Não é novidade de que a Lei Geral de Proteção de Dados (“LGPD”) vai impactar diversos setores. Mas, pensando no setor da educação, o que realmente vai mudar?
1. A LGPD não se aplica à instituições de ensino, pois não são plataformas de internet e não necessariamente lidam com dados de consumo
Mito. Instituições de ensino, tanto offline quanto online, lidam com um universo de tipos de dados pessoais, que podem ser de alunos, colaboradores, professores, terceirizados, parceiros comerciais, de consumidores e também de não consumidores. Dentre os tipos de dados, podemos destacar notas, relatórios de comportamento, dados financeiros, como de cobrança, câmeras, catracas de acesso, equipamentos. Isso pode incluir, ainda, dados sensíveis, como de saúde, biometria e religião, que, sim, podem ser utilizados, e merecem um tratamento diferenciado.
2. Sempre será necessário obter o consentimento do aluno para poder utilizar os seus dados para os diferentes fins institucionais e de marketing da instituição de ensino
Mito. Não, não será necessário obter o consentimento para tudo. Na verdade, provavelmente o consentimento será uma das formas menos utilizadas para autorizar o uso dos dados pessoais dos alunos, colaboradores e professores. A LGPD traz dez bases legais e nenhuma tem prevalência sobre a outra. Nenhuma vale mais ou pesa mais do que outra. O consentimento, portanto, não vale mais do que as outras nove bases legais. Sempre será necessário buscar a base legal mais adequada ao contexto de uso dos dados. Na maioria dos casos, a instituição de ensino poderá se valer das seguintes bases legais: (i) legítimo interesse; (ii) cumprimento de obrigação regulatória; ou (iii) obrigações oriundas de contratos.
3. A LGPD permitirá que os alunos e colaboradores requisitem a eliminação completa dos seus dados pessoais
Mito. Nenhum direito garantido pela LGPD, nem o de acesso, nem o de eliminação dos dados, nem o de explicação, são absolutos. Todos os pedidos de direitos devem ser contextualizados, principalmente, se há outras obrigações impostas à instituição que a obrigam ou a permitem a manter os dados. Por exemplo, instituições de ensino precisam manter, por obrigação regulatória do MEC, para sempre os registros escolares de seus alunos. Em outra situação, uma instituição poderia manter os dados para poder defender seus próprios direitos, como para apresentar defesa em um processo indenizatório. Portanto, sim, alguns dados precisarão ser apagados, mas nem todos. Provavelmente, mais dados poderão ser mantidos do que eliminados.
4. Os dados guardados em arquivos fixos, como de históricos escolares e de diplomas, não estão dentro do escopo de aplicação da LGPD por não serem arquivos eletrônicos.
Mito. A LGPD não diferencia a forma como os dados pessoais são tratados, seja em formato físico ou eletrônico, muito menos se o tratamento é feito em formato automatizado. Portanto, dados pessoais guardados em arquivos mortos, sim, estão protegidos e regulados pela LGPD.
5. A LGPD não se aplica ao meu caso, pois os dados pessoais são propriedade da minha instituição de ensino
Mito. Propriedade sobre o dado não pode ser confundida com titularidade. A LGPD trata o indivíduo como soberano de seus dados pessoais, ele é o titular do seu dado pessoal. É impossível a transferência da titularidade desses dados, que remontam sempre à pessoa a qual se referem. Com isso em vista, nenhuma pessoa física ou jurídica pode “tomar posse” dessas informações e fazer com ela o que bem entender, uma vez que constituem parte indissociável da personalidade humana. Ou seja, mesmo que contratualmente a propriedade sobre os dados possa vir a ser discutida, a pessoa física a quem ele se refere sempre poderá determinar os limites para os usos dos dados.
6. A LGPD obrigará as escolas a obterem o consentimento dos responsáveis para o tratamento de dados pessoais de crianças
Verdade. Para o tratamento de dados pessoais de crianças – pessoas de até 12 anos de idade incompletos –, a LGPD exige o consentimento parental expresso de pelo menos um dos responsáveis legais, exceto quando os dados forem necessários para contatá-los ou em situações emergenciais.
7. A LGPD impedirá minha instituição de ensino de coletar a biometria ou utilizar reconhecimento facial como prática de segurança para acesso ao ambiente escolar
Mito. A LGPD não implica em redução ou desincentivo às práticas de segurança. O que a lei faz é garantir ao titular a autonomia para a gerência de seus dados pessoais. Por isso, não veda, necessariamente, o uso da biometria e do reconhecimento facial para fins de segurança, somente estipula condições para a implementação dessas tecnologias (ex: transparência, base legal, não discriminação etc.) quando tais dados forem efetivamente necessários para tal finalidade. Desta forma, a LGPD não proíbe o uso de qualquer tipo de dado pessoal, apenas determina formas de como isso pode ser feito. No caso de tecnologias de reconhecimento facial, será sempre necessário verificar se não haveriam formas menos intrusivas para atingir os mesmos objetivos ou se no lugar de apenas garantir identificação ou confirmação de presença, for usada para vigilância massiva dos alunos.
