Estamos há praticamente 4 meses da entrada em vigência da Lei Geral de Proteção de Dados Pessoais e as falhas de segurança que resultam em exposição indevida de dados pessoais são cada vez mais grotescas e grosseiras. Nenhuma delas tem sido decorrente de um forte ataque cibernético que envolva esforço, conhecimento e habilidades técnicas sobrenaturais do ofensor. Aliás, sequer há ofensor.
Há pura e simples incompetência em procedimentos técnicos de segurança de dados e informações (cujos normas e padrões já existem de algum tempo), os quais devem andar par e passo em um processo de implantação de conformidade à LGPDP.
O incidente mais recente envolve a Universidade Anhembi Morumbi, no dia 13 de fevereiro de 2020. Conforme informa o site GIZMODO ( https://gizmodo.uol.com.br/falha-anhembi-morumbi-dados-pessoais-alunos/ ), através de manobras simples é possível ter acesso aos dados pessoais de estudantes como CPF, data de nascimento, endereço, curso e valor de mensalidade.
Ao longo do tempo, têm sido bem expressivos os incidentes envolvendo dados pessoais de estudantes da Educação básica. Basta lembrarmos:
(a) Do Colégio Bandeirantes de São Paulo, em 2015, quando vazaram inclusive registros de históricos escolares, com anotações a respeito dos estudantes;
(b) do vazamento de dados pessoais de 3,8 Milhões de estudantes da rede pública de ensino de São Paulo, em 2017;
(c) da falha de segurança no servidor adotado pela UEESP, que permitiu a exposição de dados pessoais e sensíveis de milhares de estudantes de São Paulo, inclusive com acesso às digitalizações de documentos pessoais de identificação; e,
(d) Agora, mais recentemente, em novembro de 2019, da rede de ensino do Instituto Mix, que proporciona cursos profissionalizantes, cujo sistema possuía falha de segurança que permitia acesso a dados pessoais sensíveis de seus estudantes.
É preciso que se compreenda de uma vez por todas que, segurança de dados e informação independe da existência da LGPD, inclusive por que são anteriores a ela, mas que, a partir de agosto de 2020 precisarão estar efetivamente implantadas afim de assegurar a conformidade das Instituições de ensino à esta nova legislação, estejam os dados em meio físico ou digital.
Instituições de Ensino, principalmente as de educação básica, tratam e geram, diariamente, uma infinidade de dados pessoais e principalmente dados pessoais sensíveis, de crianças e adolescentes e, em boa parte deste tempo, sem terem a real noção disso. E o mais grave, não possuem clara a forma e processos necessários à geração e proteção desses dados e informações, os quais já eram dotados de proteção especial por outras normas e que agora ganharam proteção especial e efetiva através da LGPD.
Em incidentes desta natureza, o principal dano é à reputação da Instituição de Ensino e sua credibilidade frente ao mercado e aos Pais de seus estudantes. Além disso, poderão advir sanções não só da Autoridade Nacional de Proteção de Dados, mas também dos Órgãos de Defesa do Consumidor e do Próprio Ministério Público Estadual e/ou Federal (a depender do incidente), tudo isso cumulativamente.
UM INCIDENTE ENVOLVENDO DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES, NÃO IMPORTA TÃO SOMENTE NO DESCUMPRIMENTO FORMAL À LGPD, MAS PRINCIPALMENTE NA CONSTATAÇÃO EFETIVA DA FALHA E INCAPACIDADE DA INSTITUIÇÃO DE ENSINO QUANTO AO SEU DEVER DE GUARDA E PROTEÇÃO. A REALIDADE É OUTRA: O MUNDO NÃO É MAIS ANALÓGICO E NEM TUDO ACONTECE DIANTE DE NOSSOS OLHOS.
por Luciano Escobar
Fonte: https://gizmodo.uol.com.br/falha-anhembi-morumbi-dados-pessoais-alunos/
