A LGPD & AS INSTITUIÇÕES DE ENSINO

A LGPD & AS INSTITUIÇÕES DE ENSINO

12/11/2020

Finalmente, depois de idas e vindas, encontros e desencontros, informações e desinformações a LGPD (Lei Geral de Proteção de Dados) entrou em vigor no dia 18 de setembro de 2020.

O que você tem a ver com isso?   Tudo!

Oi? Mas em que a LGPD se relaciona comigo?

Como o próprio nome já diz, a Lei Geral envolve todas as pessoas, físicas e jurídicas, cidadãos e empresas, públicas e privadas. A Proteção de Dados refere-se à regulamentação das informações pessoais, simples ou sensíveis, que devem ser protegidas, desde a coleta, o armazenamento, o processamento e o descarte dos dados. Sejam físicos, sejam digitais.  Essa lei, veio, na verdade, complementar a Constituição Federal, o Código de Defesa do Consumidor e o Marco Civil da Internet. Alinhada com as boas práticas mundiais e éticas, ela está em conformidade com leis de outros países, principalmente da Europa e da América do Norte.

Assim, ela passa a ser um marco legal amplo que visa organizar a forma como os dados das pessoas são expostos e tratados. Justamente por isso, está sendo criada a Autoridade Nacional de Proteção de Dados (ANPD), com o intuito de orientar e fiscalizar possíveis desvios em relação à LGPD.  Aí, eu me pergunto: as Instituições de Ensino também?  Apesar das Instituições de Ensino oferecerem acesso à Educação, um direito sublime, elas não devem esquecer que se constituem como empresas com obrigações jurídicas e, portanto, estão também sujeitas à LGPD.

Mesmo que suas sanções entrem em vigor apenas em janeiro de 2021, devemos nos lembrar de dois pontos muito importantes quando se envolve questão legal.

1º – Que ninguém pode declarar desconhecimento da lei, seja ela qual for;

2º – Que a análise jurídica é feita sempre mediante 3 premissas: negligência, imprudência e imperícia.  A negligência pode ser conferida ao fato da instituição não ter o cuidado e atenção adequados às informações que, de certa forma, estão em seu poder ou que ela tem acesso. Seja como cadastro de clientes, colaboradores ou profissionais parceiros. Em outras palavras, não cumprindo com os protocolos de segurança e proteção à privacidade das pessoas as quais a instituição se relaciona.  A imprudência, por sua vez, pode ser aferida devido à não observância desses protocolos de segurança e proteção de dados, permitindo uma série de vulnerabilidades das informações que circulam pela instituição.  A imperícia pelo fato da instituição não tomar atitudes a ações que possam coibir possíveis pontos de vulnerabilidade, não agindo de maneira adequada para corrigir as próprias limitações, sejam técnicas ou pessoais. Em outras palavras, não reconhecendo e não procurando solucionar fragilidades tecnológicas e de governança das informações que ela reconhece não ser capaz fazê-lo.  Ok! Então, agora é só se atentar aos cuidados que devemos ter?  Em suma, a LGPD consiste basicamente em 3 pilares: Consentimento, Finalidade e Proteção.

E 3 princípios: Finalidade, Transparência e Segurança.  O consentimento envolve a anuência por parte da pessoa que fornece a própria informação. Para isso, ela deve autorizar o tratamento dos seus dados. Lembrando que quando falamos em tratamento de dados, estamos nos referindo desde a coleta, passando pelo armazenamento, o processamento e a eliminação desses dados.  Isso nos leva ao princípio da transparência. Em outras palavras, à autodeterminação informativa, ou seja, ao meu direito de conhecimento. Com isso, traz-nos à obrigatoriedade de informar:

  • Para que esses dados estão sendo coletados?
  • Por que essas informações são necessárias?
  • Onde os dados serão armazenados?
  • Como eles serão processados?
  • Quem terá acesso a eles e com qual finalidade?
  • Quando os dados não serão mais necessários, ou seja, até quando serão armazenados?
  • E como serão descartados?

O pilar e princípio da finalidade traz a necessidade de se pensar quais as informações realmente devem ser tratadas. Isto é, as instituições de ensino continuam podendo coletar, armazenar, processar e descartar dados dos estudantes, dos responsáveis, seus colaboradores e fornecedores sem problema algum.   Entretanto, além da transparência na informação de quais dados são necessários, é de extrema importância a clareza da finalidade desse tratamento. Assim sendo, o uso dos dados além do necessário passa a ser ação ilícita.  As instituições de ensino, de forma geral, carregam uma ampla memória histórica dos estudantes. Reconhecemos que alguns dados são necessários e obrigatórios por questões de legislação específica do segmento da Educação (notas, frequências, histórico escolar, apontamentos dos estudantes etc.). Devido a isso, a responsabilidade para as instituições de ensino e, consequentemente, seus colaboradores, aumenta consideravelmente.

