LGPD nas escolas e universidades: como adequar minha instituição de ensino?

Raíssa Prioste / Direito Digital, LGPD
28 fevereiro, 2020

Já falamos anteriormente sobre a importância de adequar sua empresa à LGPD, e também já demos um pontapé inicial em como dar início a esse processo de adequação

Este artigo, porém, abordará a Lei Geral de Proteção de Dados tendo em vista um tipo específico de empresa: as instituições de ensino. Por quais ajustes as escolas e universidades deverão passar para estarem conformes à nova lei?

Ao fim e ao cabo, todas as empresas serão de algum modo atingidas pela LGPD, mas tratando-se de instituições de ensino, o impacto será significativamente maior.

Isso, porque a atividade de tais empresas depende diretamente do tratamento de dados de seus clientes, os alunos. Caso você não se lembre no que consiste o tratamento de dados, neste artigo abordamos o tema.

Dentre os dados próprios às instituições de ensino, podemos citar o desempenho (bom ou mau) nas avaliações, o relatório de presença (por lista de chamada e/ou por catraca eletrônica), a lista de ocorrências (advertências, recuperações, mau-comportamento) e as láureas (ou louvores) concedidas, sempre tendo em vista o estudante enquanto titular dessas informações.

Não raro, as instituições ainda precisam tratar de dados sensíveis dos alunos, que envolvem, por exemplo a religião (para que seja respeitada a crença do aluno matriculado em escolas religiosas), a saúde (para evitar reações alérgicas a algum medicamento da enfermaria) e até mesmo as convicções filosóficas ou religiosas (no caso de restrição alimentar que exija cardápio especial).

Dito isso, portanto, para adequar sua escola à LGDP, é preciso em primeiro lugar

1| Realizar um mapeamento de todos os dados tratados

A ideia neste passo é responder às seguintes perguntas: os dados são pessoais, ou pessoais sensíveis? Quem, dentro da instituição, os utiliza? Como, e por quem, é realizada a coleta? Por quanto tempo os dados serão mantidos? Como serão eliminados? Quem se responsabiliza por seu processamento? Qual é a finalidade do tratamento? Quais dados são essenciais à prestação do serviço, e quais são suplementares? 

O segundo passo (e aqui entramos propriamente no grande diferencial das escolas e universidade em relação às demais empresas) é 

2| Dividir os alunos em grupos: crianças menores de 12 anos, adolescentes entre 12 e 17 anos, e maiores de 18 anos

Tratando-se de uma instituição de ensino com alunos menores, a situação é mais delicada.

O tratamento de qualquer dado da criança (até 12 anos) deverá ter consentimento de um dos pais ou responsáveis – o mesmo já não ocorre com adolescentes (12 a 17 anos), cuja autorização para armazenamento se faz necessária somente para os dados sensíveis. 

É claro que, no que concerne alunos maiores de idade (mais de 18 anos), caberá a eles próprios fornecer o consentimento, quando necessário.

Essa proteção especial que a LGPD concede às crianças e adolescentes torna, inclusive, obrigatório que as informações sobre o tratamento sejam fornecidas de maneira simples, clara e acessível, considerando justamente as capacidades da criança ou do adolescente. É dizer: nada de longos termos de uso, ou de letras pequenas e termos desnecessariamente técnicos.

Essa etapa é também essencial para que sejam definidas as bases legais do tratamento, isto é, as “justificativas” que a instituição de ensino terá para tratar cada dado específico.

Uma vez identificados os dados e seus titulares, e definidas as bases legais, agora é a hora de…

3| Treinar a equipe, definir as estratégias e traçar medidas específicas

A adequação é um processo – por isso, não espere passar por ela em poucas semanas. Todos os funcionários e professores deverão receber treinamento e orientações para se inserirem no fluxo de adaptação à LGPD.

Ainda quanto aos professores, não raro eles trabalham em mais de um colégio ou universidade, detendo, assim, posse de dados (às vezes, sensíveis) sobre os mais diversos alunos. Sendo o caso, seria interessante implementar acordos de confidencialidade (e responsabilidade) na relação escola x professor.

Outro passo importante é a contratação de um DPO (Data Protection Officer), a pessoa encarregada em fazer a ponte entre os alunos, a instituição de ensino e a Autoridade Nacional de Proteção de Dados (ANPD). Neste artigo, nós demos cinco dicas muito úteis na contratação de um DPO.

Ainda, as instituições de ensino ficarão responsáveis por incidentes com os dados de alunos causados por terceiros contratados (empresas de transporte, de turismo, de cursos complementares etc.), considerado o compartilhamento.  Assim sendo, é importantíssimo estabelecer, no contrato com tais empresas, cláusulas bastante claras quanto às obrigações e responsabilidades pelos dados compartilhados.

E, é claro, como não poderia deixar de ser, a entrada em vigor da LGPD ocasionará a necessidade de alterações consideráveis nos contratos de prestação de serviços educacionais, nas fichas de matrículas e nos demais documentos firmados entre as instituições de ensino e os alunos, pais ou responsáveis legais.

COMPARTILHAR

Quer receber conteúdos exclusivos da Moreira Suzuki Advogados por e-mail? Cadastre-se!