A Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018), sancionada em 14 de agosto de 2018, entrará em vigor a partir de maio de 2021 (de acordo com a MP 959/2020) e estabelece linhas gerais para a coleta, armazenamento, tratamento e compartilhamento de dados por pessoas jurídicas de direito público e privado, assegurando a seus titulares uma série de direitos e garantias. Ou seja, é uma norma que trará impacto sobre todos os setores e, claro, para as instituições de ensino em geral.
A referida Lei dedica uma sessão específica para disciplinar o tratamento de dados de crianças e adolescentes, pontuando que este deva se dar sempre atendendo ao melhor interesse da criança e do adolescente.
Dentre os requisitos estabelecidos, impõe dentre outras mudanças:
Consentimento: o tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal, cabendo à instituição certificar-se de que o consentimento foi efetivamente dado pelo responsável.
Publicidade: as instituições deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos do titular (art. 18 – acesso aos dados, correção, anonimização, bloqueio, eliminação, portabilidade, revogação do consentimento etc).
Proibição da condição do tratamento: as instituições não deverão condicionar a participação dos titulares em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade.
Considerando-se a crescente utilização de tecnologias disponíveis para pais e alunos, as instituições precisarão assegurar meios para certificar-se de que do consentimento tenha sido dado, efetivamente, pelo responsável legal pelo menor e que não foi burlado pelo menor ou mesmo por terceiro mal intencionado.
Além disso, as instituições de ensino geralmente realizam tratamento de dados considerados sensíveis (informações sobre origem racial ou étnica, convicção religiosa, dados referentes à saúde do aluno, além dos dados biométricos) e que devem receber tratamento especifico (art. 11).
Informações como faixa de renda da família, número de veículos da e outras informações comumente exigidas em formulários para elaboração de perfil socioeconômico dos alunos, por exemplo, embora não sejam explicitamente mencionados no texto legal, podem enquadrar-se também como dado sensível.
O desenvolvimento de um programa de compliance LGPD demandará esforços em pelo menos 4 campos do conhecimento:
JURÍDICO (Legal): deverá a organização providenciar a contratação de um escritório especializado em Direito Digital com advogados e experts atuantes no campo jurídico e regulatório nos aspectos da privacidade, proteção de dados e LGPD.
GOVERNANÇA: o trabalho realizado deverá considerar a análise de processos de negócio e a adequação/implementação de um framework de gestão de segurança da informação e política de privacidade.
ANÁLISE DE RISCOS (Risk Analysis): o trabalho realizado deverá considerar expertise em gestão e avaliação de riscos organizacionais, de processos e de tecnologia.
SEGURANÇA DA INFORMAÇÃO (cybersecurity): por último e não menos importante, deverá a instituição estar apta a implementar controles para garantir a segurança dos dados pessoais.
Tendo em vista o diminuto prazo para que os controladores promovam a adequação exigida pela LGPD (início de vigência previsto para agosto de 2020), é importante que as instituições de ensino busquem, o mais breve possível, realizar as primeiras ações para que a virada de ano letivo não seja impactante e não gere retrabalho dentro do cronograma da jornada de compliance que, certamente, demandará muitos esforços.
Entre em contato conosco. Clique aqui.
