8 perguntas e respostas sobre a LGPD na educação
Entenda por que a proteção de dados é importante e quais cuidados as escolas precisam tomar para evitar sanções que vão desde o bloqueio do banco de dados à aplicação de multas
por Redação 24 de novembro de 2020
A LGPD (Lei Geral de Proteção de Dados) exige que gestores revisem uma série de procedimentos, como políticas de privacidade e termos de uso de suas plataformas, para que dados pessoais de alunos sejam protegidos.
Como se trata de uma lei que entrou recentemente em vigor e muitas redes e escolas vivem a sensação de “tudo ao mesmo tempo e agora”. Elas ainda estão no meio do processo de transformação digital para levar conteúdos pedagógicos aos alunos durante a pandemia do coronavírus e, por isso, dúvidas surgem em todas as direções. Quem acompanha o podcast do Porvir em parceria com CIEB sobre Tecnologia na Educação já consegue ter uma ideia geral sobre o funcionamento da LGPD. O episódio 7 trata justamente dos conceitos e do que escolas e secretarias faziam e não vão mais poder fazer ao tratar dados de alunos. Além disso, a conversa destaca algumas recomendações do “Manual de Proteção de Dados para Gestores e Gestoras Públicas Educacionais”, uma publicação CIEB/Unesco que você pode baixar gratuitamente.
Abaixo, com ajuda do CIEB e de integrantes do escritório Rennó Penteado Sampaio Advogados, listamos 8 perguntas e repostas frequentes sobre a LGPD. Contribuem para este artigo Carlos Affonso Souza, sócio de Rennó Penteado Sampaio Advogados, que também é diretor do ITS Rio (Instituto de Tecnologia e Sociedade) e professor da UERJ (Universidade do Estado do Rio de Janeiro). Sofia Franco é advogada do Rennó Penteado Sampaio Advogados que atua na área de Tecnologia e Propriedade Intelectual, com foco em proteção de dados; e Flavia Parra, trainee na área de Tecnologia e Propriedade Intelectual do e Rennó Penteado Sampaio Advogados.
1) Por que crianças e adolescentes precisam ter seus dados escolares protegidos? O que pode ser feito de errado com esses dados?
Sofia Franco: Crianças e adolescentes costumam ser alguns dos principais titulares dos dados pessoais tratados nas escolas, e, por estarem em período de formação, tendem a estar menos cientes dos riscos, consequências e cautelas relacionados ao uso dos seus dados pessoais. Por essa razão, são mais suscetíveis a exposições indevidas, mensagens enganosas ou publicidade excessiva, sobretudo em um contexto de maior inserção de tecnologias no seu cotidiano, tanto para as atividades educacionais quanto para o lazer.
2) Por que escolas públicas ou privadas precisam estar a par da LGPD?
Sofia Franco: Algumas das principais atividades desenvolvidas no cotidiano das escolas, independentemente de serem públicas ou privadas (como controle de acesso, registros de presença, notas e condições de saúde de alunos, avaliação de desempenho de docentes e demais profissionais) envolvem o tratamento de dados pessoais (como nome, documento de identificação, informações de contato, dentre outros). Assim, ao estarem a par da LGPD, as escolas possuem maiores chances de realizar de forma adequada essas atividades de tratamento de dados que são fundamentais para a prestação dos seus serviços.
3) Quais cuidados as escolas precisam ter para coletar, usar, compartilhar, armazenar e eliminar os dados?
Carlos Affonso Souza: Dados pessoais possuem um ciclo de vida dentro das entidades, que se inicia com a sua coleta. Na coleta é importante prestar atenção nas informações que são prestadas aos titulares sobre quais dados estão sendo coletados, qual a finalidade dessa coleta e o regime de uso e compartilhamento dos mesmos. A informação sobre a coleta de dados pode ocorrer por meio de uma política de privacidade, em uma cláusula contratual, nos formulários de matrícula ou por meio de qualquer aviso na plataforma educacional ou site.
No uso dos dados pessoais, vale sempre manter estrita compatibilidade com as finalidades informadas no momento da coleta. Uso de dados pessoais de maneira que vai além da finalidade informada (e sem qualquer base legal que a justifique) é uso indevido de dados e pode gerar responsabilidade.
Uma outra preocupação importante com o uso dos dados é a dinâmica de credencial de acesso. Em uma escola, é comum que funcionários diversos tenham acesso à base de dados contendo informações pessoais de alunos, responsáveis e docentes. A restrição de quem pode ter acesso a qual parte da base de dados é um procedimento importante para prevenir incidentes de segurança, como o vazamento de dados.
O compartilhamento de dados pode ocorrer entre entidades públicas para os fins de execução de políticas públicas educacionais. Essa permissão de compartilhamento já se encontra na LGPD. Quando o compartilhamento ocorrer com entidades privadas vale sempre se perguntar se essa atividade foi informada na política de privacidade ou qualquer outro termo contratual celebrado com o titular.
No entanto, não é necessário detalhar exatamente com qual empresa o dado poderá ser compartilhado, mas é sugerido que a área de atuação dessas empresas e a finalidade do compartilhamento seja indicada. Por exemplo, se uma terceira empresa vai rodar a folha de pagamento dos professores da escola, essa empresa terá acesso a dados pessoais. Vale deixar claro no contrato com os docentes que poderá ocorrer o compartilhamento de dados com terceiros para a finalidade de processamento dos pagamentos devidos. Outras bases legais poderiam também ser cogitadas para ancorar esse compartilhamento de dados (como a execução do contrato), mas a menção na política de privacidade ou no contrato de trabalho deixa isso ainda mais claro.
