Depois de quase 2 anos de pandemia, muitas escolas, sejam públicas ou privadas, estão retornando às aulas no modelo híbrido ou, até mesmo, totalmente presencial. Os cuidados sanitários têm sido a maior preocupação destas importantes instituições e com total razão. Entretanto, muitas se esqueceram que, no dia 18 de setembro de 2020, a Lei Geral de Proteção de Dados (“LGPD”) se tornou efetiva em todo o território nacional.
Infelizmente, muitas escolas não se preocuparam com a implementação de um programa de LGPD, pois a preocupação era como manter os alunos estudando durante este triste período da história brasileira. Muitos pais, devido ao trabalho remoto, tiveram mais acesso à informação sobre LGPD, pois seus empregadores resolveram implementar a Lei. Mas, não fizeram a correlação sobre a necessidade das escolas de seus respectivos filhos também estarem aderentes a referida legislação.
Quando falamos de crianças/adolescentes e privacidade de dados, todo o cuidado é pouco. Existem situações tenebrosas de pedofilia e bullying nas redes sociais. Imaginem se as imagens de seus filhos forem parar na “dark web” onde não existe qualquer controle sobre o que podem ser realizadas com as mesmas? O perigo é extremamente alto para as crianças/adolescentes neste momento.
Quando falamos em escolas, existem situações de biometria e gravações de imagens, até para o monitoramento dos pais quando estes estão trabalhando e querem ter a certeza que seus filhos estão sendo bem cuidados e em segurança. Portanto, os pais devem cobrar das escolas que a coleta, tratamento e armazenamento dos dados de seus filhos estejam aderentes a LGPD e tenham a garantia que não serão “hackeados” ou “vazados” por erro ou intencionalmente por um colaborador da escola.
As escolas devem implementar imediatamente um programa de LGPD e devem focar nas seguintes atividades abaixo descritas, com o objetivo de prover um ambiente seguro e saudável para seus alunos e colaboradores:
1. Mapeamento de Impacto de Riscos de Privacidade de Dados;
2. Análise de softwares existentes na instituição;
3. Arquivos físicos; o processo de guarda e segurança destes documentos;
4. Dados pessoais existentes em sua base de dados;
5. Fluxo de vida dos dados pessoais na instituição: coleta, uso, armazenamento, eliminação e compartilhamento com terceiros;
6. Avaliação de circuitos de CFTV e trânsito dos dados veiculados nesse circuito;
7. Identificação de dados sensíveis e de menores;
8. Bases legais utilizadas pela instituição atualmente para justificar o tratamento desses dados pessoais;
9. Identificação de vulnerabilidades de tecnologia (redes, antivírus, firewalls, licenciamento de softwares, atualizações, dentre outros);
10. Processos de segurança da informação existentes na instituição;
11. Processos de comunicação das informações de alunos com órgãos públicos;
12. Existência de Políticas internas de privacidade e segurança da informação;
13. Treinamento de colaboradores sobre privacidade e a importância dos dados pessoais.
Todo o processo de implementação deve ser feito como metodologia para que eventual fiscalização da Autoridade Nacional de Proteção de Dados (“ANPD”), órgão criado pela lei para regulamentar, fiscalizar e punir as empresas, onde se incluem as escolas, que violem a lei e suas normas, em caso de eventual fiscalização espontânea ou mesmo em caso de alguma denúncia e/ou de algum incidente de insegurança.
Ademais, a LGPD define que para menores de 18 anos, o consentimento para tratamento de dados deverá ser realizado através de específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal em consonância com os princípios definidos no Estatuto da Criança e do Adolescente, que definem as regras de proteção aos menores de idade no Brasil.
Outro ponto relevante, seriam as informações consideradas “sensíveis” pela LGPD, pois as escolas coletam dados de saúde, biometria e imagens, dentre outras, dos alunos. Dados biométricos são dados de grau máximo de proteção em segurança da informação e não devem ser exigidos, entregues e utilizados sem um fundamento absolutamente relevante.
Segurança da escola é questão da escola, não pode ser realizado com base em dado pessoal da criança. Está no risco da atividade e deve ser calculado e gerido pelo seu gestor de forma eficaz, sem depender da utilização de dados sensíveis do cidadão. O vazamento de uma informação com esse potencial destrutivo para a vida de um ser humano indefeso pode ser fatal para o seu desenvolvimento como pessoa e certamente será alvo de punições exemplares pela ANPD e pela Justiça.
Sendo assim, pais tomem a frente e busquem por escolas que, de fato, respeitam e protegem os dados pessoais de seus filhos. Afinal, não estamos diante apenas de uma relação consumerista, mas de um direito de todos os cidadãos brasileiros.
Artigo: Patricia Punder
Patricia Punder, advogada, é compliance officer com experiência internacional. Professora de Compliance no pós-MBA da USFSCAR e LEC – Legal Ethics and Compliance (SP). Uma das autoras do “Manual de Compliance”, lançado pela LEC em 2019 e Compliance – além do Manual 2020.
Com sólida experiência no Brasil e na América Latina, Patricia tem expertise na implementação de Programas de Governança e Compliance, LGPD, ESG, treinamentos; análise estratégica de avaliação e gestão de riscos, gestão na condução de crises de reputação corporativa e investigações envolvendo o DOJ (Department of Justice), SEC (Securities and Exchange Comission), AGU, CADE e TCU (Brasil).
Artigo publicado no Jornal WebDigital, outubro/21.