Não é surpresa para ninguém que as escolas concentram um grande volume de dados pessoais e sensíveis, são dados dos alunos, informações de cobrança de pais e responsáveis, cadastros dos professores e colaboradores, entre tantos outros. Por isso, a segurança e privacidade das informações escolares são fundamentais.
Para fortalecer a segurança da informação, é importante conhecer a Lei Geral de Proteção de Dados Pessoais (LGPD): uma regulação recente que busca garantir essa proteção.
De tal forma, a segurança da informação escolar já começa na hora de solicitar os dados. Por exemplo, quando um aluno, pai ou responsável realizar uma matrícula, a instituição deve deixar claro para ele quais dados serão armazenados, como eles podem ser utilizados e quem terá acesso.
O titular tem de assinar um documento que permita a manipulação de seus dados pessoais, essa autorização pode estar presente no próprio contrato de matrícula.
A partir desse pontapé inicial, a responsabilidade e segurança dessas informações passam a ser do gestor. O que significa que você precisa garantir:
-
Apenas pessoas autorizadas tenham acesso aos dados
-
As informações sejam usadas apenas para os fins combinados
-
Nenhum documento seja extraviado ou armazenado no local incorreto
Isso tudo está previsto na LGPD, mas, mesmo além do que é considerado da lei, a própria escola tem um dever de garantir a segurança das informações de sua comunidade escolar.
O que são os dados sensíveis dentro de uma escola?
Há dois tipos de informações que, segundo a LGPD, devem ser protegidos em uma instituição como a sua escola: os dados pessoais e os dados sensíveis. Sendo estas as principais diferença:
Dados pessoais
São informações que permitem identificar um indivíduo, seja de forma direta (como nome ou CPF) ou indireta (endereço, profissão, idade, gênero e outros dados que, em conjunto, podem ajudar na identificação dessa pessoa).
E nesse contexto entram também atividades realizadas na escola, redações escritas, notas de provas, registros de desempenho, entre outras informações que fazem parte do dia a dia educacional.
**Dados sensíveis **
Os dados pessoais sensíveis, são as informações ligadas às características de alguém, suas escolhas, origem racial ou étnica, convicções religiosas, saúde, entre outras.
São toda e qualquer informação que possa causar discriminação, levar a atos de violência ou criar outros problemas para o indivíduo.
Isso significa que os dados sensíveis podem abranger desde questões como dados relativos à saúde, como alergias, até o time de futebol para quem ele torce.
Esses dados são mais delicados e devem ser protegidos com ainda mais cuidado.
Por que a segurança da informação é tão importante na gestão escolar?
O primeiro ponto sobre o qual gestores e diretores precisam estar cientes é a aplicabilidade da LGPD. O não cumprimento dessa lei de proteção de dados pode levar a multas altíssimas e até ao fechamento da escola.
Mesmo que o descumprimento ocorra por acidente, ele continua sendo considerado uma infração e o tipo de punição depende de vários fatores, de acordo com as peculiaridades de cada caso.
*O art. 52 da LGPD apresenta os seguintes parâmetros e critérios para determinar essa punição:
I – a gravidade e a natureza das infrações e dos direitos pessoais afetados.
II – a boa-fé do infrator.
III – a vantagem auferida ou pretendida pelo infrator.
IV – a condição econômica do infrator.
V – a reincidência.
VI – o grau do dano.
VII – a cooperação do infrator.
VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei.
IX – a adoção de política de boas práticas e governança.
X – a pronta adoção de medidas corretivas.
XI – a proporcionalidade entre a gravidade da falta e a intensidade da sanção.*
O mesmo artigo indica que, dependendo da situação, a punição pode ir desde uma simples advertência com prazo para correção até a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados — o que impediria o trabalho da escola.
Além disso, a lei prevê também uma multa de até 2% do faturamento da empresa, limitada a R$ 50 milhões, e a publicização da infração, o que certamente prejudicará a imagem da instituição e sua comunicação com a comunidade escolar.
