Artigo

A LGPD aplicada ao cenário da educação

A Ph.D Patricia Peck, especialista em Direito Digital e Proteção de Dados, apresenta cuidados que esse setor deve tomar para se adequar à LGPD e para, assim, ensinar aos jovens mais sobre a importância da privacidade e os riscos da superexposição no mundo atual

Foto com professor e alunos, em sala de aula. Uma aluna está com mão levantada, para fazer uma pergunta

 

31/3/2020

 

Para começar, cito uma frase que gosto muito do autor Albert Schweitzer: “O exemplo não é a melhor forma de educar, é a única". A educação é o setor abordado neste artigo. É preciso estar preparado e em conformidade porque estamos cada vez mais próximos da entrada em vigor da Lei Geral de Proteção de Dados (LGPD), prevista para agosto de 2020.

Todos os setores têm particularidades importantes que merecem atenção. No caso da educação, há um ponto favorável, considerando que ela está fundamentada na disseminação de cultura, treinamento, aprendizado, o que poderá contribuir para promover de maneira mais assertiva e efetiva as novas regras no seu ecossistema, que abriga professores, alunos, pais e outros profissionais atuantes na área.

Sendo assim, a seleção deste tema se deve ao fato de que precisamos ensinar mais os jovens sobre a importância da proteção da privacidade e os cuidados para evitar excessos de exposição. Segundo uma pesquisa do Cetic.br, já temos mais de 85% de jovens menores de 18 anos navegando pela internet e 40% das crianças realizam essa atividade sem qualquer supervisão.

Em minhas palestras costumo sempre dizer: “celular não é brinquedo!". E a maioria das aplicações na internet possui idade mínima recomendada. Em geral, a partir de 13 anos, pois até 12 anos incompletos é criança pelo Estatuto da Criança e do Adolescente (ECA), e precisa estar sempre assistido por um adulto.

Logo, criança não pode ficar na web sozinha, porque vira um “menor abandonado digital”, à mercê de abordagens de estranhos e a todo tipo de situação já que a internet é a maior rua do planeta, é a rua digital! E é dever de todos velar pela sua segurança e saúde, pelo seu bem-estar, conforme o artigo 18 do ECA.

Impressionante a pesquisa da ESBrasil, que mostra indicadores com aumento do número de crianças que deixam de dormir e de comer para estarem conectadas. A dependência de jogos online já é considerada uma CID e o Hospital das Clínicas de São Paulo possui um site para tratar esse problema  - pelo site, é realizada uma análise online sobre vício tecnológico; por exemplo, quando a primeira coisa que a pessoa faz assim que acorda é mexer no celular antes de fazer xixi ou escovar os dentes, este já é um sinal de dependência digital.

"A criança não pode ficar na web sozinha, porque vira um 'menor abandonado digital'. É dever de todos velar pela sua segurança e saúde, pelo seu bem-estar"

Por isso, tanto no Regulamento Europeu de Proteção de Dados Pessoais (GDPR), como na versão brasileira da lei, há um ponto crítico relacionado à educação que requer cuidado redobrado quando o assunto é LGPD: o artigo 14. Ele indica um controle mais rigoroso do tratamento dos dados pessoais de crianças e adolescentes por todas as instituições que de algum modo capturam informações de menores de idade.

E por que esta preocupação na legislação? Pois o risco de uma exposição ou vazamento de dados de crianças é muito alto e há alguns fatores que contribuem para isso, o primeiro deles é que elas estão cada vez mais cedo adotando recursos digitais, seja para vida pessoal, para entretenimento como também para ensino-aprendizagem.

