarodriguesadv.com.br. Além de artigos, temos e-books como “Lei Geral de Proteção de Dados – Em 5 minutos”, “Lei Geral de Proteção de Dados – Q&A” e “Lei Geral de Proteção de Dados – Como Adequar Seu Negócio?”.

O que muda na rotina escolar?

Quando se analisa o tratamento de dados pessoais no âmbito escolar, faz-se necessário lembrar, primeiramente, que a proteção não se está limitada aos dados pessoais de alunos, pais, responsáveis e visitantes. Ela também engloba os dados pessoais de colaboradores e o compartilhamento de dados com fornecedores e prestadores de serviços (ex. contratação de nuvens e parceiros para funções de informática). As instituições de ensino, como outras empresas que tratam dados pessoais, deverão revisar toda a cadeia de coleta, armazenamento, processamento e eliminação de quaisquer dados que por elas transitam. Conceitos como ciclo de vida do dado e embasamento legal para realizar o tratamento precisam ser bem entendidos pelos gestores educacionais para facilitar o cumprimento das diretrizes legais. Além disso, os envolvidos no tratamento de dados pessoais precisam estar cientes de que dados sensíveis exigem ainda mais cuidado, principalmente quanto à origem racial, convicção religiosa, filiação sindical de colaboradores, dados biométricos e de saúde.

Uma das primeiras medidas é fazer um mapeamento de todos os dados que rotineiramente transitam pela instituição, por meio físico ou digital, seguindo-se a análise de como esses dados são coletados, armazenados, compartilhados e eliminados. Uma auditoria verificará a existência do consentimento e informará quando será necessário buscá-lo, caso a empresa ainda não o possua.

Para a correta aplicação da lei, vale destacar que é necessário classificar os alunos, separando os menores de 12 (doze) anos, de adolescentes entre 12 (doze) anos e 18 (dezoito) anos e os maiores de 18 (dezoito) anos. A LGPD determina, por exemplo, que no caso de menores de 12 (doze) anos o tratamento de dados que tiver o consentimento como base legal apenas pode ser realizado mediante a autorização específica e expressa de, ao menos, um dos pais ou do responsável legal.

Nesse momento também é imprescindível enxugar a base de dados para que as escolas tenham certeza de que possuem apenas os dados necessários e devidamente atualizados para o desempenho de suas atividades. Os pais ou responsáveis precisarão conhecer os dados em poder das instituições e poderão pedir a exclusão daqueles que considerarem excessivos.

Outra medida a ser adotada na fase inicial é definir as bases legais que legitimam o tratamento de dados, uma vez que algumas informações pessoais dos alunos devem ser armazenadas para cumprimento de obrigação legal, dispensando-se o consentimento de pais ou responsáveis. Sugere-se, então, estabelecer uma política de retenção de dados para definir os dados, tipos e prazos de armazenamento, finalidade da coleta e respectiva base legal.

Diversos documentos precisam ser revisados, tais como contrato de matrícula, histórico escolar, avaliação de desempenho, preferência alimentar, cadastros de dados bancários e de cobrança, autorizações para câmeras de monitoramento, cadastros em wi-fi, contrato de trabalho e políticas de privacidade. Idealmente, o consentimento e as demais obrigações legais devem estar previstas em contrato no momento da matrícula e na contratação do colaborador. Com isso, o contato com os responsáveis e com os funcionários ocorre em um momento específico, o que evita a necessidade constante de consultá-los.

As escolas também precisam assegurar que existem medidas eficazes para a proteção dos dados pessoais, bem como ter definido um plano de ação, de contenção e contingência para hipóteses de vazamento.

Quais os desafios mais comuns enfrentados pelas instituições educacionais?

Dependendo do estágio que a escola se encontre no processo de adequação de suas rotinas à LGPD, o tempo pode ser um fator determinante para o sucesso da adaptação. Ainda é possível estabelecer um cronograma factível, mas, em razão do curto prazo até agosto/2020 e das complexidades a serem enfrentadas, a implantação das diretrizes da LGPD devem ser prioridade nas instituições, caso ainda não seja. As escolas também não podem esquecer que a LGPD reforça a necessidade de registrar detalhadamente tudo o que é feito com os dados de um indivíduo, incluindo as medidas de segurança tomadas para protegê-los. Documentar e registrar todo o processo é imprescindível para mitigar a exposição a penalidades.

Outro aspecto relevante e desafiador é o estabelecimento de uma cultura de proteção de dados. Professores, colaboradores, acionistas, donos das instituições e diretores precisam se conscientizar da importância de cumprir a LGPD, além de conhecer seu conteúdo e manter o compromisso com a privacidade e a proteção de informações pessoais.

A realização de treinamentos, oficinas e palestras para professores, colaboradores e estudantes é uma boa prática e pode contribuir para a disseminação dessa cultura. O encarregado, mais conhecido como Data Protection Officer (“DPO”), pode liderar essas iniciativas, pois é o responsável direto pelo assunto nas empresas.

Além dos desafios “internos” das creches, escolas e demais instituições de ensino, elas deverão enfrentar questões que fogem de seu controle, como: (i) o entendimento que pais, responsáveis, fornecedores e prestadores de serviço devem ter da LGPD e a cooperação que deve existir entre todos os envolvidos para o sucesso da proteção de dados; e (ii) o fato de que a fiscalização ainda está cercada por dúvidas, como, por exemplo, o estágio de implantação da Autoridade Nacional de Proteção de Dados (“ANPD”).

Conclusão

A LGPD foi criada com base em tendências mundiais e trouxe um novo capítulo para a proteção de dados no Brasil. Mais do que uma obrigação, a lei é uma oportunidade de crescimento para as instituições que “saírem na frente”. A empresa que demonstrar concretamente o uso ético e seguro de dados pessoais terá uma vantagem competitiva. Quanto mais segurança o titular dos dados possuir, mais informações ele compartilhará com a instituição, o que pode trazer novos clientes e gerar um aumento na fidelização.

Outro benefício econômico é que, apesar de ainda existirem questões pendentes relacionadas às penalidades, a lei privilegia a empresa que constrói uma cultura de proteção. Ou seja, a existência de um programa de adequação e os esforços para cumprir com as obrigações legais serão considerados no momento da aplicação da penalidade pela ANPD. Então, na hipótese de ocorrer um incidente relacionado aos dados pessoais, a adoção comprovada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados é um mitigador da penalidade a ser aplicada. Ou seja, você poderá evitar prejuízos financeiros futuros e desgaste à sua imagem no mercado, o que, às vezes, é até mais danoso que as próprias multas e sanções previstas na lei.

Apesar dos desafios existentes, o momento não é para desespero. É preciso enxergar a LGPD como uma oportunidade de crescimento. Aquele que encarar positivamente os desafios e implementar as diretrizes legais ganhará destaque em relação a seus competidores, será reconhecimento no mercado, tornando-se referência em seu segmento.

Por fim, cumpre lembrar que as empresas não precisam cuidar sozinhas do processo de adaptação à LGPD. Buscar consultoria especializada, como advogados e especialistas em tecnologia da informação, pode acelerar o cumprimento da lei e contribuir para uma melhor adequação do negócio.

BAIXE ESTE ARTIGO EM PDF