Particularidades da Lei Geral de Proteção de Dados Pessoais nas Escolas e Instituições de Ensino

A educação é um direito social garantido pela Constituição Federal brasileira. O ensino, a passagem de conhecimento de forma sistemática, é fundamental para o desenvolvimento da vida familiar, da convivência humana, do trabalho, da pesquisa, dos movimentos sociais e organizações da sociedade civil e das manifestações culturais.

Independentemente do sistema de ensino (educação básica, superior ou profissional; público ou privado)as instituições inevitavelmente tratam dados pessoais de seus alunos, pais/responsáveis legais, funcionários, prestadores de serviço, parceiros, dentre outros.

E assim levanta-se uma bandeira vermelha – para a necessidade de observância à Lei Geral de Proteção de Dados Pessoais[1].

 

Afinal, o que é a Lei Geral de Proteção de Dados Pessoais (LGPD)? Essa Lei se aplica às escolas e demais instituições de ensino?

A LGPD, que entrará em vigor em agosto de 2020, busca proteger os direitos à liberdade, à privacidade e ao livre desenvolvimento da personalidade das pessoas naturais.

Para tanto, a LGPD estabeleceu regras para as operações de tratamento dos dados pessoais, visando prevenir o uso indevido dos dados pessoais (o desvio de sua finalidade) e os incidentes de segurança destes dados (como vazamos e invasões, por exemplo).

É fundamental saber, para uma boa compreensão da LGPD, as seguintes definições:

(a) a pessoa natural a quem se referem os dados pessoais é chamada de titular;

(b) o dado pessoal é qualquer informação que identifique ou que seja capaz de identificar seu titular. Pode ser nome, endereço, documentos, hábitos de consumo, histórico escolar, etc.;

(c) o dado pessoal sensível contemplará informações relacionadas à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico;

(d) o dado será anonimizado caso não seja possível identificar seu titular. A anonimização é o processo de desvinculação (direta ou indireta) do dado ao seu titular, realizada através de meios técnicos irreversíveis, razoáveis e disponíveis à época da operação;

(e) os agentes de tratamento são o controlador e o operador. Ambos podem ser pessoas físicas ou jurídicas (ou seja, não são só as empresas que estão sujeitas à LGPD), mas a principal diferença entre estes agentes é que o controlador tem o poder de decisão sobre o tratamento dos dados pessoais, enquanto o operador realiza o tratamento de dados pessoais em nome do controlador. Por exemplo, o tratamento dos dados pessoais dos funcionários de uma instituição de ensino, com a finalidade de realizar os pagamentos dos seus salários, ocorre por decisão da própria instituição (será, portanto, controladora dos dados). Caso ela tenha contratado um prestador de serviços para processar as folhas de pagamentos, este fornecedor atuará como operador dos dados. É interessante destacar, ainda, que um mesmo agente de tratamento pode tanto ser controlador como operador em situações diferentes, pois esta qualificação dependerá das circunstâncias da operação de tratamento.

(f) o tratamento dos dados poderá ser coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. É uma definição bastante ampla, pois visa abranger toda e qualquer operação possível. O tratamento de dados deverá sempre observar a boa-fé e será norteado pelos seguintes princípios: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.

As escolas e demais instituições de ensino se enquadram nas premissas de aplicabilidade da LGPD, independentemente do país de sua sede, desde que:

(a) a operação de tratamento ou a coleta de dados pessoais objeto de tratamento seja realizada em território nacional;

(b) o tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços; ou

(c) a atividade de tratamento tenha por objetivo o tratamento de dados de indivíduos localizados em território nacional.

É evidente, portanto, que as escolas e demais instituições de ensino devem observar a LGPD, de forma que exploraremos algumas especificidades deste mercado a seguir, através de comentários às disposições da Lei.

 

O tratamento dos dados pessoais das crianças e dos adolescentes

Os dados das crianças e adolescentes têm regramento especial na LGPD, sendo fundamental a observância do melhor interesse das crianças (até doze anos de idade incompletos) e dos adolescentes (de doze e dezoito anos de idade) no caso de tratamento de seus dados pessoais, assim como qualquer outra legislação atinente à situação de tratamento – o que, no contexto do mercado da educação, pode ser desde o ECA (Estatuto da Criança e do Adolescente)[2] até a Lei de Diretrizes e Bases da Educação Nacional[3], dentre outras normas regulamentadoras das atividades de ensino.

