A Lei Geral de Proteção de Dados (LGPD), sancionada em agosto de 2018, surgiu num contexto de necessidade de fortalecimento da proteção da privacidade do indivíduo, sua liberdade de expressão, de informação, de opinião e de comunicação, bem como da inviolabilidade da sua intimidade, honra e imagem. Isso tudo, por meio da proteção dos seus dados pessoais (os que o identificam ou o tornam identificável).
Engana-se quem pensa que a LGPD não alcança as instituições de ensino, públicas ou privadas, de nível básico ou superior.
As instituições de ensino talvez sejam, no Terceiro Setor, aquelas que tenham a gama mais complexa de tratamento de dados pessoais, já que lidam diariamente com os dados pessoais de seus alunos (crianças, adolescentes ou jovens adultos), seus responsáveis legais ou financeiros, frequentemente compartilhados com órgãos públicos ou empresas que lhes prestam serviços para o alcance da sua missão institucional/educacional. Também tratam dados por seu corpo de colaboradores (contratados ou terceirizados), necessários ao funcionamento e manutenção de toda a sua estrutura.
Nome, CPF, RG, endereço residencial, idade, sexo, gênero, raça, religião, doenças, desempenho acadêmico, imagem, impressão digital são só alguns dos exemplos de dados pessoais tratados pelas instituições de ensino e que exigem uma justificativa específica dentre aquelas estabelecidas pela LGPD.
O tratamento é toda a operação que envolva coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados pessoais.
Tratando-se de crianças e adolescentes, o tratamento de dados recebeu regramento próprio e diferenciado junto à LGPD, somente podendo ocorrer no seu melhor interesse, com o consentimento específico e em destaque, para a operação de tratamento pretendida, dado por pelo menos um de seus responsáveis legais (quando se tratar de criança), devendo ser mantidas públicas, pelas instituições de ensino, as informações sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos do titular dos dados pessoais.
A Lei traz uma gama de direitos ao titular dos dados pessoais, frente ao tratamento que é dado. Por exemplo, a própria confirmação da existência de tratamento, o acesso aos dados tratados, a correção dos dados incompletos, inexatos ou desatualizados, a eliminação/exclusão dos dados pessoais da base de dados, a portabilidade dos dados entre outros, pelo que as Instituições de ensino devem estar preparadas para atender tais direitos e cumprir as obrigações decorrentes.
Nesse cenário, o grande impacto trazido pela LGPD para as instituições de ensino é a responsabilidade frente a toda sua comunidade escolar, principalmente, crianças, adolescentes e seus responsáveis legais, quanto ao tratamento que é dado aos seus dados pessoais. Isso impõe a necessidade de compreensão da complexidade e volume dos dados pessoais que ela possui e o domínio sobre o tratamento dado a eles no seu cotidiano, tarefa extremamente complexa que exige o engajamento, que se inicia com a conscientização e treinamento de todos aqueles que estejam envolvidos com o ambiente escolar, o diagnóstico com o conhecimento quanto a quais dados pessoais são tratados, onde estão e qual o seu fluxo dentro da instituição de ensino, a sua classificação como sensíveis, de crianças e de adolescente, a identificação da base legal que autorize o seu tratamento, a necessidade e utilidade do tratamento e o seu tempo de duração.
Além disso, é fundamental a revisão de toda a sua infraestrutura tecnológica, de armazenamento dos dados pessoais (em meio digital ou físico), a criação de políticas de privacidade e proteção de dados pessoais, nomeação de um encarregado e de uma estrutura capaz de gerir as situações de enfrentamento de um incidente de segurança da informação.
O objetivo final é o de conferir aos titulares dos dados pessoais, a tranquilidade da preservação da sua privacidade, com a limitação do tratamento dos seus dados pessoais ao que realmente for necessário. Para as instituições de ensino, o de se ter incorporado ao cotidiano a prática permanente e de constante aperfeiçoamento de processos e controles, para conferir segurança e licitude quando do tratamento dos dados pessoais, evitando-se incidentes de segurança capazes de resultar no vazamento destes mesmos dados ou no seu uso indevido e ilícito. Tais situações poderão resultar na aplicação de sanções tais como: advertências; multas (de até 2% do faturamento, limitada, ao total de R$ 50.000.000,00 por infração), bloqueio dos dados pessoais, suspensão parcial do funcionamento do banco de dados ou da atividade de tratamento.
Não há dano ou efeito mais negativo para uma instituição de ensino que não esteja em conformidade com a LGPD ou que tenha um incidente de segurança envolvendo dados pessoais, do que o dano reputacional, que afeta sua imagem e credibilidade diante de toda a sociedade.