Logo, vemos já nas escolas o dia do brinquedo digital, o uso de tablets, celulares, lousa interativa, uso de ferramentas como Moodle, aplicativos de todo o tipo, e até mesmo tecnologias de aprendizagem cognitiva com Inteligência Artificial para tornar o ensino mais customizado. Mas quando uma criança ganha um celular, como acontece bastante na época do Dia das Crianças, muitas vezes nem o fabricante nem a operadora de celular sabem que aquele dispositivo vai ser usado por um menor de idade. E ela passa a acessar aplicativos que também podem não saber que há uma criança do outro lado da tela. Por isso, a nova legislação traz regras para a forma de coleta e tratamento desses dados de menores, como a exigência de que haja a coleta do consentimento prévio, expresso, específico e destacado de um dos pais ou representante legal para legitimar o tratamento de dados, por exemplo.

O que isso quer dizer? Que cabe ao controlador realizar todos os esforços razoáveis para verificar que o consentimento foi dado pelo responsável legal da criança, considerando as tecnologias disponíveis. Se não fizer isso, está sujeito às multas que variam de 2% do faturamento até R$ 50 milhões de reais.

Mesmo em casos específicos, em que a instituição precise contatar os pais ou representantes legais, se não tiver o consentimento ainda, esses dados coletados só poderão ser usados para essa ação pontual, e apenas uma única vez, não sendo permitido armazená-los.

Dados sensíveis

Além dos dados pessoais, que identificam a criança ou adolescente, como nome completo, dados dos pais, endereço, entre outros, há os dados sensíveis, que incluem religião, origem racial ou étnica e até informações sobre saúde não estão de fora das exigências tratadas na LGPD. Portanto, no caso escolar, os relatórios pedagógicos sobre o rendimento do aluno têm muitas informações que se enquadram na categoria de dados sensíveis.

Portanto, teremos de passar por uma transformação nas práticas e costumes dos ambientes de ensino, que vai desde creches, escolas, universidades, mantenedoras sociais e/ou religiosas, até todos os fornecedores que atuam em conjunto com elas, como o transporte escolar, os responsáveis por passeios e excursões, até mesmo o teatro, o museu, o cinema e ambientes que realizem atividades esportiva. Há muito trabalho a ser feito para que tudo esteja em conformidade.

"Teremos de passar por uma transformação nas práticas e costumes dos ambientes de ensino, que vai desde creches, escolas, universidades, mantenedoras sociais e/ou religiosas, até todos os fornecedores que atuam em conjunto com elas, como o transporte escolar, os responsáveis por passeios e excursões, o teatro, o museu, o cinema e ambientes que realizem atividades esportivas"

Tendo em vista que, com o avanço do digital, esses dados migraram de alguma forma para plataformas digitais em intranets, sites, aplicativos, ainda que com acesso restrito, agora precisam ser revistas e construídas novas políticas de uso e de acesso. É o desafio do equilíbrio entre a conveniência e a lei.

Atenção redobrada


As instituições de ensino terão de buscar parcerias com profissionais que as ajudem com as exigências da LGPD e para que consigam redesenhar suas estratégias de forma a causar o menor impacto possível em seus processos e ao mesmo tempo as deixem em conformidade. É uma nova cultura, no coração dos agentes da cultura.

A lei prevê ainda a obrigatoriedade da criação de uma função específica para cuidar desse gerenciamento e da aplicação das regras que promovam a conformidade com a LGPD, que é o DPO ou o encarregado de dados. Este é o profissional que irá assumir esse cargo na instituição, tanto pode ser interno como terceirizado, sendo responsável pela proteção de dados pessoais e sensíveis na escola ou universidade.

Essas instituições de ensino terão de já implementar essa nova cultura desde o ponto de partida de coleta de dados, que ocorre no ato da matrícula, e também uma análise minuciosa do cenário atual para traçar um plano de ação. Em princípio, as prioridades são adequar a recepção (que tem inclusive autenticação de visitantes), atualizar contrato de trabalho, contrato de prestação de serviços, contrato de ensino, política de privacidade que precisa estar no portal, pois pela lei os controladores devem manter pública a informação dos tipos de dados pessoais que são coletados, a sua forma de utilização, e os procedimentos para exercer os direitos dos titulares previstos no artigo 18 da LGPD.

