A área educacional poder ser uma excelente parceira quando falamos sobre privacidade e proteção de dados pessoais. Nada melhor do que instituições de ensino superior, que tem por objetivo instruir, para ajudarem a disseminar a cultura de privacidade.
Se na lei Geral de Proteção de Dados Pessoais (LGPD) – lei 13.709/18 tivesse um artigo específico sobre educação, com prazos e diretrizes, seria bem mais simples, certo? Pois é, mas não há, então, precisamos atuar com a realidade das instituições, de forma a cumprir o que estabelece a lei.
Então, avaliemos, alguns pontos: Quais dados pessoais têm sido solicitados para as matrículas? Como esses dados são armazenados? Há alguma transferência internacional? Quem tem acesso aos dados de alunos e docentes? Todos os fornecedores foram analisados, do ponto de vista de privacidade?
Pois é, há milhões de questões que precisam ser respondidas, a fim de criar um ambiente seguro. Diante de tudo isso, é fundamental entender o cenário da instituição e pensar de forma preventiva, evitando incidentes de segurança e violações de dados pessoais.
Claro que há diversas ações a serem tomadas, todavia, podemos pensar, inicialmente em: nomear um DPO (Data Protection Officer), mapear todos os processos que envolvem dados pessoais, verificar como são feitos os armazenamentos e se há tabela de temporalidade, entender se houve algum tipo de conscientização, dentre outras.
E de forma mais específica e prática? Vejamos:
Como você está captando alunos? Qual hipótese de tratamento está sendo utilizada? Porque veja, disparar e-mails marketing “a torto e a direito”, sem o consentimento do titular ou, sem a possibilidade de opt-out, vai de encontro ao que dispõe a LGPD.
Nada impede a realização de marketing, no entanto, a ação precisa ser realizada de forma correta. Quando a instituição recebe dados para a realização do vestibular ou para matrícula, por exemplo, o objetivo é a inscrição no vestibular ou no curso e não receber diversas propagandas. Caso isso aconteça, ocorrerá um desvio de finalidade.
E como é feito o acesso à instituição? É utilizada a impressão digital? É utilizado o famigerado reconhecimento facial? Pois é muito cuidado, pois ambos são dados pessoais sensíveis e precisam de extrema cautela quando do seu tratamento.
É imperioso, caso os dados acima sejam utilizados em algum momento, que haja uma justificativa para tanto (elabore um RIPD!), tal como haja controle de acesso e armazenamento seguros com relação aos dados sensíveis. E claro, a pergunta de sempre: “porque estou coletando esse tipo de dado”? E caso consiga justificar tal coleta, é essencial que haja uma guarda e um compartilhamento (quando necessário) corretos, eis que, qualquer incidente ou violação poderão trazer grandes prejuízos.
Com relação aos fornecedores, foi feita avaliação de terceiros? Os contratos foram atualizados com relação à LGPD e as legislações vigentes e aplicáveis? Essas ações são de suma importância, já que, quando se trata de responsabilidade, a lei estabelece:
“Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:
I - O operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador se equipara ao controlador, salvo nos casos de exclusão previstos no art. 43 desta lei;
II - Os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta lei”.
Note que, caso haja a contratação de um fornecedor que não esteja adequado à LGPD e ele cause algum problema, a instituição, como controladora, também responderá por isso.
Em suma: há diversos desafios a serem cumpridos, com o intuito de dar continuidade aos negócios, ter transparência com os titulares de dados, bem como atender aos requisitos da LGPD. E, já que tratamos aqui sobre o segmento educacional, pensamos mais longe: em nossa humilde opinião, privacidade deveria ser matéria escolar, devido ao tamanho de sua importância nas vidas de todos nós.
---------------------
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm