10 princípios da LGPD para escolas - Hauer & Esmanhotto

Notícias

09/02/2020

10 princípios da LGPD para escolas

Escolas e famílias com filhos em idade escolar começam a se mobilizar para as matrículas para o ano letivo de 2021. A entrada em vigor da Lei Geral de Proteção de Dados (LGPD), em agosto deste ano, reforça a necessidade das instituições de se adequarem à lei para que dados pessoais de estudantes e de todas as pessoas envolvidas no contexto educacional sejam protegidos.

A LGPD se fundamenta em diversos valores e princípios, como o respeito à privacidade, à liberdade de expressão e aos direitos humanos de liberdade e dignidade das pessoas. Mas, antes de listarmos os 10 princípios da LGPD e estabelecermos uma relação prática com o contexto educacional, vamos entender um pouco mais sobre a nova lei e de que forma as escolas devem se preparar. 

Mudanças necessárias

Em 2020, todas as escolas, públicas e privadas, tiveram que se adaptar às restrições impostas pela pandemia de Covid-19 e passaram a incorporar, de forma mais intensa, as tecnologias educacionais que usam dados pessoais nos processos. No período pós-pandemia, a educação híbrida, que integra atividades remotas e presenciais, tende a se manter e isso exige atenção especial aos dados pessoais de estudantes, responsáveis legais e docentes ao utilizarem de forma cada vez mais frequente os recursos educacionais digitais.

Proteção de dados desde o primeiro contato

A LGPD se aplica às atividades escolares desde o momento do cadastro para a matrícula escolar. Vale ressaltar que não são só os dados dos estudantes que merecem atenção. Dados pessoais relacionados aos responsáveis legais, docentes, gestores e gestoras e demais envolvidos na prestação dos serviços também precisam de cuidados. Todos os sujeitos citados são considerados titulares de dados no contexto educacional.

Quais são os dados tratados no contexto educacional?

  • Dados de estudantes: identidade, histórico escolar, endereço, telefone, e-mail, carteira estudantil, registro de aluno/a (RA), Número de Identificação Social (NIS), informações sobre necessidades especiais, ou informações geradas no uso de tecnologias e que permitam identificar os alunos e alunas. 
  • Dados dos responsáveis, docentes e demais servidores: renda, estado civil, telefone, endereço, e-mail, escolaridade, relatórios de reuniões, assinaturas, NIS, entre outros.
  • Dados sensíveis: são dados que requerem cuidados diferenciados por se referirem às esferas mais íntimas e pessoais e também por darem margem a tratamentos discriminatórios. Por exemplo, informações sobre: origem racial ou étnica; convicção religiosa; opinião política; filiação a sindicato ou a organização de caráter religioso, filosófico ou político; informações médicas, de saúde ou vida sexual; dados genéticos ou biométricos. Gravação de imagens por câmeras de segurança e análises geradas pelo uso de aplicativos educacionais também são considerados dados sensíveis. Deve-se adotar especial atenção, pois alguns dados pessoais podem gerar informações que eventualmente se transmutem em dados sensíveis. Por exemplo: geolocalização.

 

Importante salientar que o tratamento de dados de menores sempre demandará o consentimento específico e destacado por pelo menos um dos pais ou pelo do responsável legal, vinculado à finalidade específica tendo em vista o melhor interesse do menor. 

Veja alguns exemplos de atividades em que são tratados dados pessoais dos titulares:

  • Matrícula de alunos e alunas
  • Controle de presença
  • Emissão de boletins
  • Elaboração de relatórios de desempenho
  • Armazenamento de históricos escolares
  • Gravação de imagens por câmeras de segurança
  • Contato com estudantes e familiares
  • Realização de procedimentos de saúde, quando necessário
  • Comunicação de dados de um aluno ou aluna para outra instituição de ensino

 

O compartilhamento de dados com terceiros, em regra, deverá ser previamente informado ao titular dos dados, e quanto aos menores, consentido por um dos pais  ou responsável legal.

Por conta disso, gestores e gestoras educacionais e equipes de educação devem avaliar quais são os tipos de atividades de tratamento realizados na instituição e buscar adequar os processos para não sofrer as penalidades da lei. 

A proteção aos dados e os 10 princípios da LGPD

1- Finalidade: determina que o tratamento de dados nunca deve ser genérico, mas, sim, feito para uma finalidade específica. Todos os usos e operações realizados com dados pessoais devem ser feitos para propósitos determinados, legítimos e específicos, e conforme as finalidades informadas ao titular de dados. 

