As escolas e universidades também precisam estar adequadas à Lei Geral de Proteção de Dados (LGPD).

A Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei de nº 3.709/2018 – impacta todas as empresas públicas e privadas que lidam com o tratamento de dados pessoais. Isso inclui, automaticamente, as escolas, universidades e demais instituições de ensino. 

E o que as instituições de ensino devem fazer para estarem em compliance com a LGPD e não sofrerem as sanções previstas em lei? É exatamente isso que abordaremos nesse artigo. 

O que é a LGPD?

A Lei Geral de Proteção de Dados Pessoais (LGPD) é uma lei brasileira sancionada em 2018 que estabelece regras para o tratamento de dados pessoais por parte de empresas públicas e privadas.

Entende-se como tratamento de dados todas as ações feitas em dados de pessoas físicas, como, por exemplo, a coleta, o armazenamento, o compartilhamento, a eliminação, a transferência, etc. Ou seja, escolas e universidades certamente se enquadram na lei, já que lidam diariamente com dados de alunos, funcionários e terceirizados. 

Vale lembrar que o tratamento de dados pessoais a que se refere a LGPD não é apenas das informações em meios digitais, mas também nos dados que circulam de forma física na empresa – em arquivos de papel, por exemplo.

Quais são os principais pontos da LGPD?

Como dito, a LGPD diz respeito ao tratamento de dados pessoais que circulam nas empresas públicas e privadas. O objetivo principal é proteger ao máximo as informações das pessoas de vazamentos, roubos e compartilhamentos não autorizados, por exemplo. Por isso, a lei estabelece os direitos dos titulares dos dados e os deveres das empresas.

Quanto aos direitos dos titulares dos dados, temos:

• O fácil acesso aos seus dados pessoais coletados pela instituição de ensino;
• Confirmar com a instituição como os seus dados serão utilizados;
• Solicitar correções e atualizações nos dados;
• Solicitar o bloqueio, a eliminação e a anonimidade de seus dados;
• A pedir a transferência de seus dados a outras instituições de ensino;
• A desautorizar a instituição a permanecer com seus dados pessoais (mesmo que tenha sido autorizado antes). 

Por isso, caberá às instituições:

• Solicitar o consentimento aos titulares dos dados para o devido tratamento, quando aplicável;
• Garantir livre acesso aos titulares sobre seus dados pessoais;
• Proteger os dados de vazamentos, roubos e outros incidentes;
• Caso ocorram incidentes, ser transparente e tomar as providências;
• Nomear uma pessoa responsável por ser a mediadora entre a instituição e o titular do dado para prestar todas as informações e esclarecimentos. Esta função recebe o nome de Encarregado, ou, ainda, Data Protection Officer (DPO). 

A fiscalização do cumprimento da LGPD está a cargo da Agência Nacional de Proteção de Dados (ANPD), vinculada à presidência da República. A empresa pública ou privada que descumprir a lei fica sujeita a sanções que vão desde advertências até multa de 2% sobre o faturamento anual da empresa (mas cujo valor não pode ultrapassar o limite de R$ 50 milhões).

O que as instituições de ensino devem fazer para se adequarem à LGPD?

Bom, antes de tudo, é preciso entender que a LGPD divide os dados pessoais em dois tipos: os dados pessoais comuns e os dados pessoais sensíveis.

Enquanto os dados pessoais comuns são aqueles compostos por informações como nome, documento pessoal, e-mail, telefone, data de nascimento, etc., os dados sensíveis são todos os dados que podem ser objetos de discriminação, tais como:

• Dados de saúde e vida sexual;
• Dados biométricos e genéticos;
• Histórico médico;
• Convicções religiosas, políticas e filosóficas;
• Origem racial ou étnica.

Por isso, será preciso sempre reforçar ao máximo a proteção de todos esses dados, e entender quais dados são coletados pela instituição para evitar coletas desnecessárias ou indevidas.

E aqui vai uma informação importante para as instituições de ensino que lidam com dados de menores de 12 anos de idade: a LGPD exige o consentimento específico dos pais ou responsáveis legais para o tratamento dos dados pessoais.

Ebook completo sobre "Como fazer um Assessment de ativos de TI". Baixe aqui gratuitamente! 

Para os demais alunos, é fundamental entendermos quais dados são coletados e se concordam com a finalidade proposta pela instituição de ensino. Lembre-se de que a coleta indevida de dados deverá ser cessada a fim de evitar possíveis penalidades pela ANPD. 

Em função disso, a primeira tarefa das escolas e universidades é esta: Efetuar um mapa de dados dos processos que envolvem dados pessoais ou sensíveis na Instituição. Sejam eles dos funcionários ou dos alunos. Com o Mapa de Dados é possível identificar lacunas, desvios e adequar a segurança da informação em seus processos diários.

Outra tarefa muito importante é realizar investimentos na camada de segurança da informação de escolas e universidades, que tenham como objetivo a proteção dos dados contra possíveis vazamentos. Vivemos um aumento exponencial de ciberataques a instituições de ensino e é fundamental que estas instituições não só invistam em prevenção, mas também em soluções de backup e restauração dos dados, em caso de incidentes.

Assim como todas as empresas que tratam dados pessoais, sejam de clientes ou de seus próprios colaboradores, o principal passo é dar início a um projeto de governança sobre privacidade e proteção de dados. Alcançar a conscientização dos colaboradores para o projeto ter sucesso e todos estejam engajados na proteção dos dados é ponto fundamental para evitar incidentes que possam gerar penalidades para a instituição.

Por fim, é importante que todos leiam com atenção os novos termos de consentimento que surgiram com a nova lei, para que de fato os dados autorizados para coleta e tratamento tenham uma justificativa coerente com a necessidade das instituições de ensino.