*Patricia Punder
Depois de quase dois anos de pandemia, muitas escolas, sejam públicas ou privadas, estão retornando às aulas no modelo híbrido ou, até mesmo, totalmente presencial. Os cuidados sanitários tem sido a maior preocupação destas importantes instituições e com total razão. Entretanto, muitas se esqueceram que, no dia 18 de setembro de 2020, a Lei Geral de Proteção de Dados (“LGPD”) se tornou efetiva em todo o território nacional.
Infelizmente, muitas escolas não se preocuparam com a implementação de um programa de LGPD, pois a preocupação era como manter os alunos estudando durante este triste período da história brasileira. Muitos pais, devido ao trabalho remoto, tiveram mais acesso à informação sobre LGPD, pois seus empregadores resolveram implementar a Lei. Mas, não fizeram a correlação sobre a necessidade das escolas de seus respectivos filhos também estarem aderentes a referida legislação.
Quando falamos de crianças/adolescentes e privacidade de dados, todo o cuidado é pouco. Existem situações tenebrosas de pedofilia e bullying nas redes sociais. Imaginem se as imagens de seus filhos forem parar na “dark web” onde não existe qualquer controle sobre o que podem ser realizadas com as mesmas? O perigo é extremamente alto para as crianças/adolescentes neste momento.
Quando falamos em escolas, existem situações de biometria e gravações de imagens, até para o monitoramento dos pais quando estes estão trabalhando e querem ter a certeza que seus filhos estão sendo bem cuidados e em segurança. Portanto, os pais devem cobrar das escolas que a coleta, tratamento e armazenamento dos dados de seus filhos estejam aderentes a LGPD e tenham a garantia que não serão “hackeados” ou “vazados” por erro ou intencionalmente por um colaborador da escola.
As escolas devem implementar imediatamente um programa de LGPD e devem focar nas seguintes atividades abaixo descritas, com o objetivo de prover um ambiente seguro e saudável para seus alunos e colaboradores:
Mapeamento de Impacto de Riscos de Privacidade de Dados;
Análise de softwares existentes na instituição;
Arquivos físicos; o processo de guarda e segurança destes documentos;
Dados pessoais existentes em sua base de dados;
Fluxo de vida dos dados pessoais na instituição: coleta, uso, armazenamento, eliminação e compartilhamento com terceiros;
Avaliação de circuitos de CFTV e trânsito dos dados veiculados nesse circuito;
Identificação de dados sensíveis e de menores;
Bases legais utilizadas pela instituição atualmente para justificar o tratamento desses dados pessoais;
Identificação de vulnerabilidades de tecnologia (redes, antivírus, firewalls, licenciamento de softwares, atualizações, dentre outros);
Processos de segurança da informação existentes na instituição;
Processos de comunicação das informações de alunos com órgãos públicos;
Existência de Políticas internas de privacidade e segurança da informação;
Treinamento de colaboradores sobre privacidade e a importância dos dados pessoais.
Todo o processo de implementação deve ser feito como metodologia para que eventual fiscalização da Autoridade Nacional de Proteção de Dados (“ANPD”), órgão criado pela lei para regulamentar, fiscalizar e punir as empresas, onde se incluem as escolas, que violem a lei e suas normas, em caso de eventual fiscalização espontânea ou mesmo em caso de alguma denúncia e/ou de algum incidente de insegurança.
Ademais, a LGPD define que para menores de 18 anos, o consentimento para tratamento de dados deverá ser realizado através de específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal em consonância com os princípios definidos no Estatuto da Criança e do Adolescente, que definem as regras de proteção aos menores de idade no Brasil.
Outro ponto relevante, seriam as informações consideradas “sensíveis” pela LGPD, pois as escolas coletam dados de saúde, biometria e imagens, dentre outras, dos alunos. Dados biométricos são dados de grau máximo de proteção em segurança da informação e não devem ser exigidos, entregues e utilizados sem um fundamento absolutamente relevante.
Segurança da escola é questão da escola, não pode ser realizado com base em dado pessoal da criança. Está no risco da atividade e deve ser calculado e gerido pelo seu gestor de forma eficaz, sem depender da utilização de dados sensíveis do cidadão. O vazamento de uma informação com esse potencial destrutivo para a vida de um ser humano indefeso pode ser fatal para o seu desenvolvimento como pessoa e certamente será alvo de punições exemplares pela ANPD e pela Justiça.
Sendo assim, pais tomem a frente e busquem por escolas que, de fato, respeitam e protegem os dados pessoais de seus filhos. Afinal, não estamos diante apenas de uma relação consumerista, mas de um direito de todos os cidadãos brasileiros.
*Patricia Punder é advogada, compliance officer com experiência internacional. Professora de Compliance no pós-MBA da USFSCAR e LEC – Legal Ethics and Compliance (SP). Uma das autoras do “Manual de Compliance”, lançado pela LEC em 2019 e Compliance – além do Manual 2020.