Por isso, sua escola precisa se adequar à LGPD e amenizar esses riscos.
A falta de segurança da informação escolar também leva à desconfiança em sua gestão, além de colocar em risco a segurança física ou psicológica de alunos, pais, responsáveis e colaboradores.
Sem falar que, pelo importante papel que as informações desempenham no dia a dia escolar, descuidos com documentos podem levar a problemas de gestão.
Quais medidas a escola pode tomar para garantir a segurança da informação?
Preparamos um passo a passo para ajudar sua escola a estar mais preparada para atender as demandas de privacidade e segurança da informação, além de ajudar a adequar-se às exigências da LGPD, confira:
- Conseguir autorização de alunos, pais e responsáveis para usar os dados
Já mencionamos este ponto, mas é importante reforçá-lo por aqui. É preciso ter certeza de que todos os dados usados pela gestão foram autorizados por seus titulares. Por isso, vale a pena ter essa cláusula no contrato de matrícula, além de documentos com permissões em outros momentos.
- Definir claramente a finalidade dos dados
Para pedir permissão e acesso aos dados, é preciso definir previamente qual será sua finalidade e como eles serão usados pela escola. Isso deve estar previsto no documento assinado pelos alunos ou seus responsáveis.
Com essa informação, você pode garantir maior confidencialidade, sabendo quem são as pessoas autorizadas a acessar os dados, além de mais disponibilidade das informações para a comunidade.
- Garantir que apenas pessoas autorizadas tenham acesso às informações escolares
Como vimos, um parâmetro central tanto da LGPD como da segurança da informação como um todo é a confidencialidade: ninguém pode ter acesso às informações, a não ser que o titular tenha dado autorização prévia. Por isso, os dados na escola não podem ficar espalhados — ou mesmo armazenados — em lugares de fácil acesso.
Se seus dados forem físicos, é essencial ter um lugar muito bem reservado e sempre trancado para armazená-los. Se forem digitais, devem ser protegidos por criptografia e senhas de acesso.
- Capacitar a equipe para trabalhar com segurança da informação
Toda a equipe da escola precisa estar alinhada para garantir a segurança da informação. Por isso, busque e compartilhe treinamentos, palestras e artigos como este. Assim, você poderá contar com toda a comunidade escolar na busca pela proteção dos dados.
Implementar princípios como confidencialidade, integridade e disponibilidade são os pilares desse cuidado, por isso, toda a equipe precisa passar por treinamentos e capacitações para absorver uma cultura de privacidade de dados.
Além disso, a InPakta também oferece capacitações para os colaboradores de empresas corporativas que necessitam de treinamento e não conseguem implementar.
- Ter um Encarregado de Dados: responsável pela proteção dos dados
Ter toda a comunidade escolar ajudando o gestor é uma ótima ideia. No entanto, alguém precisa coordenar esse trabalho e, muitas vezes, o próprio gestor não tem o tempo necessário para isso.
Por essa razão, a LGPD prevê a criação de um novo cargo: o encarregado de proteção de dados. Ele terá a função de verificar a segurança, conhecer a lei profundamente e atuar junto com todos os setores para garantir que tudo esteja seguro.
Esse profissional também deve ser o responsável por garantir o cumprimento dos princípios de confidencialidade, integridade e disponibilidade.
A terceirização do encarregado de dados pode ser uma saída para aquelas escolas que não possuem o conhecimento necessário para administrar essas atividades, por isso, a Inpakta tem sido um parceiro perfeito para cuidar das demandas de privacidade impostas pela LGPD, abraçando toda organização e implementando todos os pontos necessários para adequar a sua organização.
- Contar com um canal do titular
O princípio de disponibilidade deixa claro que os dados armazenados pela escola devem ser acessíveis às pessoas às quais eles se referem. Ter um canal para que o titular possa fazer essas solicitações é fundamental, o InPrivacy conta com uma Central de Privacidade customizada com a logo e cores da sua empresa, permitindo com que você tenha um canal direto com o seu cliente.