Escolas, creches, universidades, master franqueadoras do ramo da educação, editoras de livros pedagógicos, assim como as demais empresas brasileiras, têm até 16 de agosto de 2020 para estarem adequadas à Lei Geral de Proteção de Dados Pessoais (LGPD).
De antemão, é possível afirmar que dificilmente haverá, em agosto de 2020, uma instituição de ensino - empresas objeto deste artigo - 100% adequada à lei.
Isso porque os programas de adequação são complexos e demandam a análise de uma série de questões, destacando-se dentre as mais importantes:
- Análise de softwares existentes na instituição;
- Arquivos físicos; o processo de guarda e segurança destes documentos;
- Dados pessoais existentes em sua base de dados;
- Fluxo de vida dos dados pessoais na instituição: coleta, uso, armazenamento, eliminação e compartilhamento com terceiros;
- Avaliação de circuitos de CFTV e trânsito dos dados veiculados nesse circuito;
- Identificação de dados sensíveis e de menores;
- Bases legais utilizadas pela instituição atualmente para justificar o tratamento desses dados pessoais;
- Identificação de vulnerabilidades de tecnologia (redes, antivirus, firewalls, licenciamento de softwares, atualizações, dentre outros);
- Processos de segurança da informação existentes na instituição;
- Processos de comunicação das informações de alunos com órgãos públicos;
- Existência de Políticas internas de privacidade e segurança da informação;
- Treinamento de colaboradores sobre privacidade e a importância dos dados pessoais;
Não é preciso esforço excessivo para se notar, portanto, que um processo de adequação realizado com a seriedade e detalhamento exigido pela LGPD, não se desenvolve em menos de dezoito a vinte e quatro meses.
Esse prazo leva em conta as dificuldades de qualquer trabalho realizado em um ambiente escolar, dado o enorme fluxo de pessoas e alunos, bem como ao fato de que para que a instituição esteja compliant, em um reação em cadeia ela terá que avaliar as políticas de segurança e tratamento de dados pessoais realizados por parceiros de negócio, como franqueadores, fornecedores, órgãos governamentais, dentre outros.
Portanto, o trabalho inicial deverá estar focado no mapeamento dos dados pessoais e do seu ciclo de vida dentro da instituição, visando identificar os riscos mais elevados no processo de tratamento de dados.
Diante da limitação temporal, a instituição deverá atacar por primeiro os riscos de maior grau de impacto e possibilidade de ocorrência, para os de menores riscos, sucessivamente.
Isso deve ser feito como metodologia para que eventual fiscalização da Autoridade Nacional de Proteção de Dados (ANPD), órgão criado pela lei para regulamentar, fiscalizar e punir as empresas que violem a lei e suas normas, em caso de eventual fiscalização espontânea ou mesmo em caso de alguma denúncia e/ou de algum incidente de insegurança, tenha a visão de que a empresa foi prudente e tomou as precauções que estavam à sua disposição, por questões de tempo e financeiro, para atender aos ditames da lei.
Essa metodologia e os trabalhos deverão constar de registros próprios como forma de demonstração do que se pensou e o que está sendo executado para proteção dos dados pessoais.
Aliás, um parênteses a ser feito aqui, todo tratamento de dados pessoais deve ser constantemente registrado por meio de logs, que permitam identificar efetivamente quais dados e como foram tratados.
Feito esse registro, as instituições de ensino, devem se ater a dois pontos relevantíssimos:
1. Aquelas que tratam de dados pessoais de crianças e adolescentes, devem proceder de acordo com o previsto no artigo 14 da LGPD;
A LGPD determina que a instituição de ensino neste caso que o tratamento de dados pessoais de crianças e adolescentes somente poderão ocorrer no seu melhor interesse, com consentimento específico e destacado por pelo menos um dos pais e/ou responsável.
Ao dispor textualmente que o tratamento de crianças somente se darão por consentimento específico, parece mais ou menos óbvio que estão excluídas algumas outras bases de tratamento desses dados pessoais, como por exemplo o legítimo interesse.
Da mesma forma, parece ter optado o legislador por exigir esse consentimento específico apenas de responsáveis por crianças menores de 13 anos de idade.
Quanto aos adolescentes bastará o consentimento informado.
Apenas para deixar claro, o consentimento específico, é mais restritivo que o consentimento informado, e ocorrerá como bem leciona Caio César Carvalho Lima (1), quando, "antes da coleta dos dados, no contrato, houver, na política de privacidade ou em outro documento relacionado, houver detalhamento sobre o ciclo de vida do tratamento dos dados pessoais, com referência objetiva e clara sobre todos os limites e as finalidades em relação aos quais os dados serão tratados, inclusive sendo granular, cabendo ao usuário a seleção sobre o tratamento que deseja efetivamente autorizar".
Importante registrar que a instituição de ensino que trata dados de crianças e adolescentes deverão informar publicamente o tipo e forma de utilização de dados pessoais, bem como os direitos do titular desses dados e como poderá exercê-los.
Entre esses direitos estão: o direito à informação, correção, apagamento, anonimização dos seus dados pessoais.
A própria lei cuida de apontar a exceção a essa rigidez, ao abrir uma exceção para a coleta de dados pessoais de uma criança sem o consentimento específico, quando for necessária para entrar em contato com pai ou responsável. Entretanto, essa coleta somente poderá ocorrer se os dados forem utilizados uma única vez e sem que haja o seu armazenamento.
Aqui uma crítica a essa parte da lei, pois, a redação permite conclusões equivocadas. Ao meu ver, a referência a dados aqui não são de contato ou identificação da criança, mas relativos a situações que permitam a sua identificação e, que, após reportada aos pais, deverá simplesmente sequer ser armazenada pela escola.
