Preservar conteúdos privados não é mais uma opção no Brasil e passou a ser de responsabilidade de todos desde a criação da LGPD (Lei Geral de Proteção de Dados). Aprovada em 2018 e valendo oficialmente desde 2021, a legislação dispõe sobre o tratamento de dados privados no Brasil, inclusive no meio digital.
O tema ainda traz muitas dúvidas e a lei não existe apenas para “inglês ver”: o governo criou um órgão que é o responsável pela fiscalização e aplicação da legislação no País. Trata-se da ANPD (Associação Nacional de Proteção de Dados).
Confira abaixo 8 perguntas e respostas sobre a Lei de Proteção Geral de Dados e verifique se sua escola atende a todos os requisitos da legislação! **O que é a LGPD? **
A LGPD é a Lei Geral de Proteção de Dados, aprovada em agosto de 2018 no Brasil, tem como principal mote a defesa da privacidade de dados do cidadão. A LGPD foi inspirada em uma legislação europeia e discorre tanto sobre o tratamento de dados no meio físico como no digital.
A lei passou a valer, de fato, em setembro de 2021, quando as sanções para quem não cumprir a lei começaram a ser aplicadas - incluindo multas. A lei visa preservar a privacidade dos dados e estabelece direitos e deveres do manejo dessas informações tanto pela população, como pelas empresas e o governo.
Por que as escolas precisam se adaptar à LGPD? Todas as empresas, independentemente do porte, devem se adequar a Lei Geral de Proteção de Dados e as escolas não são diferentes, pois colhem e tratam informações de crianças e adolescentes.
A legislação especifica o tratamento de dados desse público, dizendo ser imprescindível obter o consentimento inequívoco de um dos pais ou responsáveis e se ater a pedir apenas o conteúdo estritamente necessário para a atividade econômica ou governamental em questão, e não repassar nada a terceiros.
Sem o consentimento, só se pode coletar dados de menores de idade se for para urgências relacionadas a entrar em contato com pais ou responsáveis e/ou para proteção da criança e do adolescente.
Por que os pais e as crianças precisam ter os dados protegidos?
Em fevereiro de 2022, a proteção de dados pessoais virou uma Emenda Constitucional e passou a integrar o rol de direitos e garantias fundamentais ao cidadão.
A importância dos direitos à privacidade e proteção de dados pessoais está elencado no artigo 5º da Constituição Federal, que diz que os direitos fundamentais são garantias com o objetivo de promover a dignidade humana e proteger os cidadãos. O direito à privacidade e à proteção de dados pessoais é essencial à vida digna das pessoas, principalmente nesse contexto de total inserção na vida digital.
Todo dado pessoal deve ser tratado e protegido por quem o detém. Vale ressaltar que não apenas os alunos e as famílias devem ter os dados protegidos, como também todo o quadro de colaboradores da escola.
O que são dados pessoais, sensíveis, públicos e anonimizados?
A LGPD divide os dados em quatro esferas: pessoais, sensíveis, públicos e anonimizados. Vamos entender cada um deles:
Dados pessoais: se uma informação permite identificar, direta ou indiretamente, um indivíduo que esteja vivo, então ela é considerada um dado pessoal: nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer; endereço de IP (Protocolo da Internet) e cookies, entre outros.
Dados sensíveis: dentro do conjunto de dados pessoais, há ainda os dados “sensíveis”. São os que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa.
Dados públicos: deve ser tratado considerando a finalidade, a boa-fé e o interesse público que justificaram a sua disponibilização. A LGPD define, por exemplo, que uma organização pode, sem precisar pedir novo consentimento, tratar dados tornados anteriormente e manifestamente públicos pelo titular. Porém, se uma organização quiser compartilhar esses dados com outras, aí ela deverá obter outro consentimento para esse fim.
Dados anonimizados: é aquele que, originariamente, era relativo a uma pessoa, mas que passou por etapas que garantiram a desvinculação dele a essa pessoa. Se um dado for anonimizado, então a LGPD não se aplicará a ele. Vale frisar que um dado só é considerado efetivamente anonimizado se não permitir que, via meios técnicos e outros, se reconstrua o caminho para "descobrir" quem era a pessoa titular do dado.
