Carregando...
ANPD Governança Digital LGPD Proteção de Dados

Instituição de ensino, saiba quais são os riscos de não se adequar à LGPD

Você que trabalha em uma Instituição de Ensino sabe quais são os riscos de não se adequar à LGPD? Imagine um professor de educação infantil que propõe que seu aluno desenhe sobre suas férias. Sem muito pensar, a criança já rabisca na folha de papel sua própria imagem em um jogo de futebol vestindo a camisa de seu time favorito. Identificou o que é dado pessoal nesta situação? Não? Aí está o primeiro risco: sequer saber que a LGPD se aplica a mais situações do que se imagina.
14.10.2022 por DCOM
Foto colaborador

Imagine um professor de educação infantil que propõe que seu aluno desenhe sobre suas férias. Sem muito pensar, a criança já rabisca na folha de papel sua própria imagem em um jogo de futebol vestindo a camisa de seu time favorito.

Vamos pensar agora que uma professora de ensino médio ou de uma faculdade proponha um debate sobre a importância de um evento histórico. Na defesa de seu ponto de vista, uma aluna argumenta que aquele evento teve grande impacto na história de sua religião. A aluna não quis informar qual era sua convicção religiosa, mas ao relacioná-la com um evento histórico, é possível extrair esta informação.

O que essas duas situações têm em comum? O fato de que em ambas a nossa Lei Geral de Proteção de Dados Pessoais, a LGPD, se aplica.

E você deve estar se perguntando: “Mas como assim? Time de futebol e religião também são dados pessoais? Não era só nome, CPF e RG?”

E aqui está o primeiro risco: sequer saber que a LGPD se aplica a bem mais situações do que se imagina em um primeiro momento.

Vamos começar pelo básico

Antes de seguir com os demais riscos, é importante saber o que são dados pessoais e o que é considerado tratamento de dados pessoais.

De acordo com a LGPD, dado pessoal é qualquer informação que identifique ou possa tornar uma pessoa identificável. Ou seja, o conceito abarca desde os dados pessoais mais tradicionais (como nome, CPF, e-mail, número de matrícula etc.), até aqueles que, em um primeiro momento, não identificariam uma pessoa, mas a depender do contexto poderiam identificá-la (como ano escolar, cor da camisa, algum atributo físico da pessoa, o time que ela torce, sua religião etc.).

Já tratamento abarca qualquer operação realizada com dados pessoais [1]. Para ficar mais fácil, basta lembrar: se você acessa, de qualquer forma, um dados pessoal, você já está tratando esse dado; se viu o dado, já há tratamento.

Por fim, é importante saber que as pessoas naturais, físicas, pessoas a quem os dados se referem, são todas titulares de dados pessoais, ou seja, donas dos dados.

Pensando nesta ideia, não é difícil ver que no setor da educação o tratamento de dados pessoais ocorre em grande intensidade. Desde o cadastro escolar, em que são coletadas informações do aluno e dos seus responsáveis, até em uma atividade em sala de aula, em que o aluno, ainda que inconscientemente, pode transmitir uma informação a seu professor e a seus colegas capaz de o tornar identificável, como no exemplo acima, e tudo que se relaciona com o departamento de pessoal e recursos humanos: a todo tempo há o tratamento de dados pessoais.

Mas, afinal, quais são os riscos em não observar o que diz a LGPD?

Por ser um ambiente de grande fluxo de dados pessoais, é de se esperar que as instituições de ensino estejam propensas a mais incidentes. Na verdade, foi constatado que a área da educação é a segunda mais vulnerável em incidentes de segurança, o que indica que o setor deve redobrar sua atenção quando o assunto é proteção de dados.

Nesse cenário, os principais riscos são os seguintes:

1)  Ter que ressarcir danos causados a alunos e colaboradores

Um incidente pode acabar gerando danos aos titulares dos dados. Por exemplo, se toda folha de pagamento dos professores for disponibilizada para alguém que não deveria ter acesso a esses dados, os professores podem sofrer diversos tipos de fraudes e extorsões. Neste caso, os titulares dos danos poderão ajuizar ações para serem indenizados. E quanto maior o impacto de um incidente, maior será o valor da indenização paga aos titulares.

2)  Perda de confiança dos pais ou responsáveis

A escolha por uma instituição de ensino envolve vários fatores e um deles é o grau de confiança da instituição. Ignorar a LGPD, sobretudo nesta era de grande produção de dados pessoais, pode resultar no descrédito de sua instituição por parte de pais ou responsáveis.

3)  Perda de oportunidade de negócio

Não ter Programa de Governança em Proteção de Dados, consequência direta da adequação à LGPD, pode afastar parceiros e investidores. Cada vez mais investidores e empresas esperam que seus parceiros de negócio adotem um Programa de Governança em Proteção de Dados. Para alguns, a existência do Programa é requisito fundamental para firmar contratos e liberar investimentos.

4)  Penalidades por parte do Estado

A inexistência de um Programa de Governança de Dados pode implicar em uma maior penalidade administrativa (uma multa maior, por exemplo). Isso porque, a Autoridade Nacional de Proteção de Dados (ANDP), que está prestes a regulamentar as penas aplicáveis no caso de incidentes com dados pessoais, entende que um dos fatores que reduzem a pena é a constatação de que o infrator adotou um Programa de Governança regras de Boas Práticas na matéria de proteção de dados.

Entendeu os riscos de não se adequar à LGPD? O próximo passo é saber qual o grau de maturidade de sua instituição. Quer saber como? Clique aqui!

 

[1] De acordo com a LGPD, tratamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.