O presente artigo visa trazer de forma breve o impacto da Lei Geral de Proteção de Dados (LGPD), no segmento escolar.

A lei nº 13.709/2018 (LGPD), alterou a Lei do Marco Civil da Internet, sofreu alteração pela Medida Provisória nº 869/2018, e entrará em vigor em Agosto de 2020. Com isso, o segmento educacional deverá estar atento as modificações que esta medida exige.

Embora a vigência da lei se inicie apenas em Agosto de 2020, para o segmento educacional as preocupações com as mudanças deverão ocorrer ainda neste ano, pois as escolas precisarão adequar os contratos de prestação de serviços educacionais e procedimentos, quando da abertura de matrícula/rematrícula para 2020, principalmente no tocante à autorização e forma de coleta de dados pessoais de pais e alunos.

A lei visa proteger os cidadãos brasileiros do uso indevido de seus dados e rege sobre o tratamento dos mesmos, entendendo que tratar dados é: armazenar, coletar, padronizar, pesquisar, modificar, melhorar, mascarar ou até mesmo excluir.

Portanto, as instituições de ensinos, em função das mudanças exigidas na lei terão que revisar seus procedimentos que envolvam captura ou atualização de bases de dados pessoais e sensíveis, ou seja, verificar os riscos de vazamento de informações dentro das equipes educacionais, em razão de uso de grupos de WhatsApp envolvendo pais, alunos e professores, portais com áreas exclusivas de acesso, coleta regular de imagens dentro das dependências da instituição etc.

Outro ponto importante a ser destacado, é que o artigo 14º da lei, traz uma responsabilidade maior no tratamento de dados pessoais de crianças e adolescentes, sendo que o mesmo deverá ser realizado sempre com consentimento específico por um dos pais ou pelo responsável legal.

A título exemplificativo, muitas vezes as instituições de ensino armazenam informações não só dos representantes legais dos alunos que configuram como Contratante, mas do próprio aluno, tais como: origem racial, religião, dados relacionados a saúde do aluno, telefone, conta de e-mail, opção sexual e até mesmo dados biométricos em alguns casos.

Assim sendo, as escolas deverão efetuar um levantamento de quais dados de fato são coletados pela sua instituição, analisando quais decorrem de embasamento legal e quais são coletados aleatoriamente (tal como: opção religiosa, ficha médica do aluno, etc.) e precisarão de consentimento do titular.

A escola deve ficar atenta a necessidade da figura do responsável/encarregado em nome da instituição pela proteção de dados, sendo que com a modificação trazida pela Medida provisória 869/2018, fica autorizado que a figura deste responsável seja exercida por empresa jurídica/terceirizada, o que pode ser uma alternativa para as instituições que não possuem um departamento de tecnologia especializado em proteção de dados.

Em relação aos Agentes de Tratamento, a principal obrigação que a lei estabeleceu foi a de manter registros de todas as operações de tratamento, bem como elaborar Relatório de Impacto à Proteção de Dados Pessoais, contendo, no mínimo, a descrição dos tipos de dados coletados, o fundamento da coleta e a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação as medidas, salvaguardas e mecanismos de mitigação de riscos adotados, no que resulta na importância de se estruturar sistemas de segurança da informação confiáveis que permitam decisões automatizadas nos negócios.

Por fim, cumpre ressaltar que o descumprimento da presente norma tem como consequência a aplicação de multa de 2% do faturamento da empresa ou grupo econômico até o limite de R$ 50.000.000,00 (cinquenta milhões de reais).

Por Dra. Katiucia Fernandes de Oliveira

Advogada na CCFM Advocacia, há mais de 13 anos atuando com Direito Processual Civil, Direito Tributário, Direito Administrativo, Direito do Trabalho e Direito de Tecnologia da Informação.