Finalmente, depois de idas e vindas, encontros e desencontros, informações e desinformações a LGPD (Lei Geral de Proteção de Dados) entrou em vigor no dia 18 de setembro de 2020.
O que você tem a ver com isso? Tudo!
Oi? Mas em que a LGPD se relaciona comigo?
Como o próprio nome já diz, a Lei Geral envolve todas as pessoas, físicas e jurídicas, cidadãos e empresas, públicas e privadas. A Proteção de Dados refere-se à regulamentação das informações pessoais, simples ou sensíveis, que devem ser protegidas, desde a coleta, o armazenamento, o processamento e o descarte dos dados. Sejam físicos, sejam digitais. Essa lei, veio, na verdade, complementar a Constituição Federal, o Código de Defesa do Consumidor e o Marco Civil da Internet. Alinhada com as boas práticas mundiais e éticas, ela está em conformidade com leis de outros países, principalmente da Europa e da América do Norte.
Assim, ela passa a ser um marco legal amplo que visa organizar a forma como os dados das pessoas são expostos e tratados. Justamente por isso, está sendo criada a Autoridade Nacional de Proteção de Dados (ANPD), com o intuito de orientar e fiscalizar possíveis desvios em relação à LGPD. Aí, eu me pergunto: as Instituições de Ensino também? Apesar das Instituições de Ensino oferecerem acesso à Educação, um direito sublime, elas não devem esquecer que se constituem como empresas com obrigações jurídicas e, portanto, estão também sujeitas à LGPD.
Mesmo que suas sanções entrem em vigor apenas em janeiro de 2021, devemos nos lembrar de dois pontos muito importantes quando se envolve questão legal.
1º – Que ninguém pode declarar desconhecimento da lei, seja ela qual for;
2º – Que a análise jurídica é feita sempre mediante 3 premissas: negligência, imprudência e imperícia. A negligência pode ser conferida ao fato da instituição não ter o cuidado e atenção adequados às informações que, de certa forma, estão em seu poder ou que ela tem acesso. Seja como cadastro de clientes, colaboradores ou profissionais parceiros. Em outras palavras, não cumprindo com os protocolos de segurança e proteção à privacidade das pessoas as quais a instituição se relaciona. A imprudência, por sua vez, pode ser aferida devido à não observância desses protocolos de segurança e proteção de dados, permitindo uma série de vulnerabilidades das informações que circulam pela instituição. A imperícia pelo fato da instituição não tomar atitudes a ações que possam coibir possíveis pontos de vulnerabilidade, não agindo de maneira adequada para corrigir as próprias limitações, sejam técnicas ou pessoais. Em outras palavras, não reconhecendo e não procurando solucionar fragilidades tecnológicas e de governança das informações que ela reconhece não ser capaz fazê-lo. Ok! Então, agora é só se atentar aos cuidados que devemos ter? Em suma, a LGPD consiste basicamente em 3 pilares: Consentimento, Finalidade e Proteção.
E 3 princípios: Finalidade, Transparência e Segurança. O consentimento envolve a anuência por parte da pessoa que fornece a própria informação. Para isso, ela deve autorizar o tratamento dos seus dados. Lembrando que quando falamos em tratamento de dados, estamos nos referindo desde a coleta, passando pelo armazenamento, o processamento e a eliminação desses dados. Isso nos leva ao princípio da transparência. Em outras palavras, à autodeterminação informativa, ou seja, ao meu direito de conhecimento. Com isso, traz-nos à obrigatoriedade de informar:
- Para que esses dados estão sendo coletados?
- Por que essas informações são necessárias?
- Onde os dados serão armazenados?
- Como eles serão processados?
- Quem terá acesso a eles e com qual finalidade?
- Quando os dados não serão mais necessários, ou seja, até quando serão armazenados?
- E como serão descartados?
O pilar e princípio da finalidade traz a necessidade de se pensar quais as informações realmente devem ser tratadas. Isto é, as instituições de ensino continuam podendo coletar, armazenar, processar e descartar dados dos estudantes, dos responsáveis, seus colaboradores e fornecedores sem problema algum. Entretanto, além da transparência na informação de quais dados são necessários, é de extrema importância a clareza da finalidade desse tratamento. Assim sendo, o uso dos dados além do necessário passa a ser ação ilícita. As instituições de ensino, de forma geral, carregam uma ampla memória histórica dos estudantes. Reconhecemos que alguns dados são necessários e obrigatórios por questões de legislação específica do segmento da Educação (notas, frequências, histórico escolar, apontamentos dos estudantes etc.). Devido a isso, a responsabilidade para as instituições de ensino e, consequentemente, seus colaboradores, aumenta consideravelmente.