Como garantir a proteção desses dados?
Para se adequar à lei, o primeiro passo é identificar e organizar os dados pessoais de terceiros que sua escola possui, com atenção àqueles que exigem cuidados ainda mais específicos no tratamento.
Entenda em qual momento você passa a ter acesso a dados e quais dados a escola precisa armazenar. Além do mais: onde esses dados ficarão armazenados? Em papéis, em um único computador ou na nuvem?
Em seguida, informe o titular sobre as finalidades da ação, quais os dados recolhidos, os destinatários dos dados e os direitos dele em matéria de proteção de dados.
É preciso que a escola elabore as medidas técnicas, normas e políticas que contemplem os requisitos da LGPD e implante um plano de formação e conscientização dos empregados, terceirizados e demais colaboradores sobre a importância da privacidade de dados pessoais.
Por fim, estabeleça um protocolo para gerir e, se for o caso, notificar brechas de segurança e vazamentos de dados. O mais importante de tudo: não transfira dados pessoais sem o consentimento do titular.
Para atualização de processos e contratos, a sugestão é que as escolas busquem parcerias de profissionais para se adequar à lei. É importante frisar que o sucesso da LGPD no país depende da adoção da lei por cada órgão de governo, cada empresa e cada cidadão.
Quais os 10 passos para um efetivo tratamento de dados?
A Serpro (Serviço Federal de Processamento de Dados), maior empresa pública de prestação de serviços em tecnologia da informação do Brasil, criou dez passos para que todas as empresas possam verificar se estão tratando os dados de forma efetiva. Confira:
Finalidade especificada e informada explicitamente ao titular Adequação à finalidade previamente acordada e divulgada Necessidade do tratamento, limitado ao uso de dados essenciais para alcançar a finalidade inicial Acesso livre, fácil e gratuito das pessoas à forma como seus dados são tratados Qualidade dos dados, deixando-os exatos e atualizados, segundo a real necessidade no tratamento Transparência, ao titular, com informações claras e acessíveis sobre o tratamento e seus responsáveis Segurança para coibir situações acidentais ou ilícitas como invasão, destruição, perda, difusão Prevenção contra danos ao titular e a demais envolvidos Não discriminação, ou seja, não permitir atos ilícitos ou abusivos Responsabilização do agente, obrigado a demonstrar a eficácia das medidas adotadas
O que pode acontecer se não me adequar a lei?
As consequências podem variar de advertência com prazo para adequação, aplicação de multa, impedimento de utilizar os dados coletados e até mesmo de coletá-los futuramente.
advertência, com indicação de prazo para adoção de medidas corretivas;
multa simples, de até 2% (dois por cento) do faturamento da empresa, com limite máximo de a R$ 50 milhões por infração;
multa diária;
publicização da infração após devidamente apurada e confirmada a sua ocorrência;
bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
eliminação dos dados pessoais a que se refere a infração;
suspensão parcial do funcionamento do banco de dados por até 6 meses, prorrogável por igual período, até a regularização;
suspensão do exercício da atividade de tratamento dos dados pessoais por até 6 meses, prorrogável por igual período;
proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
As denúncias de descumprimento da lei devem ser feitas à ANPD e por qualquer pessoa, natural ou jurídica. Para isso, deve ser utilizado o Peticionamento Eletrônico do Sistema SEI, no site do Governo Federal, e utilizar o tipo de processo "ANPD - Denúncia LGPD".
**Quais ações podem ser negativas? **
Algumas situações corriqueiras da escola podem ser prejudiciais e infringir a LGPD. Confira agora três cenários:
E-mail: tenha cautela ao enviar um comunicado por e-mail para as famílias. É preciso que os endereços estejam em cópia oculta, caso contrário todos os remetentes terão acesso ao e-mail dos demais pais. O e-mail é considerado um dado pessoal.
WhatsApp: grupos no WhatsApp também podem ser prejudiciais, pois eles deixam visíveis a todos os integrantes do grupo o número de telefone dos demais. Esse dado pessoal também precisa ser protegido.
Ainda, a InPakta pode te ajudar na sua adequação e te dar muito mais controle de tudo o que acontece na sua instituição de ensino. Qualquer dúvida, fale conosco!