8. A adequação à LGPD é uma oportunidade de melhorar a cultura da instituição e aumentar o valor da marca
Verdade. O processo de adequação à LGPD acaba por conferir à instituição diversas oportunidades de aprimoramento nos seus processos internos. A processo de adequação, ao obrigar as instituições a olhar para dentro de casa e mapear seus fluxos de dados, pode, ao fim, trazer insights para extrair novos e inovadores usos para os seus dados. Ainda, respeitar a privacidade e os direitos dos alunos, professores e colaboradores pode melhorar a reputação da instituição perante o mercado, trazer maior confiança para os alunos e responsáveis e se transformar em um diferencial competitivo.
9. A LGPD exigirá o consentimento para compartilhar os dados pessoais dos alunos no cadastramento em edtechs ou em plataformas LMS de terceiros
Verdade. Não existindo relação prévia do aluno com a plataforma, o consentimento provavelmente será a base legal mais adequada. Este deve ser obtido através de uma interação direta do aluno com a plataforma, preferencialmente por meio de gerenciadores de consentimento, formulários de cadastro sem caixas pré-marcadas, com informes claros e objetivos sobre as formas como os dados serão utilizados, devendo ser evitado relegar tais informações somente aos termos de uso e políticas de privacidade. Tais documentos, por si, sem outros meios de comunicação mais ativos, servem de defesa para a instituição, mas provavelmente não para obter um consentimento válido. Todavia, devem ter, também, menção expressa sobre a identidade da plataforma (operador) em contrato ou instrumento particular. Como alternativa, o próprio aluno ou responsável poderia efetuar o cadastro.
10. A LGPD não impedirá as instituições de ensino de divulgarem os alunos aprovados em vestibulares, ENEM ou outros certames para fins de marketing
Verdade. Nesse caso, as regras previstas no Código Civil e nos precedentes judiciais não impedem o uso comercial de nomes e imagem, desde que haja autorização expressa da pessoa ou dos seus responsáveis, no caso de menores de idade. Neste caso, a LGPD não impediria tal veiculação, apenas reforça a necessidade de consentimento do titular do dado ou, se criança ou adolescente, do seus pais ou responsáveis. Contudo, assume ainda mais importância o dever de informar o aluno e seus responsáveis de maneira clara, precisa e ostensiva sobre a divulgação, e implementar medidas de mitigação necessárias conforme o caso concreto.
11. A LGPD obrigará a instituição a, quando solicitada, fornecer ao aluno/responsável os dados pessoais e as informações que tem sobre ele
Verdade. A LGPD traz ao controlador dos dados – aquele que determina a forma e para o que os dados serão tratados –, o dever de fornecer ao titular o acesso aos seus dados pessoais, quando solicitado, além de uma série de outros direitos. Esse dever, porém, não obriga a instituição de ensino a fornecer informações confidenciais ou protegidas pelo segredo de negócios, nos termos da lei.
12. A minha instituição não se responsabilizará pelo tratamento de dados pessoais por terceiros contratados para, por exemplo, transporte, estudos do meio e/ou cursos complementares
Mito. Nesse caso, a instituição de ensino é controladora dos dados pessoais, pois decide a finalidade e as circunstâncias do tratamento que será realizado pelo terceiro. Dessa forma, há responsabilidade solidária e torna-se importante adotar salvaguardas contratuais, por meio de cláusulas de proteção de dados, além de procedimentos de due diligence para a contratação, para mitigar os riscos no caso de um tratamento inadequado pelo terceiro contratado.
13. As instituições de ensino ficarão proibidas de exibir ou publicar notas ou rankings de melhores alunos internamente
Mito. No entanto, para este fim, a instituição deverá considerar o público-alvo da informação juntamente ao veículo de divulgação para não incorrer em tratamento desproporcional e discriminatório. É importante também sempre informar o titular dos dados sobre a divulgação e garantir, dentre outros direitos, especialmente, o direito de oposição.
14. As instituições de ensino não poderão monitorar o dispositivo ou navegador do aluno quando conectado à rede Wi-Fi ou quando utilizar um computador da organização
Mito. O monitoramento poderá ser feito, mas com ressalvas, sempre. O monitoramento é um tópico que deve ser tratado com extrema cautela por poder representar uma excessiva invasão à esfera da privacidade, da intimidade e impactar a proteção de dados do aluno. A adoção de mecanismos de segurança técnica e organizacional, como rígido controle de acesso e limitação de quais serviços, conteúdo e plataformas podem ser acessados, são determinantes para a validez dessa medida, cujo prosseguimento deve se dar somente quando necessário, adequado e proporcional ao fim perseguido. Em outras palavras, a instituição não pode monitorar o que os alunos fazem em seus equipamentos ou quando utilizam redes sem fio da organização. A melhor medida seria bloquear o que não poderia ser acessado.
15. Será proibida a adoção de sistemas de radiofrequência (RFID) para medir a presença dos alunos e verificar a sua localização dentro dos limites da instituição
Mito. Tema altamente controverso, mas, novamente, nenhuma medida será proibida, mas será extremamente obrigatório verificar se a adoção de tal tecnologia é necessária e se não haveria uma forma menos intrusiva para atingir os mesmos fins. Ainda, obrigações de transparência ativa se mantêm e o fundamento do uso de tais dados em uma base legal legítima deverá ser a primeira medida a ser tomada.
