Fernando Martins – CEO INOV Compliance

Janeiro – 2020

Advertência com indicação de prazo para adoção de medidas corretivas; multa simples de até 2% do faturamento no seu último exercício, limitada, no total, a R$ 50.000.000,00 por infração; multa diária, observado o limite total; publicização da infração após devidamente apurada e confirmada a sua ocorrência; bloqueio e eliminação dos dados pessoais a que se refere a infração até a sua regularização. Estas são as sanções previstas na Lei Geral de Proteção de Dados (LGPD), que já causa impacto em todos os setores – público e privado, independentemente do segmento de atuação. As instituições de ensino não escapam desse cenário, ao contrário, dada a especificidade de sua atuação, como a coleta de dados de pessoais de crianças e de adolescentes para que sejam efetivadas as matrículas.

Em um primeiro momento, podemos observar apenas as possíveis consequências desagradáveis que o não cumprimento desta lei pode acarretar, tais como: advertências, multas, impedimento de utilização de dados, danos à imagem e à reputação. Porém, se identificarmos a oportunidade de melhoria que teremos, certamente enxergaremos benefícios: proteção contra sanções financeiras e disciplinares, ganho de reputação e imagem por estar em compliance com a legislação, competitividade de mercado, entre outras.

Trata-se de uma grande oportunidade para que as instituições revejam seus modelos de governança de dados e de processos administrativos ou tecnológicos. A princípio, a lei impacta diretamente as escolas nos seus processos de renovação das matrículas dos alunos: os contratos precisam ser revisados, e torna-se necessária a atualização de base de dados pessoais de pais ou responsáveis, assim como os dos próprios estudantes. O artigo 14 da Lei destinou atenção especial ao tratamento de informações de crianças e adolescentes, não por acaso tratados como “dados sensíveis”, outra novidade impactante para as escolas. Este capítulo específico da LGPD define a forma permitida de captura desses dados, mediante o consentimento por pelo menos um dos responsáveis legais, além de outras exigências. 

A exceção se dá nos casos em que a coleta for necessária para contatar os representantes do menor, sendo que os dados deverão ser utilizados uma única vez e sem armazenamento; ou em casos de segurança e proteção da criança e do adolescente Mesmo com a exceção, as informações não poderão ser repassadas, em hipótese alguma, a terceiros.

Ainda sobre dados sensíveis, vale ressaltar que os cuidados deverão ser redobrados, uma vez que englobam informações sobre: origem racial ou étnica; convicção religiosa; opinião política; filiação a sindicato ou a organização de caráter religioso, filosófico ou político; saúde ou vida sexual; genética ou biometria; todos vinculados a uma pessoa. Percebe-se que não são apenas informações de estudantes que precisam ser tratadas de forma diligente e segura. Todas as pessoas que, de alguma forma, relacionam-se com a escola são titulares de dados pessoais: funcionários, professores, terceirizados, pais, responsáveis e estudantes.

Ainda sobre dados sensíveis, vale ressaltar que os cuidados deverão ser redobrados, uma vez que englobam informações sobre: origem racial ou étnica; convicção religiosa; opinião política; filiação a sindicato ou a organização de caráter religioso, filosófico ou político; saúde ou vida sexual; genética ou biometria; todos vinculados a uma pessoa. Percebe-se que não são apenas informações de estudantes que precisam ser tratadas de forma diligente e segura. Todas as pessoas que, de alguma forma, relacionam-se com a escola são titulares de dados pessoais: funcionários, professores, terceirizados, pais, responsáveis e estudantes.

 Dever de casa

O prazo para que a LGPD entre em vigor será agosto de 2020. Embora pareça muito tempo, não se iluda, há muito o que fazer.

Para o segmento educacional, esse prazo tende a ser menor ainda em função dos ajustes que precisam ser feitos ainda neste ano, como a renovação de matrículas. Em muitas escolas, esse processo começa a ser implementado no meio do ano, ou seja, até julho de 2019, momento em que terão de redefinir os contratos de acordo com a nova lei.  E não é só isso. Definir regras de coleta e de tratamento de dados pessoais, atualizar políticas de privacidade e de cookies, reformular contratos de trabalho, de terceirizados, além dos de matrícula, é pauta mais que urgente.

O dever de casa inclui ainda revisão e eventuais investimentos nas áreas administrativas e tecnológicas de proteção de dados, já que a lei exige a comprovação da aplicação dessas medidas. Outro aspecto fundamental diz respeito à exigência da criação da figura do encarregado, ou DPO (Data Privacy Office), responsável, em nome da instituição, por proteger as informações coletadas.

A boa notícia é que a medida provisória 869/18 prevê que a função de encarregado ou DPO poderá ser exercida também por pessoa jurídica ou mesmo terceirizada, o que poderá ser uma saída para as instituições com equipes enxutas.

Agora, que já sei um pouco mais sobre a Lei, por onde começo?

É importante que haja um engajamento de todos os setores da instituição e, sobretudo, apoio da direção, seja ela executiva, administrativa ou pedagógica. Esta integração é uma novidade positiva da lei, uma vez que será necessário que as áreas de negócio se comuniquem constantemente e tenham sinergia para conseguirem atingir o objetivo comum de cumprimento à lei.

Como se trata de uma mudança de cultura e de uma adequação à legislação, todos precisam remar na mesma direção. Todos os segmentos serão impactados, uns em maiores níveis, outros em menores, buscando um único objetivo: o tratamento de dados.

Para adequar-se à LGPD, inicialmente, precisamos conhecer o que temos e o que precisamos ter para cumprir os requisitos. Cada escola possui suas particularidades e sua cultura própria, e isto deve ser preservado e respeitado, porém há formas de iniciar um processo de adequação, conforme proponho abaixo:

  1. Fazer o levantamento inicial do inventário das bases de dados pessoais atuais. O que temos de dados em nossa escola?
  2. Realizar o diagnóstico: fazer o levantamento de políticas e do fluxo de processos que são executados pela escola para verificar a necessidade de adequação ou mesmo criação de novos documentos.
  3. Elaborar um plano de ação: definir prioridades e prazos.
  4. Definir pessoas e responsabilidades: controlador, operador e encarregado.
  5. Engajamento das equipes: quando mais treino, maior a probabilidade de sucesso.
  6. Fazer a verificação da conformidade: auditoria preventiva. Quanto mais cedo conheço um problema, maior minhas chances de resolvê-lo, sem sofrer os danos.

O papel da escola 

Como a missão principal de uma escola é educar, promover ética e cidadania, o que se espera é uma liderança natural do setor educacional, para que ocorram campanhas de conscientização sobre o tema e sobre como proteger os dados daqueles com os quais se relaciona. A expectativa, portanto, é que se crie uma agenda positiva sobre a questão que integre comunidade de ensino, professores, estudantes, pais, funcionários e terceirizados.

× Fale pelo WhatsApp!