2. Outro ponto relevante diz respeito ao tratamento de dados sensíveis:
Frequentemente escolas e demais instituições de ensino coletam informações pessoais consideradas sensíveis pela LGPD, como dados de saúde, biometria, fotografias, dentre outros.
Esses dados, assim como os dados de criança tratados acima, também exigem consentimento específico.
Além do consentimento específico, a escola deverá dispor de uma política específica para justificar o tratamento desses dados, bem como o seu armazenamento.
Tem sido comum verificar instituições valendo-se de reconhecimento biométrico de alunos para controle de acesso e freqüência.
Dados biométricos são dados de grau máximo de proteção em segurança da informação e não devem ser exigidos, entregues e utilizados sem um fundamento absolutamente relevante.
Segurança da escola é questão da escola, não pode ser realizado com base em dado pessoal da criança. Está no risco da atividade e deve ser calculado e gerido pelo seu gestor de forma eficaz, sem depender da utilização de dados sensíveis do cidadão.
A escola deverá desenvolver meios de controle e segurança eficazes, que resolvam esse problema cotidiano, que tanto afligem toda a nossa sociedade.
Com um dado sensível desse mal gerido e armazenado sem segurança, sob o pretexto da segurança patrimonial e da integridade das crianças e colaboradores da escola, pais e responsáveis, sem saber, poderão estar entregando para hackers e pessoas mal intencionadas informações que poderão expor e causar danos aos menores pelo resto da sua vida.
Dados de saúde, também, devem ter atenção específica por parte das escolas. A política de privacidade interna deverá prever como serão armazenados, quando e por quem poderão ser acessados, para evitar que crianças e adolescentes sejam vítimas de discriminação por quem quer que seja, no caso de serem portadoras de uma doença grave, por exemplo.
O vazamento de uma informação com esse potencial destrutivo para a vida de um ser humano indefeso pode ser fatal para o seu desenvolvimento como pessoa e certamente será alvo de punições exemplares pela ANPD e pela Justiça.
Trago para reflexão, como importante fonte para entendimento da condução do processo de adequação à lei de proteção de dados, um guideline da ICO (2) (autoridade inglesa de proteção de dados) uma das maiores referências no tema, que ao tratar dos dados pessoais infantis recomenda:
- As crianças precisam de proteção especial quando você coleta e processa seus dados pessoais, porque eles podem estar menos conscientes dos riscos envolvidos.
- Se você processar os dados pessoais das crianças, deve pensar na necessidade de protegê-los desde o início e projetar seus sistemas e processos com isso em mente.
- A conformidade com os princípios de proteção de dados e, em particular, com a justiça deve ser fundamental para todo o processamento de dados pessoais das crianças.
- Você precisa ter uma base legal para processar os dados pessoais de uma criança. O consentimento é uma base legal possível para o processamento, mas não é a única opção. Às vezes, usar uma base alternativa é mais apropriado e oferece melhor proteção para a criança.
- Se você está confiando no consentimento como sua base legal para o processamento, ao oferecer um serviço on-line diretamente a uma criança, no Reino Unido somente crianças de 13 anos ou mais podem fornecer seu próprio consentimento.
- Para crianças abaixo desta idade, você precisa obter o consentimento de quem detém a responsabilidade parental do filho - a menos que o serviço online que você oferece seja um serviço preventivo ou de aconselhamento.
- Os filhos merecem proteção específica quando você usa seus dados pessoais para fins de marketing ou cria personalidade ou perfis de usuário.
- Normalmente, você não deve tomar decisões com base exclusivamente no processamento automatizado de crianças, se isso tiver um efeito legal ou similar significativo sobre elas.
- Você deve escrever avisos de privacidade claros para as crianças, para que elas possam entender o que acontecerá com seus dados pessoais e os direitos que eles têm.
- As crianças têm os mesmos direitos que os adultos em relação aos seus dados pessoais. Estes incluem os direitos de acesso aos seus dados pessoais; solicitar retificação; objeto de processamento e ter seus dados pessoais apagados.
- O direito individual de apagar é particularmente relevante se eles deram seu consentimento ao processamento quando eram crianças.
Apesar de ser uma guideline da autoridade inglesa de proteção de dados (ICO), a nossa lei, que foi inspirada na lei européia, não foge desses mesmos requisitos que devem ser observados para que se tenha uma plena adequação à LGPD.
Por fim, um assunto que tem dominado algumas discussões que pude presenciar em minha recente estada na Europa para um processo de certificação em Proteção de Dados, diz respeito à divulgação de notas dos alunos em ambiente público da escola, como num mural no pátio, por exemplo.
Por aquelas terras há entendimentos para os dois lados, de que configuraria violação da proteção aos dados pessoais, como para o lado de que não se trataria de violação da lei.
Por aqui, tendo a me filiar a essa segunda corrente, de que não configuraria violação à LGPD, até porque há um dever de informação entre os pares daquela instituição, sobre como se dá, de modo transparente o processo de avaliação de todos os alunos.
O tempo, a experiência da LGPD e a regulação por parte da ANPD, por aqui, dirão como deveremos proceder. É aguardar para ver.
????????????-
Autor: Marcelo Augusto Fattori. Advogado em Direito Digital e Proteção de Dados.
????????????-
Notas de Rodapé e Explicativas:
(1) LIMA, Caio Cesar Carvalho; MALDONADO, Viviane Nóbrega(coord.); BLUM, Renato Opice. (coord.) Lei Geral de Proteção de Dados Comentada. Revista dos Tribunais. São Paulo. 2018. p. 209;
