O AGRONEGÓCIO MAIS PERTO DE VOCÊ

LGPD nas instituições de ensino e no EAD

No caso das instituições educacionais, a aplicação da LGPD é ainda mais relevante, uma vez que são plenamente afetadas as instituições nas suas diretrizes e prioridades, além de sujeitarem-se a riscos exponenciais das mais diversas espécies
Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp

Já em vigor a Lei Geral de Proteção de Dados Pessoais (LGDP/ n. 13.709/2018) vem impactando também as instituições de ensino e EAD. Todas as empresas ou entidades organizacionais (no âmbito da LGPD definidos como “controladores”) que manuseiam dados da pessoa física (“titulares”) devem observar a Lei indistintamente. Como algumas vezes já comentado, houve uma certa descrença na possibilidade desta Lei ir adiante, mas a corrida pela adequação por todas as instituições se faz obrigatória e urgente.

No caso das instituições educacionais, a aplicação da LGPD é ainda mais relevante, uma vez que são plenamente afetadas as instituições nas suas diretrizes e prioridades, além de sujeitarem-se a riscos exponenciais das mais diversas espécies. Aqui disponibilizamos algumas dicas para adequação destas instituições, que caso não tenham iniciado suas avaliações de processo, devem promovê-las assim que possível. 

Como primeiro passo, a instituição de ensino deve começar pela implementação da avaliação dos dados existentes e estabelecer as bases do programa de conscientização em Governança de Privacidade de Dados. A avaliação se dá pelo mapeamento de dados coletados dentro da análise de rotinas da instituição, o chamado “Raio X”, pelo qual identificam quais dados são coletados, categorias de dados, como são manuseados até seus meios de arquivamento ou eliminação. De forma recorrente, reitero que o sucesso deste programa ocorre com a interação de várias áreas de trabalho, desde setor de matrícula/inscrição dos alunos, área de TI, financeiro, jurídico, ambulatório, dentre outras áreas que podem receber ou manusear dados dos estudantes de forma usual. Por conta disso, todas as instituições educacionais, independente de porte, deverão seguir regras rígidas para coletar, processar, compartilhar e resguardar dados pessoais coletados.

Numa segunda fase, após entendimento desta fotografia, vale priorizar e estabelecer as principais etapas de implementação deste projeto LGPD, observados os riscos de exposição encontrados no fluxo de operações das informações. Na prática, se define a figura do titular de dados no âmbito das instituições de ensino, inclusive considerando, os estudantes maiores; estudantes menores (crianças ou alunos menores de 12 anos, adolescentes entre 12 e 18 anos e, por fim, os maiores de 18 anos) cabendo a estes últimos os requisitos a seguir mencionados. Por exemplo, a lei determina que (i) no caso das crianças, menores de 12 anos, o tratamento de dados deverá ser realizado com o consentimento específico e expresso de ao menos um dos pais ou do responsável legal; (ii) para os adolescentes, o controlador poderá utilizar os dados para a realização de suas atividades, mas não deverá armazenar dados pessoais sensíveis, sem consentimento formal dos responsáveis legais e (iii) no caso de maiores de 18 anos, a decisão caberá aos próprios alunos, e neste caso devem ser observados os dados necessários ou essenciais à prestação do serviço e quais dados são apenas suplementares. Essa distinção ajudará a identificar quais informações precisarão de um consentimento claro dos titulares ou de seus responsáveis, bem como as cautelas requeridas pela Lei no ciclo das operações de tratamento dos dados.

Chamo a atenção para os “dados sensíveis”, que incluem origem racial ou étnica; convicção religiosa; opinião política (aqui um ponto de atenção no âmbito das universidades); filiação a sindicato ou organização de caráter religioso, filosófico ou político; dados relativos á saúde ou vida sexual e dados genéticos ou biométricos, cuja guarda e proteção requerem autorização e confidencialidade, se forem necessários a prestação dos serviços educacionais.

É sempre importante ressaltar a importância do Programa de Governança/Privacidade de Dados como um todo, ao longo deste processo de implementação. Trata-se de estabelecer bases sólidas para a criação de uma cultura robusta dentro da instituição que assegure a  responsabilidade do controlador desde o ponto de partida de coleta de dados, que ocorre no ato da matrícula e em outros momentos tais como  autenticação de visitantes; atualização do contrato de trabalho dos funcionários; contratos de prestadores de serviços em geral;  contrato de ensino com o estudante, dentre outros serviços oferecidos, inclusive, analisando com mais profundidade a necessidade de eventual controle de aulas virtuais.

Nas instituições de ensino

No caso das instituições de ensino/EAD, a política de privacidade deve ser clara, objetiva e transparente baseada na legislação, por exemplo:

•             A política deve estar no portal, uma vez que se requer publicidade na determinação e critérios adotados para as categorias de dados pessoais que são coletados, a sua forma de utilização, e os procedimentos para exercer os direitos dos titulares previstos no artigo 18 da LGPD, incluindo políticas de cookies de acesso ao website;

•             Essencialmente deverá conter as diretrizes e orientações de como são tratados os dados manuseados; bases legais e forma de tratamento desde a coleta até a eliminação, e, eventualmente, o consentimento expresso e inequívoco se aplicável;

•             No caso específico das instituições de ensino é muito comum também a realização de atividades relacionadas a marketing institucional, com propagandas específicas baseadas nos perfis dos alunos, uso de canais promocionais – por exemplo, redes sociais – podendo ensejar a necessidade de que autorizem o recebimento destas ofertas institucionais.

Por fim, e especificamente aplicável às instituições estruturadas no formato EAD – Ensino a Distância, modalidade de ensino exercida em ambiente virtual, sem a necessidade de presença física em universidades, que se dá por meio de aulas virtuais e a distância, devem adicionalmente contemplar algumas formalidades como a regularização da autorização para a captura e a reprodução de imagem, som e vídeo dos docentes. Outro ponto que pode servir como recomendação é assegurar cautelas adicionais com os recursos e equipamentos utilizados com vistas ao uso e acesso de plataforma digital segura que pode ensejar análise de alguns outros recursos ou comportamentos que devem ser devidamente esclarecidos e formalizados aos participantes para assegurar o cuidado com o uso da imagem; definição da identidade digital, acesso por usuários credenciados; política de senhas; definição de troca de conteúdos e eventualmente estabelecimento de regras claras para o compartilhamento de dados que devem estar adstritos aos fins acadêmicos, dentre outros exemplos. De qualquer forma todas estas análises devem ser objeto de uma verificação mais aprofundada, pois afetam tanto os alunos e como o corpo docente da instituição de ensino.

Não se trata de uma empreitada fácil de cumprir, pelo volume de informações já constantes nos sistemas de todas as entidades/instituições de ensino; mas se configura como um desafio na revisão de processos e controles já existentes. Por sua vez, partirá das instituições de ensino – auxiliar no aculturamento da sociedade, atuando como exemplo no exercício do papel de multiplicadores deste universo da privacidade de dados.