fbpx

A Lei Geral de Proteção de Dados Pessoais e sua aplicação nas escolas

Chegou a hora de rever processos, tecnologias e responsabilidades na escola. Sua instituição já está preparada? 

texto  Célio Müller

Você já teve a sensação de estar sendo vigiado? Durante um passeio no shopping center nossa presença é notada e recebemos automaticamente promoções das lojas pelo celular. Se compramos algum produto pela internet, em pouco tempo chegam mensagens oferecendo a mesma mercadoria, pois somos reconhecidos como potenciais compradores. Nas redes sociais, as postagens frequentes sobre determinado tema nos associam com outras pessoas e hábitos parecidos, gerando outros convites e conexões. Basta navegar por sites de busca que aquela informação parece impregnar as outras páginas em que entramos com banners e indicações equivalentes. Isso é privacidade, ou melhor dizendo, é a falta dela.

Já é lugar comum saber que as informações pessoais circulam em todo canto. Por sermos frequentemente obrigados a nos identificar, preencher cadastros com nome, foto, e-mail para registrar presença, copiar documentos etc., nossos dados ficam armazenados em algum lugar e são utilizados por empresas e órgãos para os mais diversos fins. O problema não está em dar a informação, mas em saber e concordar com o uso que será feito dela. Todo cidadão tem o direito de proteger seus próprios dados e decidir se aceita (ou não) receber ofertas ou integrar grupos, redes e bancos de dados. Tem direito especialmente de saber os objetivos da coleta daquelas informações. Por esse motivo surgiu a Lei Geral de Proteção de Dados Pessoais, a famosa LGPD.

Como tudo começou

A lei 13.709, de 14 de agosto de 2018, pode ser vista como a versão brasileira da General Data Protection Regulation (GDPR), ou Regulamento Geral sobre Proteção de Dados da União Europeia. Sem uma adequação legislatória, em um cenário de mundo globalizado, as empresas multinacionais que operam em território nacional e estavam se adequando às novas regras de privacidade ficariam em desvantagem em relação às companhias brasileiras. Todas as suas operações estavam sendo repensadas para as novas práticas de preservação da privacidade. Para não perder competitividade, o Brasil se viu obrigado a entrar nas mesmas regras. Nesse contexto, o ganho social para as pessoas é evidente, ao proteger dentro de parâmetros internacionais os dados individuais de cada um.

A LGPD entrou em vigor em agosto de 2020 e seu cumprimento abarca todas as empresas brasileiras que operam dados de consumidores. Aliás, a norma foi feita para proteger gente de carne e osso, não alcança informações contábeis de pessoas jurídicas, mas sim tudo aquilo que se referir ao cidadão. 

Conceito legal da lei geral de proteção de dados pessoais 

Antes de adentrar nas questões educacionais, informações de alunos e contratantes e nos limites legais das escolas, vamos entender o conceito legal de tratamento (art. 5o, § X): “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”. 

Nessa definição, encontramos praticamente tudo o que pode ser feito com as informações pessoais. Desde a coleta e recepção, passando pela classificação e armazenamento até a utilização propriamente dita, inclusive se forem transferidas, compartilhadas ou modificadas. Embora o aspecto digital seja predominante, também estão protegidas as fichas, os cadastros, as listas e os relatórios arquivados em papel e até mesmo preenchidos à mão.

Vamos exemplificar. Toda escola possui diversas informações de seus alunos — pedagógicas, cadastrais, financeiras, disciplinares etc. O simples recebimento desses dados, necessários para a própria execução do trabalho educacional, já configura tratamento. Em que local serão armazenados e classificados? Meio físico ou digital? Como estão protegidos? Qual a destinação, educativa ou comercial? Quem terá acesso a eles? A partir de agora, situações corriqueiras no âmbito interno de uma instituição de ensino passam a ser regulamentadas por uma lei própria, que estabelece critérios de segurança e cuidados adicionais aos gestores educacionais, que, em última instância, são os agentes de tratamento desses dados.

A torrente de notícias que circulam hoje em dia sobre a LGPD — muitas vezes patrocinadas por consultorias vendendo seus serviços — tende a causar um certo pânico. De fato estão previstas altas multas por descumprimento, mas estas miram especialmente grandes empresas da área de tecnologia. A preocupação dos gestores escolares deve ser mais com o bom relacionamento com famílias e alunos e o atendimento às regras para não alimentar a discórdia e proteger a credibilidade da instituição. Os profissionais da educação sabem como são sensíveis os interesses das famílias e como são comuns as queixas. Então, não vale a pena fornecer combustível para tais discussões.

Como começar a organizar a escola? 

Para começo de conversa, a proteção de dados pessoais pressupõe a capacitação das pessoas. Professores, auxiliares, coordenadores, recepcionistas e quaisquer colaboradores (próprios ou terceirizados) precisam conhecer as limitações da lei e operar os dados necessários dos alunos, contratantes, prospects e até de seus colegas apenas nos limites de sua função. Nesse contexto, a cópia inocente de uma ficha cadastral, de um relatório pedagógico ou de fotos e/ou filmagens do aluno dentro da escola pode caracterizar vazamento e trazer problemas posteriores. Como estamos falando em relações de trabalho, a instituição pode desenvolver suas próprias regras e determinar aos seus colaboradores o cumprimento conforme cada cargo ou condição.

No trabalho de implantação da LGPD em escolas, a área de Recursos Humanos precisa prever que haverá treinamento e capacitação de todo o pessoal, permitindo que as equipes compreendam o alcance da lei e a forma correta de manusear as informações coletadas diariamente. 