Nessa jornada, terá de rever processos de armazenamento das informações, desenhar logística para autorizações, deixar claras as políticas de uso dos dados (finalidades), para que tudo esteja disponível de maneira ágil e inteligente no resgate, caso seja solicitado pelos pais, para atender a quaisquer exigências deles, por alguma razão.

O legado

E os dados que já existem nas instituições de ensino (o legado)? Eles receberão o mesmo tratamento dos novos, ou seja, terão de se submeter às novas exigências estabelecidas na LGPD. Os que não podem mais existir no armazenamento deverão ser eliminados e os que podem permanecer vão necessitar de autorização. Portanto, deverão ser reapresentados aos pais ou representantes legais para que sejam autorizados para uso, respeitando as exigências.

A preocupação vai muito mais além na Europa, onde as regras do regulamento europeu estão em vigor desde maio de 2018, e que serviu de base para a construção da LGPD. As exigências por lá seguem de maneira cada vez mais duras. Em julho deste ano, na Alemanha, as crianças do estado de Hesse não poderão usar o MS Office 365 para fazer seus trabalhos nas escolas. A decisão partiu da Comissão Local para a Proteção de Dados e Liberdade da Informação (HBDI), que interpretou que a ferramenta da Microsoft não atende às regras do GDPR, por coletar dados dos menores sem consentimento. Essa restrição se estende ao iWork da Apple e ao Google Docs, que foram igualmente banidos das escolas do estado.

Não há como não se preparar ou como fugir desse novo cenário. Até porque quem não estiver alinhado sofrerá advertências e multas pesadas. Assim, é muito importante estar em linha com o armazenamento adequado desses dados, e estar pronto para atender às solicitações dos titulares, caso os solicitem, em até 15 dias (previsto na lei), entre outras regras. Afinal, o ambiente educacional precisa ser exemplo de cumprimento dos direitos humanos e de conformidade com as leis.

 

É advogada especialista em Direito Digital, Propriedade Intelectual, Proteção de Dados e Cibersegurança. Graduada e Doutorada pela Universidade de São Paulo (USP), PhD em Direito Internacional. Pesquisadora convidada do Instituto Max Planck de Hamburgo e Munique, e da Universidade de Columbia nos EUA. Professora convidada da Universidade de Coimbra em Portugal e da Universidade Central do Chile. Professora convidada de Cibersegurança da Escola de Inteligência do Exército Brasileiro.  Certificada em Privacy e Data Protection pela Exin Foundation em GDPR e LGPD. Advogada Mais Admirada em Propriedade Intelectual de 2007 a 2019. Árbitra do Conselho Arbitral do Estado de São Paulo (Caeso), vice-presidente Jurídica da Associação Brasileira dos Profissionais e Empresas de Segurança da Informação (Aseg) e membro do Conselho de Ética da Abed. Professora e coordenadora da pós-graduação em Gestão da Inovação e Direito Digital da FIA. Autora/coautora de 25 livros de Direito Digital. Sócia do escritório PG Advogados, da empresa de educação Peck Sleiman Edu e presidente do Instituto iStart de Ética Digital. Programadora desde os 13 anos, autodidata em Basic, Cobol, C++, Html. Recebeu prêmios como  Compliance Digital pelo LEC em 2018 e Security Leaders em 2012 e 2015, e foi concedorada com 5 medalhas militares.

 

Também quer colaborar?
A expectativa deste portal, colaborativo e dinâmico, é integrar opiniões divergentes e convergentes sobre a LGPD, desafios e conquistas da lei. É um ambiente aberto ao debate plural e com a vocação de serviço público: precisa da sociedade civil, governo, setor privado, academia e imprensa para crescer e alcançar o objetivo, comum a todos, de ajudar a zelar pela privacidade e proteção dos dados dos cidadãos do país. Se você também tem algum conteúdo recente - ou mesmo exclusivo - autoral ou autorizado relacionado à LGPD, e que seja de interesse público, clique aqui e veja como contribuir. No link você encontra também a linha editorial do portal.

Serpro LGPD
Serpro e LGPD:
segurança e inovação