Por fim, o armazenamento de dados traz também questionamentos próprios. Como muitas escolas usam serviços em nuvem e os mesmos acabam hospedando dados no exterior, vale colocar um alerta nas políticas de privacidade e nos contratos de que os dados pessoais podem vir a ser hospedados lá fora. Uma revisão dos padrões de segurança de armazenamento de dados também é bastante importante em tempos em que vemos tantos vazamentos de dados sendo noticiados. Vale ainda prestar atenção para a política de descarte de dados. Vale questionar até quando o dado pessoal precisa ser armazenado e quando ele já cumpriu a sua finalidade e pode ser descartado (ou mesmo anonimizado para gerar estudos estatísticos).
4) Escolas podem compartilhar dados pessoais de estudantes com empresas parceiras, como fornecedores de material escolar e ursos de idiomas? Se eles fizerem isso sem o consentimento dos pais o que pode acontecer?
Sofia Franco: A LGPD não proíbe o compartilhamento de dados pessoais de estudantes, por parte das escolas, com empresas parceiras, desde que o compartilhamento desses dados em particular ocorra de acordo com uma finalidade legítima e devidamente informada ao titular desses dados (ex.: por meio de documentos como políticas de privacidade). Já o consentimento dos pais para compartilhar dados pessoais de estudantes com empresas parceiras será necessário se o dado pessoal a ser compartilhado foi originalmente coletado mediante consentimento.
5) Escolas precisam compartilhar dados com os órgãos públicos para título de avaliação e implementação de políticas públicas. Será necessário pedir autorização dos pais a partir de agora?
Sofia Franco: “Nos casos em que as escolas precisem compartilhar dados pessoais dos alunos com órgãos públicos para fins de implementação de políticas públicas (como políticas assistenciais no setor educacional, políticas relacionadas ao transporte escolar, políticas de representatividade, dentre outras), o consentimento dos pais ou representantes legais dos alunos não é necessária. Isso porque a LGPD apresenta uma série de hipóteses autorizativas para o tratamento de dados pessoais (como o consentimento, a obrigação contratual, a execução de políticas públicas, dentre outras), de modo que o consentimento parental só será necessário quando não houver outra hipótese que permita esse tratamento de acordo com a LGPD.”
6) Como deve ser feita a fiscalização dos dados coletados por plataformas e aplicativos educacionais ?
Carlos Affonso Souza: A LGPD não é uma lei voltada apenas para a Internet. A sua aplicação alcança o tratamento de dados ocorrido dentro e fora da rede. Sendo assim, o período de pandemia da Covid-19, com a digitalização forçada de muitas atividades, inclusive as de ensino, fez com que uma série de novos dados passassem a ser coletados e usados, como IP de conexão, imagem de webcams etc. É importante que o gestor de uma escola procure conhecer os termos de privacidade e as condições de uso das plataformas educacionais que venha a utilizar justamente para que possa decidir pela adoção de ferramenta que seja útil na dinâmica de aprendizado, mas que também mantenha íntegra a proteção de dados de alunos e docentes.
7) Se os pais decidem trocar a criança de escola, por exemplo, eles podem pedir que dados coletados da criança sejam apagados?
Flávia Parra: É possível que pais ou responsáveis legais demandem que os dados coletados sejam apagados. De modo geral, a exclusão faz parte do ciclo de vida dos dados. É importante que o prazo de armazenamento seja definido pela gestão ou que sejam respeitados os determinados legalmente, se aplicáveis. Em relação a imagens de câmeras de segurança, é recomendável que essas sejam apagadas de maneira constante, não excedendo o período de cerca de um mês, por exemplo. Isso porque, de forma geral, um prazo curto de armazenamento já seria suficiente para verificações em caso de incidentes. Por fim, não podem ser apagados os dados que ainda tenham finalidades a cumprir em razão da coleta ou que tenham um armazenamento decorrente de obrigações legais (ex.: manutenção de registros de estudantes por determinação do Ministério da Educação).”
8) Quais são os riscos que a escola corre ao não cumprir a LGPD? Paga multa? Pode ter a licença suspensa?
Flávia Parra: No caso de instituição pública, as sanções poderiam envolver advertência e publicização da infração (depois de apurada e confirmada), bloqueio e eliminação dos dados pessoais envolvidos na infração, além de suspensão parcial do banco de dados. Também pode ser determinada a suspensão da atividade de tratamento dos dados pessoais e a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. No caso de instituição privada, todas as sanções descritas anteriormente poderiam ser aplicadas, com o acréscimo das seguintes: multa diária e multa simples, de até 2% do faturamento.
Além disso, embora a ANPD (Autoridade Nacional de Proteção de Dados, órgão introduzido pela LGPD e responsável pela fiscalização do cumprimento da lei) ainda não tenha sido instituída por completo, é possível que a LGPD seja usada como fundamentação em demandas judiciais que envolvam danos relacionados ao tratamento indevido de dados pessoais.
Mesmo quando não houver sanções administrativas ou judiciais, o tratamento de dados em desconformidade com a LGPD pode ainda acarretar em danos reputacionais para as instituições de ensino, podendo prejudicar as suas parcerias comerciais e mitigar a confiança dos pais e alunos.
Manual de Proteção de Dados para Gestores e Gestoras Públicas Educacionais