LGPD: como sua escola pode amenizar riscos e se adequar

Saiba como sua escola pode identificar os riscos e se adequar a lei com as dicas que preparamos neste artigo!

Por Marketing em 22 de setembro de 2020.

A lei brasileira, sancionada em agosto de 2018 e em vigor a partir de setembro de 2020, tem como inspiração a General Data Protection Regulation (GDPR), assinada em 2016 na União Europeia e, assim como o modelo estrangeiro, objetiva ampliar a segurança no tratamento de dados pessoais de usuários online.

Ambas as legislações preveem a implementação de medidas de segurança em empresas privadas e públicas que façam uso de informações pessoais para comercializar produtos e serviços.

Com a LGPD em vigência, passa a ser obrigatório que todas as empresas que lidam com dados particulares desde os mais simples — como nome, endereço, telefone — aos mais complexos — como informações bancárias — os protejam por meio de políticas internas.

Levando isso em consideração, as escolas também se enquadram, pois o tratamento de dados pessoais faz parte da rotina escolar, além de ser necessário o consentimento dos responsáveis quando envolve o tratamento de dados de crianças e adolescentes. 

Na prática, há algumas dicas básicas para estar em conformidade com a Lei Geral de Proteção de Dados, confira como sua escola pode iniciar este processo:

1. Conscientize sua equipe escolar
Não adianta contratar, formatar e gastar se a mentalidade da sua escola ainda está voltada à realidade do passado. 

O mais relevante de tudo é que toda a sua equipe leve a sério a necessidade de proteger os dados que a escola possui. Deve fazer parte da cultura interna o respeito às políticas de segurança para evitar que o mau uso de informações prejudique a escola.

2. Contrate uma assessoria para o mapeamento dos dados
Neste passo, é necessário mapear e classificar todos os dados – pessoais, sensíveis, necessários à finalidade escolar – armazenados na sua escola, assim como a existência ou não de consentimento de uso. 

É necessário identificar, ainda, a pessoa responsável do setor ou que o conheça bem para fazer o mapeamento de dados internos e externos, a existência de processos de proteção de dados e a análise de inconformidades e riscos. Mapeamento de dados é uma tarefa trabalhosa. Exige tempo e não existe mágica.

3. Defina um Comitê de Implementação 
É importante que a escola determine um time que deve ser treinado para responder pelo tratamento de dados. 

Eleger quem terá acesso às informações ajuda a prevenir falhas e a elaborar um plano de riscos em casos de vazamento de dados. Outra vantagem é garantir agilidade na apuração de possíveis erros e na correção deles. 

Desta forma, estes profissionais devem ter conhecimento sobre as normas e entender as medidas para ficar em conformidade com a Lei de Proteção de Dados.

4. Contrate uma assessoria jurídica 

Sua escola pode considerar a contratação de uma assessoria jurídica para adaptar e criar documentos e contratos com cláusula de proteção à privacidade. 

Toda Lei, principalmente as que surgiram recentemente, tem particularidades que requerem análises de especialistas para serem cumpridas efetivamente, a fim de evitar que erros de interpretação gerem prejuízos para a escola o ideal é possuir este amparo.

5. Defina quem será seu DPO (interno/externo)

Alinhado à capacitação de pessoal, está o desenvolvimento de um cargo que será responsável por verificar se a escola está de acordo com a LGPD, o Data Protection Officer (DPO), ou Diretor de Proteção de Dados, em tradução livre. 

Quem ocupar este cargo, além de ser o principal responsável pela proteção de dados, também será a ligação da escola com a Autoridade Nacional de Proteção de Dados (ANPD), órgão que fiscalizará a aplicação da lei no país.

É importante criar um canal de comunicação direto, que permita aos alunos, pais e responsáveis a ciência, a alteração ou a revogação do seu consentimento para tratamento de seus dados pessoais.

6. Treine o seu time
Normalmente justificado como ataque cibernético de hackers, a exposição das informações é, na maioria das vezes, simplesmente falha humana. Nem sempre existe a intenção de divulgar esses dados. 

Por isso, a melhor forma de evitar situações como essas é a capacitação. Treine a equipe que irá tratar os dados da sua escola, ensinando como devem ser feitos os procedimentos para garantir que tudo ocorra conforme exige a lei.

7. Organize seus documentos sobre proteção de dados
Para evitar que a escola seja pega de surpresa em uma eventual fiscalização, organize com muito cuidado seus documentos sobre proteção de dados.

O ideal é fazer uma classificação das informações. Separe-as de acordo com o nível de importância que possuem para sua escola, se certificando que cada categoria receba o nível de proteção que necessita. 

Nada de esquecer na impressora documentos que contenham informações confidenciais.

8. Defina a finalidade do tratamento
A LGPD exige que os dados coletados estejam em conformidade e proporcionalidade aos fins para os quais foram coletados.

Para isso recomendamos criar ou revisar a forma pelo qual os alunos, pais e responsáveis poderão conferir a finalidade do tratamento de seus dados pessoais, assegurando a possibilidade da revogação desse consentimento futuramente.

9. Direito dos titulares e Canal de comunicação
A Lei Geral de Proteção de Dados (“LGPD”) traz um capítulo dedicado aos direitos dos titulares, dentre os quais temos:

Confirmação da existência do tratamento: Como o próprio nome sugere, é o direito garantido ao titular de confirmar se a empresa (controladora ou operadora) realiza o tratamento de seus dados pessoais. 