Muito bom mesmo, mas que tal trabalhar em equipe?

Por isso, faz-se necessário a observância do estabelecimento de protocolos e a pronta revisão de política de Segurança da Informação e da política de Privacidade e Proteção de Dados. Para isso, nossa sugestão é que seja criada uma equipe (ou comitê) de Proteção de Dados e Gestão de Crises.   Essa equipe, ou comitê, tem como responsabilidade classificar os dados coletados e que serão processados. Dados como os pessoais (RG, CPF, data de nascimento etc.), os sensíveis (medicamentos, saúde, religião etc.) ou os legais (frequências, notas, anotações comportamentais etc.),   Da mesma forma, esse comitê tem a responsabilidade de desenhar o fluxo dos dados para serem processados.

Quais setores e quais pessoas devem ter acesso às informações e por quanto tempo. Além disso, ficam também responsáveis por garantir a política de segurança, certificando que não haja nenhum tipo de vazamento e que os protocolos tecnológicos (firewall, antivírus, senhas etc.) sejam observados, bem como os protocolos de governança de dados (procedimentos, estratégias, ações etc.) necessários para a proteção das informações estejam sendo aplicados.  O Comitê também assume o papel de Gestão de Crises, antecipando movimentos e agindo na prevenção, sensibilização e conscientização de todos os envolvidos. Em outras palavras, ele deve organizar ciclos de capacitações e treinamentos de todos os colaboradores e fornecedores que, de forma direta ou indireta, têm acesso aos dados que por ali transitam. Da mesma forma, deve estar pronto para agir em situações adversas:

  • O que ocorreu?
  • O que fizemos para mitigar o ocorrido?
  • O que vamos fazer daqui para frente para que não ocorra novamente?

Assim, uma vez feita uma análise pormenorizada do fluxo completo adotado, deve-se pensar no aprimoramento desse fluxo e no investimento necessário para garantir o cumprimento dos protocolos estabelecidos. É importante destacar que os dados antigos também devem ser legitimados, os prazos de armazenamento devem ser claros e as respostas aos possíveis questionamentos devem ser precisas e imediatas.  Para isso, inspirada pela GDPR (General Data Protection Regulation) da União Europeia, a LGPD instrui que deve ser criada a função do DPO (Data Protection Officer). Esse é o profissional que, dentro da instituição, está encarregado de cuidar das questões referentes à proteção dos dados da organização e de seus clientes. Lembramos que esse profissional pode ser um colaborador da própria instituição, ou um agente externo. Seja qual for a escolha, ele deve ter independência e responder diretamente ao responsável legal.  Sintetizando…

Em resumo, é necessária uma política de “Boas Práticas”.   Devem ser adotadas ações técnicas e administrativas para controle de acesso aos dados. Medidas que protejam os dados de todos os sujeitos partícipes da atividade da instituição para quaisquer tipos de violação. Lembrando que violação significa perda, eliminação, vazamento dos dados, invasões, vírus etc. Portanto, é necessário ter um plano de ação predefinido de respostas e mediações a incidentes.  Devemos nos lembrar ainda que, ao escolher um prestador de serviço como parceiro comercial na ação de proteção de dados, deve-se ter o cuidado necessário nessa parceria e escolher uma empresa idônea, séria e que realmente esteja alinhada com a nova LGPD.  Em outras palavras, os papéis dos agentes operadores e controladores devem ser muito bem definidos e claros. O controlador é a quem compete as decisões relativas ao tratamento; o operador é quem realiza o tratamento, em nome do controlador. De forma objetiva, a instituição de ensino, como controladora, é responsável por checar a idoneidade da operadora, e o prestador de serviço é responsável pelo tratamento dos dados. Importante notar que, nesse caso, ambos possuem uma “Responsabilidade Solidária”, ou seja, uma corresponsabilidade.

Por fim, devemos levar em consideração alguns pontos:

  • A gestão do consentimento e o direito à confirmação do tratamento;
  • A transparência dos dados;
  • As hipóteses legais que permitem e obrigam a coleta de alguns dados específicos;
  • Quais dados a Instituição de Ensino deve guardar legalmente;
  • O investimento em infraestrutura;
  • As revisões contratuais;
  • A sensibilização e conscientização das equipes;
  • O cuidado maior com informações de crianças e adolescentes;
  • Definição e aplicação dos protocolos;

Boa implantação da LGPD!