Por exemplo: imagens de estudantes gravadas no ambiente escolar por meio de câmeras de segurança. A finalidade é garantir a segurança no ambiente escolar. Caso essas imagens sejam compartilhadas com outras empresas ou organizações para outras finalidades, sem que o titulares de dados tenha sido informado, é possível que haja riscos no uso desses dados.

2- Adequação: deve haver compatibilidade entre a atividade de tratamento dos dados pessoais realizada e as finalidades informadas ao titular de dados.

Por exemplo: a instituição coleta dados de contato dos estudantes para se comunicar com eles e com os responsáveis. Se esses dados forem compartilhados, sem que os titulares tenham sido informados, como, por exemplo, uma loja de material escolar a fim de oferecer seus serviços, o limite da finalidade informada ao titular de dados é ultrapassado.

3- Necessidade: o tratamento dos dados deve ser limitado ao necessário para a realização de suas finalidades. As entidades devem se certificar de que estão usando apenas os dados necessários para cumprir a finalidade pretendida.

Por exemplo: A secretaria de educação da cidade quer fazer um estudo sobre a relação entre a distância da residência das crianças em idade escolar para as unidades em que estão matriculadas e solicita às escolas que compartilhem o endereço dos alunos. Se a escola compartilhar, além desses dados, outros, como dados de saúde do menor, ou até mesmo  o telefone dos familiares, pode haver responsabilização por compartilhamento irregular de dados pessoais. 

4- Livre acesso: todas as pessoas, titulares de dados, podem acessar os seus dados pessoais de forma livre, irrestrita e gratuita.

Por exemplo: caso um estudante que já não esteja mais matriculado na instituição queira saber quais dados ainda são mantidos ao seu respeito, a instituição de ensino deve ser capaz de fornecer informações completas, justificar a duração das operações realizadas e o motivo do armazenamento.

5- Qualidade dos dados: exige a garantia de exatidão, clareza, relevância e atualização dos dados pessoais, de acordo com a necessidade do seu uso e para o cumprimento da finalidade pretendida. 

Por exemplo: o uso de dados incorretos de estudantes pode prejudicar a concessão de benefícios, como auxílios de transporte não concedidos em decorrência de cadastro de endereço desatualizado.

6- Transparência: é necessário prestar informações claras, precisas e facilmente compreensíveis sobre a realização do tratamento dos dados e os respectivos agentes de tratamento. É preciso que esse princípio seja exercido também em relação às crianças por meio do uso de vocabulário apropriado para esse público, de modo que os menores possam compreender a mensagem.

Por exemplo: As instituições devem abordar, em suas políticas de transparência, esclarecimentos sobre como usam dados pessoais de estudantes, docentes, servidores e servidoras públicas de escolas.

7- Não discriminação: a instituição não pode fazer o tratamento de dados pessoais para fins discriminatórios, ilícitos ou abusivos. Ela deve assegurar que os dados pessoais não serão usados para finalidades que envolvam segregação social, racial ou de gênero. Segundo o ECA, crianças e adolescentes devem ser tratados sem discriminação em relação à situação familiar, idade, sexo, raça, etnia, religião, deficiência, condição pessoal de desenvolvimento e aprendizagem, condição econômica, local de moradia, dentre outras condições de diferenciação.

Exemplo: Se uma escola usar dados sensíveis de estudantes para excluir os que tiverem  algum tipo de deficiência de alguma atividade, ela está violando o direito da não discriminação nos termos da LGPD

8 – Segurança: exige o uso de medidas técnicas e administrativas para proteger dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Por exemplo: A escola tem uma plataforma própria para disponibilizar as notas dos estudantes e, por falha de segurança, os dados puderam ser acessados por pessoas não autorizadas. Essa situação representa uma violação ao princípio da segurança.

9- Prevenção: a instituição deve adotar medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.  

Por exemplo: Usar login e senha individuais com procedimento de dupla autenticação para cada estudante em plataforma online disponibilizada pela escola. Isso dificultaria o acesso indevido e evitaria danos.

10 – Responsabilização e prestação de contas: é a demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas ações.

Por exemplo: A instituição faz um estudo para analisar os impactos e riscos envolvendo os tratamentos de dados pessoais realizados durante as atividades escolares.

 

Fonte: Manual de Proteção de Dados Pessoais – Centro de Inovação para a Educação Brasileira (CIEB)/ Unesco.

Newsletter / cadastre-se para receber