Acesso aos dados: a lei garante aos titulares o direito de obter uma cópia de seus dados pessoais (dentre outras informações relacionadas). Assim como no caso da confirmação do tratamento, o titular pode requisitar o acesso em formato simplificado (ou seja, de forma imediata) ou em formato completo (com o prazo de 15 dias para atender à solicitação). 

Correção de dados incompletos, inexatos ou desatualizados: Também é garantido ao titular o direito à correção de dados incompletos, inexatos ou desatualizados, que consiste no direito de solicitar que os dados tratados sejam corrigidos ou atualizados.

Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade:  O titular tem o direito de pedir a anonimização, bloqueio ou eliminação, caso os dados pessoais tratados pela empresa se mostrem 1) desnecessários para a finalidade que justifica a realização do tratamento; 2) excessivos em relação ao necessário para alcance da finalidade; 3) em desconformidade, ou seja, caso não estejam sendo tratados para finalidades específicas ou o tratamento não seja justificável por nenhuma base legal.

Portabilidade dos dados a outro fornecedor de serviço ou produto:  É garantido ao titular o direito de solicitar o compartilhamento dos dados fornecidos à empresa, ou seja, a portabilidade dos dados a outro fornecedor de serviço ou produto. O formato padrão deverá ser definido pela ANPD. 

Eliminação dos dados pessoais tratados com o consentimento do titular:  Caso não deseje mais que seus dados pessoais sejam tratados pela empresa, o titular tem o direito de solicitar e eliminação de seus dados pessoais da base da empresa. É importante ressaltar, todavia, que esse direito não é absoluto: dados necessários para cumprimento de obrigação legal ou regulatória, bem como dados financeiros e outros tratados com finalidade legítima que transcende a vontade do titular não devem ser excluídos. Em hipótese de requisição desse direito, devem ser eliminados dados relacionados ao consentimento do titular, como para fins de marketing ou cadastro.

Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados:  É direito do titular saber com quem os seus dados estão sendo compartilhados. Aqui, temos presente o princípio da transparência. Ou seja: não adianta colocar informações amplas e genéricas como “compartilhado com terceiros”, “parceiros terão acesso aos dados pessoais”.

Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa:  Para que o consentimento seja considerado realmente livre, é necessário que a empresa dê a informação sobre a possibilidade de não fornecer consentimento. Junto a essa informação, devem ser apresentadas as consequências de não fornecer o consentimento, como possíveis prejuízos na experiência do usuário, menor customização, limitação de acesso a determinadas “áreas logadas” que necessitem desse consentimento, dentre outras. Aqui também vemos presente o princípio da transparência.

Revogação do consentimento:  O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado. É importante ressaltar que os tratamentos realizados anteriormente sob amparo desse consentimento retirado continuam válidos, até que haja expressa manifestação do titular pela eliminação de tais dados.

10. Ações básicas de segurança
Quando falamos em segurança, medidas mesmo aquelas que pareçam básicas ou irrelevantes, são imprescindíveis e devem ser praticadas no cotidiano escolar. 

Listamos abaixo algumas ações que você e sua equipe podem praticar para ampliar a segurança das informações:

  • Tenha cuidado durante a utilização e criação de senhas;
  • Certifique-se de não estar sendo observado ao digitar senhas;
  • Não forneça suas senhas para outra pessoa, em hipótese alguma;
  • Habilite, quando disponível, as notificações de login, pois assim fica mais fácil perceber se outras pessoas estiverem utilizando indevidamente o seu perfil;
  • Use sempre a opção de logout para não esquecer a sessão aberta;
  • Mantenha o computador seguro, com os programas atualizados e com todas as atualizações aplicadas (Anti-virus, firewall, packs de segurança);
  • Desconfie de mensagens recebidas, mesmo que tenham vindo de pessoas conhecidas, pois elas podem ter sido enviadas de perfis falsos ou invadidos;
  • Seja cauteloso ao acessar links reduzidos. Há sites e complementos para o seu navegador que permitem que você expanda o link antes de clicar sobre ele;
  • Certifique-se de utilizar serviços criptografados quando o acesso a um site envolver o fornecimento de senha;
  • Procure manter sua privacidade, reduzindo a quantidade de informações que possam ser coletadas sobre você;
  • Caso seu dispositivo permita o compartilhamento de recursos, desative esta função e ative somente quando necessário, usando senhas difíceis de serem descobertas.

11. Conte com a tecnologia
A escola possui a responsabilidade de proteger todos os dados coletados e a tecnologia pode ser uma grande aliada nessa tarefa. 

Quando as informações são armazenadas em planilhas e arquivos gigantes com pilhas de papéis, a escola corre um grande risco de danificar, perder e até mesmo causar um vazamento de dados. 

Para evitar esse tipo de problema e garantir a integridade das informações, o ideal é contar com um software de gestão que armazene tudo de forma online e segura.

Enfim, há uma série de medidas a serem praticadas para cumprir as determinações da lei, se você ficou com dúvida em algum conceito, confira nosso material sobre LGPD: uma introdução ao que sua escola precisa saber sobre a lei

Marketing / Analista de Marketing

Atualmente é Analista de Marketing, com mais de 04 anos de experiência na área da comunicação, faz parte do time da Sponte há 1 ano.