O tratamento dos dados pessoais das crianças dependerá do consentimento a ser dado por ao menos um dos pais ou pelo representante legal. É importante frisar que este consentimento deverá ser obtido pela instituição de ensino de forma específica e destacada no instrumento pertinente (por exemplo, nos contratos de matrícula, transferência, etc.), sob pena de nulidade deste consentimento.

Além disso, as escolas deverão disponibilizar publicamente quais serão os tipos de dados passíveis de coleta, a forma de sua utilização e os procedimentos para atendimento aos titulares dos dados (aqueles a quem se referem os dados pessoais objeto de tratamento) – as instituições de ensino devem estar prontas para examinar e responder os seguintes direitos conferidos pela LGPD:

(a) a confirmação da existência do tratamento dos dados pessoais;

(b) o acesso aos dados sob tratamento;

(c) a correção de dados incompletos, inexatos ou desatualizados;

(d) a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;

(e) a portabilidade dos dados a outra instituição de ensino (por exemplo, em caso de transferências), preservados os segredos comercial e industrial e observada a regulamentação específica do setor educacional;

(f) a eliminação dos dados pessoais que cujo tratamento dependeu de consentimento do titular[4];

(g) a informação das entidades (públicas e privadas) com as quais a instituição de ensino realizou uso compartilhado de dados;

(h) a informação sobre a possibilidade de não fornecer consentimento sobre determinado tratamento de dados e sobre as consequências da negativa; e

(g) a revogação do consentimento, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação.

Destaca-se que todo o fornecimento de informações deve ocorrer de maneira simples, clara e acessível, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.

Outro ponto que as instituições de ensino precisam observar é que não será possível condicionar a participação das crianças em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade – o que está diretamente relacionado aos princípios da finalidade e da adequação.

 

Demais tratamentos de dados pessoais

Os dados pessoais dos titulares que não forem crianças ou adolescentes (pais, representantes legais, funcionários, parceiros, prestadores de serviços, etc.) estão sujeitos à adequação às hipóteses legais, previstas nos artigos 7º e 11º da LGPD (respectivamente, tratamentos de dados pessoais e de dados pessoais sensíveis), como se observa nas seguintes ilustrações:

Principais riscos

O descumprimento das disposições da LGPD pode sujeitar as escolas e demais instituições de ensino a sanções administrativas, tais como: advertência; multa de 2% sobre o faturamento da empresa, grupo ou conglomerado, por dia ou por infração, bloqueio ou eliminação dos dados e divulgação da infração. Ainda, é possível responder judicialmente perante os próprios titulares dos dados.

Por estas razões, é necessário que as escolas e demais instituições de ensino estejam prontas para o início da vigência da LGPD, já que a mitigação de riscos é um benefício imediato.

 

Como se adequar?

Em um projeto de adequação (compliance) à legislação de proteção de dados, é fundamental que as escolas e demais instituições de ensino observem dois macro pilares: o do enquadramento aos tratamentos às hipóteses legais e o da prevenção a incidentes de segurança.

O fluxograma abaixo representa apenas um exemplo de projeto. Para a execução em um caso concreto, deve-se levar em consideração as necessidades individuais de cada instituição. No entanto, é necessário compreender que a realização de uma ou algumas etapas é insuficiente para a plena conformidade à LGPD e moderação dos riscos decorrentes do seu descumprimento.

Quer saber mais sobre a LGPD e assuntos correlatos à privacidade e proteção de dados? Acompanhe as próximas publicações! Comentários e sugestões são sempre bem-vindos 😉

[1]http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm (Lei Geral de Proteção de Dados Pessoais – LGPD)

[2]http://www.planalto.gov.br/ccivil_03/Leis/L8069.htm(Estatuto da Criança e do Adolescente)

[3]http://www.planalto.gov.br/ccivil_03/LEIS/L9394.htm (Lei de Diretrizes e Bases da Educação Nacional)

[4] Exceto se o tratamento de dados for necessário com a finalidade de (i) cumprimento de obrigação legal ou regulatória; (ii) estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados; (iii) transferência a terceiro, desde que respeitadas as bases legais de tratamento da LGPD; ou (iv) uso exclusivo do controlador, desde que anonimizados os dados.

Deixe um comentário!

SIGA AS NOSSAS REDES SOCIAIS

RECEBA NOSSOS CONTEÚDOS

Copyright 2020 © Todos os direitos reservados