Como a LGPD se aplica às instituições de ensino

Escolas e universidades lidam com os dados de centenas (e até milhares) de pessoas diariamente. Alunos, pais e professores fazem matrículas, cadastros, requisições, além dos uploads de trabalhos nos sistemas das instituições de ensino.

Com a proximidade da vigência da Lei Geral de Proteção de Dados (LGPD), é preciso que as escolas e universidades se atentem à forma com que lidam com os dados pessoais de todos da comunidade acadêmica. Exemplos de dados pessoais são CPFs, endereços, notas, informações financeiras e tudo o que pode ser ligado a uma pessoa.

 

Fornecimento de dados por legítimo interesse

Quando o assunto são as leis de proteção de dados, muito se fala sobre consentimento. De fato ele é essencial quando falamos de lojas virtuais e sites que coletam informações dos usuários. Porém, no caso das instituições de ensino, existe o fato de que o fornecimento de dados se dá por legítimo interesse e também por necessidade para que a matrícula possa ser efetuada. Então, o foco deve ser menos obter o consentimento das pessoas e mais manter a transparência no processo de coleta e uso dessas informações pessoais.

 

Cuidado no uso das novas tecnologias

É cada vez mais comum que as universidades utilizem tecnologias como a inteligência artificial no dia a dia. Exemplo delas são o reconhecimento facial, os sistemas biométricos, as estatísticas de desempenho, as senhas de acesso, entre outros. O recomendado, claro, não é que se use menos essas ferramentas, mas que haja formas de proteção. A partir de agosto de 2020, quando a LGPD entrar em vigor, todos os dados pessoais devem ser protegidos e a comunidade acadêmica deve estar ciente de quais informações são coletadas e para qual fim.

 

Como as instituições podem se adequar

O primeiro passo é ter uma equipe dentro da escola ou universidade que se encarregue de conhecer bem a lei e procurar os melhores métodos de proteção de dados pessoais. Essa equipe deve ser multidisciplinar, envolvendo o setor jurídico, acadêmico, de tecnologia, de marketing e recursos humanos.

Deve-se ter de forma clara quais as informações que são coletadas, para que elas servem e por quanto tempo ficam na base de dados da instituição de ensino. Também deve-se ter em consideração que dados de crianças e adolescentes devem ser coletados com a autorização de responsáveis. Para crianças menores de 12 anos, nenhuma informação deve ser coletada sem o consentimento dos pais. Já no caso de adolescentes até 18 anos, a autorização dos pais deve ser obtida apenas para a coleta de dados sensíveis. A partir dos 18 anos, o aluno é quem decide quais informações deseja compartilhar.

A próxima etapa, então, é gerar o relatório de impacto à proteção de dados pessoais, documento que pode vir a ser requisitado pela Agência Nacional de Dados (ANPD). A agência é o órgão que será responsável por aplicar as multas por uso incorreto dos dados, que podem chegar a 2% do faturamento da instituição. Além das multas, existem outras sanções, como as advertências formais e o bloqueio dos dados referentes à infração.

Pontos que as instituições de ensino devem prestar atenção:

  • – Os alunos, responsáveis e professores devem autorizar ou não a coleta de informações, além de saber quais dados estão sendo coletados e para quais objetivos;
  • – Deve haver meios para que os alunos, responsáveis e professores solicitem a exclusão de informações pessoais ou interrompam a coleta de dados;
  • – Cada pessoa deverá poder acessar, solicitar cópia ou migrar dados coletados para outras instituições de ensino;
  • – Deve haver o uso de linguagem clara para que qualquer pessoa possa compreender o que ocorre com os seus dados, incluindo os termos de privacidade;
  • – Em caso de vazamento ou violação de dados que podem ferir os direitos da comunidade acadêmica, a instituição deverá notificar as autoridades;
  • – É recomendado que a instituição proteja informações sensíveis ocultando-as ou substituindo-as de alguma forma para que a identificação da pessoa só seja possível com a adição de outros dados;
  • – As escolas e universidades terão, em alguns casos, que trabalhar com um Data Protection Officer (DPO), que irá supervisionar o tratamento de dados pessoais e prestar esclarecimentos à ANPD. 
Site da universidade também deve estar compliance

A coleta de dados pessoais já começa antes mesmo do aluno se matricular na universidade ou escola. Muitas instituições de ensino já pedem informações das pessoas interessadas no próprio site, para que possam enviar materiais e manter um relacionamento com a comunidade. 

Por isso, os sites de todas as instituições devem estar de acordo com a LGPD. Uma forma de começar o processo de adequação é saber se essa coleta de dados no site está correta. Além dos formulários de contato, muitas páginas da web utilizam cookies, que são pequenos arquivos que acompanham o comportamento do usuário dentro do site. Cada usuário deve autorizar ou não que esses cookies coletem informações pessoais.

Se você trabalha na área de ensino e quer começar a gerenciar a privacidade da comunidade acadêmica e estar de acordo com a nova lei, conheça as soluções da Privacy Tools. Com o relatório de conformidade e a gestão de cookies, você torna seu site compliance e melhora o posicionamento da sua instituição, tendo uma relação de mais transparência com  público.