A Lei Geral de Proteção de Dados passou a vigorar em agosto de 2020, estabelecendo regras sobre a coleta, o armazenamento, o tratamento e o compartilhamento de dados pessoais e alterando vários aspectos da relação entre o titular de dados e quem os trata.
Entre as empresas que precisam se adequar à nova legislação, estão as instituições de ensino, afinal, além de gerenciar dados pessoais e sensíveis, muitas vezes, esses dados são de crianças e adolescentes.
O artigo 14, parágrafo 1º, da Lei Geral de Proteção de Dados traz regras especiais para esse tipo de tratamento, elencando que:
- Os dados pessoais de crianças só deverão ser tratados com o consentimento específico de pelo menos um dos pais ou pelo responsável legal;
- Os controladores (nesse caso, as escolas) devem manter pública a informação sobre os tipos de dados coletados e como serão utilizados;
- Os dados pessoais de crianças só poderão ser utilizados sem consentimento com a finalidade de contatar os pais ou para a proteção da criança. Para isso, as informações devem ser utilizadas apenas uma vez e não podem ser armazenadas;
- Em nenhuma situação os dados de crianças e adolescentes devem ser repassados a terceiros sem consentimento;
- É responsabilidade da escola realizar todos os esforços possíveis para garantir que o consentimento seja dado pelo responsável da criança;
- As informações sobre o tratamento de dados devem ser repassadas de forma simples, clara e acessível aos pais, ou responsável legal, e adequada ao entendimento da criança.
Por isso, as escolas precisam avaliar seus processos internos e garantir a segurança das informações para evitar vazamentos de dados e outros incidentes.
De maneira geral, lidar com a LGPD vai além de saber o que fazer com os dados coletados, mas também com toda a cadeia de relacionamento. Por exemplo: qual é o prazo de tratamento da informação de um aluno? Com quem será possível compartilhar esses dados? Quando for o caso de um menor, como saber se a pessoa responsável que está assinando um documento é realmente o pai ou a mãe do aluno?
Refletindo sobre essas questões, a dúvida principal é:
O que a instituição precisa fazer para se adequar?
Uma das primeiras coisas que sua escola precisa saber é que a proteção de informações não é responsabilidade de apenas um setor da instituição. Assim, é preciso envolver os setores de tecnologia, financeiro, jurídico, marketing e outros agentes, conforme o perfil da escola.
Partindo-se da ideia de quais dados foram e deveriam ser coletados, se há necessidade de consentimento e com quem se pode compartilhar a informação, deve-se desenvolver um Plano de Adequação focado em:
- Reunir equipes e mapear operações internas de tratamento de informações;
- Assegurar os direitos garantidos ao titular das informações com adequação das ferramentas sistêmicas;
- Revisar Políticas de Privacidade, contratos e Termos de Uso para colocar em destaque cláusulas de direitos do titular das informações;
- Revisar contratos com colaboradores internos e com terceiros que tenham acesso ou façam tratamento de informações;
- Detalhar os mecanismos de Segurança das bases de dados, documentando as técnicas usadas;
- Criar equipes internas, indicando-se os agentes de tratamento de dados pessoais;
- Analisar quais serão as providências tomadas para que o tratamento dos dados atenda à lei;
- Criar relatório de impactos à proteção de informações e regras de boas práticas e governança;
- Fazer treinamentos constantes para garantir as boas práticas no tratamento dos dados pessoais;
- Não coletar ou armazenar dados que não sejam necessários: cópias duplicadas e backups que não serão usados, por exemplo;
- Nomear um DPO (Data Protection Officer) como gestor de Proteção de Dados.
Realizando tais ajustes a instituição adequará sua cultura, que é um dos principais pontos a serem alterados pela LGPD, motivando os colaboradores e empresas parceiras a também se ajustarem à Lei, e desenvolverá uma atuação organizada e correta de coleta, tratamento e armazenamento de dados, evitando-se, assim, problemas futuros e mantendo-se preparada para possíveis fiscalizações.
