Imaginem o seguinte cenário: Em uma classe de uma escola de particular, do segmento alta-renta, um aluno de 11 anos grava com seu celular outros colegas hostilizando um determinado aluno com preceitos raciais e homofóbicos. Adicione a este cenário, o pano de fundo do logotipo da escola na parede e nos uniformes que dão imediato reconhecimento da entidade na mídia. Some isto ao fato de que este aluno, menor, ter disseminado este vídeo na rede. Está feito o estrago.
Pois bem. Muito se tem falado acerca dos vazamentos de dados pessoas e como isto afeta nossas vidas. Não é incomum, uma rápida visualizada nos sites e noticiários que nos traz manchetes sobre Vazamentos de Dados em diversos segmentos, inclusive os de ensino. Por que isto acontece? E o que realmente impacta em nossa vida diretamente? Devo me preocupar?
Sem pretensão de esgotar o tema, ouso esclarecer alguns pontos, em particular dos que falamos sobre os dados de pais e alunos menores, a luz a nova Lei Geral de Proteção de Dados e por que hoje, mais do que nunca, a Segurança da Informação é essencial para manutenção da harmonia entre escola e pais.
Em um cenário escolar típico, um aluno junto com seus pais responsáveis fornece e permite o acesso de inúmeras informações (dados pessoais), que devem, quando não muito, ser mantidos em absoluto sigilo, pois a sua inobservância pode incorrer um alto grau de exposição destes. O exemplo mais contumaz é sem dúvida as situações de saúde, sexualidade e algum fator pedagógico, como a hiperatividade ou déficit de atenção, sem esquecer das que versam sobre a situação econômico-financeira dos pais ou de suas relações conjugais.
A instituição escolar hoje, tem obrigação legal, sob pena de sofrer sansões pecuniárias, diga-se aqui, multas de até R$50.000.000,00 (cinquenta milhões) por infração por não manter os dados pessoais garantidos e disponíveis a quem de direito, ou seja, apenas Titular do Dado. Não acredito, por início, que uma multa deste porte seira aplicada a uma escola pela Autoridade Nacional (ANPD) que esta incumbida de fiscalizar a lei e aplicar tal penalidade, mas existe aqui um fator, ou melhor dois fatores que muito deveriam chamar a preocupação dos gestores escolares.
Um suposto “vazamento” de um dado sensível de uma criança na mídia, imaginemos, filho de alguém público ou famoso, como será tratado? Como evitar após isto a Intimidação Sistemática, também conhecida como Bullying após o ocorrido? Como é possível mensurar o valor econômico da “imagem” da escola que permitiu tal vazamento? Aos mais atentos, recorram aos fatos narrados no início deste artigo e a sua própria interpretação verificar, como é quase impossível “restaurar’ uma imagem e reputação da escola. Adicione isto a um custo – Tempo e dinheiro, para se desculpar perante a mídia, aos pais, em fornece relatórios de defesa a Autoridade Nacional, responder a possíveis processos judiciais, etc.
Neste cenário, a LGPD nos convida a refletir sobre dois importantes pontos que definem a preservação dos dados pessoais de pais e alunos sendo: 1) O Legitimo interesse e 2) a Finalidade. O legítimo interesse da instituição escolar somente poderá fundamentar o tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas. Portanto, esqueça aquele velho modelo do Marketing, que quanto mais dados temos sobre um potencial “cliente” melhor!
Não é que a escola não possa fazer propaganda, mas a finalidade deve ser informada e com o consentimento dos alunos e ou seus pais, se estes forem menores. Lembre-se: Quanto mais dados eu coleto, maior meu risco e responsabilidade.
Caso a instituição de ensino queira usar informações de alunos para fins de propaganda em redes sociais ou para o uso de métricas internas, como análise do perfil e desempenho, esta precisará ser transparente e obter o consentimento dos responsáveis.
A LGPD garante ao titular (pais, alunos, professores, colaboradores, etc.) todos os direitos fundamentais de liberdade, intimidade e de privacidade, além da titularidade de seus dados, mas em especial as crianças e adolescentes, que tem na Lei, suporte para o uso inapropriado de informações relacionadas a menores de idade, que pode colocar sua integridade em risco.
Da Governança e Boas Práticas de Gestão de Informações.
A LGPD requer, ou melhor, obriga que as escolas por tratarem dados “sensíveis de alunos” adotem uma série de boas práticas de governança e gestão corporativa nos processos de tratamento de dados pessoais e por rebote, os controles de Segurança da informação.
Importante ratificar que a ANPD poderá considerar a adoção de boas práticas de governança como parâmetro para atenuar eventuais procedimentos e sansões administrativas, desde que a escola, quando de um vazamento de dados, comprove que de tudo o fez para reduzir seus riscos e mitigar tais impactos com esta infração. Hoje, não basta mais dizer que é uma empresa segura, há que se provar!
Agora, mais do que nunca, os sistemas de Gerenciamentos de Processos correlacionados com as Políticas de Segurança da informação e Cibernética devem caminhar uníssono com um robusto Sistema de Gestão Escolar.
De acordo com a lei, qualquer titular pode solicitar a visualização de seus dados tratados pela escola. Se estes estiverem dispersos em formas e locais diferentes de armazenamentos, como papéis, arquivos digitais em departamentos diferentes, em nuvem, etc. o controle será prejudicado, e o risco com possíveis perdas e vazamentos será alto, sem, contudo, poder identificar seus responsáveis.
E a exemplo do cenário contextualizado no início deste artigo, para que se possa reduzir os impactos, a escola deve ter, quando tecnicamente possível, deter e gerir o controle de tudo que é produzido (imagem, dados, áudios, textos, etc.) por seus alunos e colaboradores por quanto ocorra dentro da escola.
Por certo uma adequação das políticas e diretrizes trará certo impacto financeiro, uma vez que será preciso fazer o diagnóstico da situação atual e por conseguinte a implementação das ações necessárias para conformidade legal, minimizando o quanto possível os impactos para a imagem da instituição.
Portanto a adequação a LGPD não é mais uma opção da escola, é uma obrigação legal e moral para com os alunos e a sociedade.