Muito bom mesmo, mas que tal trabalhar em equipe?
Por isso, faz-se necessário a observância do estabelecimento de protocolos e a pronta revisão de política de Segurança da Informação e da política de Privacidade e Proteção de Dados. Para isso, nossa sugestão é que seja criada uma equipe (ou comitê) de Proteção de Dados e Gestão de Crises. Essa equipe, ou comitê, tem como responsabilidade classificar os dados coletados e que serão processados. Dados como os pessoais (RG, CPF, data de nascimento etc.), os sensíveis (medicamentos, saúde, religião etc.) ou os legais (frequências, notas, anotações comportamentais etc.), Da mesma forma, esse comitê tem a responsabilidade de desenhar o fluxo dos dados para serem processados.
Quais setores e quais pessoas devem ter acesso às informações e por quanto tempo. Além disso, ficam também responsáveis por garantir a política de segurança, certificando que não haja nenhum tipo de vazamento e que os protocolos tecnológicos (firewall, antivírus, senhas etc.) sejam observados, bem como os protocolos de governança de dados (procedimentos, estratégias, ações etc.) necessários para a proteção das informações estejam sendo aplicados. O Comitê também assume o papel de Gestão de Crises, antecipando movimentos e agindo na prevenção, sensibilização e conscientização de todos os envolvidos. Em outras palavras, ele deve organizar ciclos de capacitações e treinamentos de todos os colaboradores e fornecedores que, de forma direta ou indireta, têm acesso aos dados que por ali transitam. Da mesma forma, deve estar pronto para agir em situações adversas:
- O que ocorreu?
- O que fizemos para mitigar o ocorrido?
- O que vamos fazer daqui para frente para que não ocorra novamente?
Assim, uma vez feita uma análise pormenorizada do fluxo completo adotado, deve-se pensar no aprimoramento desse fluxo e no investimento necessário para garantir o cumprimento dos protocolos estabelecidos. É importante destacar que os dados antigos também devem ser legitimados, os prazos de armazenamento devem ser claros e as respostas aos possíveis questionamentos devem ser precisas e imediatas. Para isso, inspirada pela GDPR (General Data Protection Regulation) da União Europeia, a LGPD instrui que deve ser criada a função do DPO (Data Protection Officer). Esse é o profissional que, dentro da instituição, está encarregado de cuidar das questões referentes à proteção dos dados da organização e de seus clientes. Lembramos que esse profissional pode ser um colaborador da própria instituição, ou um agente externo. Seja qual for a escolha, ele deve ter independência e responder diretamente ao responsável legal. Sintetizando…
Em resumo, é necessária uma política de “Boas Práticas”. Devem ser adotadas ações técnicas e administrativas para controle de acesso aos dados. Medidas que protejam os dados de todos os sujeitos partícipes da atividade da instituição para quaisquer tipos de violação. Lembrando que violação significa perda, eliminação, vazamento dos dados, invasões, vírus etc. Portanto, é necessário ter um plano de ação predefinido de respostas e mediações a incidentes. Devemos nos lembrar ainda que, ao escolher um prestador de serviço como parceiro comercial na ação de proteção de dados, deve-se ter o cuidado necessário nessa parceria e escolher uma empresa idônea, séria e que realmente esteja alinhada com a nova LGPD. Em outras palavras, os papéis dos agentes operadores e controladores devem ser muito bem definidos e claros. O controlador é a quem compete as decisões relativas ao tratamento; o operador é quem realiza o tratamento, em nome do controlador. De forma objetiva, a instituição de ensino, como controladora, é responsável por checar a idoneidade da operadora, e o prestador de serviço é responsável pelo tratamento dos dados. Importante notar que, nesse caso, ambos possuem uma “Responsabilidade Solidária”, ou seja, uma corresponsabilidade.
Por fim, devemos levar em consideração alguns pontos:
- A gestão do consentimento e o direito à confirmação do tratamento;
- A transparência dos dados;
- As hipóteses legais que permitem e obrigam a coleta de alguns dados específicos;
- Quais dados a Instituição de Ensino deve guardar legalmente;
- O investimento em infraestrutura;
- As revisões contratuais;
- A sensibilização e conscientização das equipes;
- O cuidado maior com informações de crianças e adolescentes;
- Definição e aplicação dos protocolos;
Boa implantação da LGPD!
Artigo escrito por: Prof. Dr. Francisco A. C. Mendes | Fonte: Canal Comstor – O blog dos negócios de TI. https://bit.ly/32Ho5D4