Artigo escrito por: Prof. Dr. Francisco A. C. Mendes | Fonte: Canal Comstor – O blog dos negócios de TI. https://bit.ly/32Ho5D4

 

N&DC Systems IntegrationA LGPD & AS INSTITUIÇÕES DE ENSINO
Leia Mais
Os segredos de ensinar em um mundo digital

Os segredos de ensinar em um mundo digital

25/09/2018

Quando eu tinha 8 anos, fazia trabalhos escolares na biblioteca e lia infinitos livros e revistas impressas. Quando eu tinha 18 anos, eu já quase não frequentava mais a biblioteca, esperava ansiosa até a meia noite para pagar apenas um pulso por ligação e passava a madrugada fazendo todos os meus trabalhos na internet, além de ficar horas lendo notícias na web e compartilhando com meus amigos através de ferramentas de chat.
Dez anos se passaram desde então e, hoje em dia, aprendo algo novo toda hora navegando pela rede e nas mídias sociais. A primeira coisa que faço quando quero saber sobre algo é buscar vídeos e aulas online ou perguntar em algum dos meus grupos de mensagens quais são os melhores sites ou aplicativos para desvendar o assunto.
Muita coisa mudou na maneira como adquirimos conhecimento. Não só em termos de conteúdos que consumimos, como também nossa expectativa em relação ao tempo necessário para aprender algo novo. Os jovens já nasceram em um mundo conectado e aprender se tornou uma atividade que não é restrita a um lugar ou horário. Em meio a essa abundância de informação, o desafio é saber filtrar o que é de fato relevante.
Durante o Cisco Connect 2018, Ricardo Santos, líder para educação e saúde da Cisco na América Latina, comentou sobre como essas mudanças no perfil dos alunos impacta as metodologias de ensino atuais. A sala de aula tradicional já não é mais suficiente. Os alunos não querem sentar e copiar em um caderno o conteúdo da lousa. Informação existe em todo lugar, o importante é ter a oportunidade de discutir e discernir sobre o tema em pauta.
Segundo a pirâmide do aprendizado de Edgar Dale, colocar em prática aquilo que estamos estudando resulta em 90% de retenção após duas semanas do fim de um programa educacional, enquanto uma participação mais passiva, como por exemplo, ler um conteúdo leva a uma retenção de apenas 10%.

Nesse contexto, metodologias que possibilitem aulas mais dinâmicas, interativas e flexíveis apresentam um mundo de possibilidades. Aprendizagem baseada em projetos, aprendizado personalizado, sala de aula invertida, são apenas algumas delas. Aliás, esses temas são apresentados por um professor da USP em uma entrevista bem interessante que publicamos na página 6 da nossa revista Cisco Live.
O Ensino a Distância (EAD) também vem crescendo. Dados do Censo Escolar divulgados em setembro de 2018 pelo Instituto Nacional de Estudos e Pesquisas Educacionais (Inep), mostram que em uma década, de 2007 a 2017, as matrículas em cursos a distância aumentaram 375,2%, em média, contra alta de 33,8% na modalidade presencial.
Frente a consolidação dessa tendência, ecoa uma pergunta fundamental, que toda instituição de ensino deve fazer: Como habilitar essas novas modalidades de ensino? A resposta é: tecnologia e capacitação.
Uma abordagem de TI que incorpora elementos de conectividade, vídeo e colaboração permite a interação dentro e fora da sala de aula, com especialistas locais e globais. Um data center robusto transforma dados em descobertas, possibilitando o uso de poderosos softwares de pesquisa e ensino. E não podemos esquecer do componente de segurança, uma vez que, por sua natureza colaborativa, o setor de educação tende a ser um dos mais vulneráveis a ataques cibernéticos.
A propósito, veja como a FEI preparou sua infraestrutura para melhorar a experiência dos alunos e como a UEPG usa a tecnologia para habilitar a formação de mais médicos.
Agora, de nada adianta oferecer as tecnologias mais avançadas do mercado ao corpo docente, sem oferecer capacitação e incentivo à adoção. Para assegurar o sucesso da implementação de iniciativas de transformação, a criação de uma cultura digital tem que ser a base da instituição de ensino.
Entretanto, uma mudança de cultura não é fácil. É necessário que os líderes e gerentes estejam engajados nos programas de desenvolvimento de habilidades digitais, além de mudanças significativas nos hábitos e nos processos.
Por fim, se você está se perguntando por onde começar, sugiro ler o nosso Guia para a Transformação Digital dos Ambientes de Aprendizagem para descobrir o caminho das pedras na implementação e adoção de novas tecnologias.

Blog Cisco Brasil – Educação
Por Karen Kuba

N&DC Systems IntegrationOs segredos de ensinar em um mundo digital
Leia Mais

Posts Recentes

Categorias