Adentrando no aspecto operacional, qualquer estabelecimento educacional necessariamente utiliza serviços de variadas empresas fornecedoras. Nessas relações são compartilhados dados dos alunos para efeito de atendimento aos serviços. A plataforma de ensino remoto, por exemplo, o sistema de agenda digital, a agência de viagens para os estudos do meio ou a cantina escolar terceirizada se relacionam com as famílias e têm acesso direto a informações que precisam de proteção. Não há necessariamente proibição de se compartilharem dados, posto que é imprescindível para algumas atividades, mas acarreta cuidados jurídicos e tecnológicos redobrados para garantir a integridade dos dados e a confirmação de que o uso é lícito e dentro das condições de cada serviço.

O compartilhamento de dados corresponde a uma das maiores preocupações das escolas. Se já é difícil garantir a integridade das informações internas, mais complexo ainda é transferi-las para outras empresas, que poderão fazer mal uso e quebrar a privacidade de alunos e contratantes. Por isso, é fundamental escolher fornecedores qualificados na área educacional, que cumpram a legislação e entendam as boas práticas digitais e as imprescindíveis garantias nos contratos de fornecimento já que esta é responsabilidade assumida pela escola junto às famílias.

De olho no consentimento

Como já entendemos que o tratamento de dados em uma escola é inevitável, o mais importante instrumento legal para uma operação lícita é a autorização. Na graduação, os alunos já maiores de 18 anos têm capacidade legal para assinar sozinhos, mas no ensino básico são crianças e adolescentes (art. 14, § 1o) e, por isso, o consentimento deve ser obtido de pelo menos um dos pais ou pelo responsável legal.

Segundo a LGPD (art. 8o), o consentimento deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular. Nos contratos de serviços educacionais, utilizados para formalizar a matrícula, encontramos o ambiente ideal para estabelecer as regras de tratamento e obter a concordância do aluno e das famílias. Mas há outros documentos e meios de comunicação que validam o consentimento, como a política de privacidade no website, os termos e condições de acesso e de uso e as cláusulas expressas em outros contratos, que podem ser formalizados por meio digital.

Caso a escola não obtenha o consentimento do aluno ou este seja revogado durante a prestação dos serviços, o tratamento de dados ficará restrito ao cumprimento de obrigações legais e contratuais pela escola, ou apenas à sua finalidade principal. Em outras palavras, não seria proibido registrar presença e notas dos alunos, eis que obrigatório, mas seria vedado o uso de informações cadastrais dos pais para se oferecerem serviços adicionais, por exemplo.

O volume de regras da LGPD para as empresas, em geral, não pode ser ignorado. Para a concreta implantação da lei e a minimização dos riscos de queixa dos titulares, os gestores precisam realizar um completo mapeamento dos dados manipulados interna e externamente. Com o auxílio de profissionais da área jurídica e de tecnologia, o passo seguinte é a adequação dos equipamentos e sistemas, a capacitação do pessoal, a definição de processos internos e a revisão completa dos instrumentos legais de contratação: para matrículas, fornecedores e colaboradores.

A nomeação do encarregado, chamado de DPO (do inglês Data Protection Officer), é obrigação adicional prevista na lei. Trata-se do profissional ou empresa contratada com as seguintes atribuições (art. 41, § 2o): 

  1. Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências. 
  2. Receber comunicações da autoridade nacional e adotar providências; 
  3. Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;  
  4. Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.


As empresas brasileiras de todos os setores podem ser fiscalizadas pela Autoridade Nacional de Proteção de Dados (ANPD), que tem a função de orientar e investigar denúncias sobre quebra de privacidade de dados pessoais, aplicando sanções nos casos confirmados, que vão desde advertência até multa ou determinação para suspensão de atividades. Como as escolas particulares são regidas pelo Código de Defesa do Consumidor, os Procons e Ministério Público têm competência para apurar eventuais queixas envolvendo o tratamento de dados dos alunos. Por esse motivo, é altamente recomendável ao gestor educacional a aplicação de um compliance para o acompanhamento dos serviços por profissionais especializados para a conformidade com a lei.


CÉLIO MÜLLER é advogado especializado em Direito Educacional, pós-graduado em Administração de Empresas, sócio fundador do escritório “Müller Martin Advogados”, autor do livro Guia Jurídico do Mantenedor Educacional (Editora Érica/Saraiva), membro do Colégio de Advogados da Fenep, palestrante e conferencista em diversos órgãos da área de ensino. Atualmente, presta assessoria jurídica para diversas instituições de ensino em todo o Brasil.


Para saber mais

  • Autoridade Nacional de Proteção de Dados. Disponível em: www.gov.br/anpd. Acesso em: 25 jul. 2021. 
  • Consultoria Serpro. Disponível em: www.loja.serpro.gov.br/lgpd. Acesso em: 3 jul. 2021.
  • BLUM, R. O.; MALDONADO, V. N. LGPD comentada: Lei Geral de Proteção de Dados. 3. ed. São Paulo: Revista dos Tribunais, 2021. 
  • TEPEDINO, G.; OLIVA, M.; FRAZAO, A. Lei Geral de Proteção de Dados Pessoais: e suas repercussões no Direito Brasileiro. 2. ed. São Paulo: Revista dos Tribunais, 2020.
  • FENEP. LGPD: A Lei Geral de Proteção de Dados e sua implementação nas instituições de ensino privadas. Disponível em: mod.lk/ed21_lr1. Acesso em: 3 jul. 2021.
  • SANTILLANA BRASIL. Lei Geral de Proteção de Dados Pessoais: uma questão de educação. Moderna, 2021. Disponível em: mod.lk/ed21_lr3. Acesso em: 2 ago. 2021.
  • SEBRAE. Lei Geral da Proteção de Dados Pessoais. Disponível em: mod.lk/ed21_lr2. Acesso em: 3 jul. 2021.
Compartilhe!
Site Protection is enabled by using WP Site Protector from Exattosoft.com