Como escolas e universidades devem se preparar para a LGPD?

Impactando a todos, a Lei Geral de Proteção de Dados, conhecida como LGPD, está a poucos meses de sua vigência e ainda está causando grande repercussão entre as empresas. Para alguns setores da economia brasileira, a lei, que entra em vigor em agosto deste ano, implica questões mais específicas, de acordo com o seu modelo de negócio. É o que acontece com as escolas e universidades, que lidam com dados pessoais de alunos, funcionários e terceirizados, com aspectos importantes, independentemente se os dados são tratados de forma física ou digital.

No caso de crianças, menores de 12 anos, por exemplo, a LGPD exige o consentimento específico dos pais ou responsáveis legais para o tratamento dos dados pessoais. Para os demais alunos, é fundamental entendermos quais dados coletamos e se estão de acordo com a finalidade proposta pela instituição de ensino. A coleta indevida de dados deverá ser cessada a fim de evitar possíveis penalidades pela Autoridade Nacional de Proteção de Dados (ANPD), órgão fiscalizador e regulador que terá papel importante no cumprimento da lei no Brasil.  

A principal lição de casa das escolas e universidades é a necessidade de revisão de todos os documentos contratuais existentes com seus alunos, funcionários e terceirizados, além da implementação de uma política de proteção de dados e de privacidade. A lei também indica a necessidade de investimentos na camada de segurança da informação de escolas e universidades, que tenham como objetivo a proteção dos dados contra possíveis vazamentos.

Assim como todas as empresas que tratam dados pessoais, seja de clientes ou de seus próprios colaboradores, o principal passo é dar início a um projeto de governança sobre privacidade e proteção de dados. Ter o mapeamento correto dos dados pessoais e sensíveis dentro de sua organização é fundamental para entendermos quais dados tratamos, o motivo e a base legal para aquele tratamento. Também é fundamental o entendimento da maturidade sobre segurança da informação, para que os investimentos apropriados em tecnologia sejam executados conforme indica a nova lei. Além disso, a conscientização dos colaboradores será fundamental para que o projeto tenha sucesso e todos estejam engajados na proteção dos dados.

Com a entrada da LGPD em vigor, as instituições de ensino precisam garantir que os dados coletados tenham bases legais para tal coleta. Ou seja, dados que não possuem uma justificativa legal, não deverão ser mais coletados. É importante que todos leiam com atenção os novos termos de consentimento que vão surgir com a nova lei, para que de fato os dados autorizados para coleta e tratamento tenham uma justificativa coerente com a necessidade das instituições.

Tiago Brack Miranda - especialista em Gestão da Segurança da Informação da Indyxa, empresa especializada em infraestruturas para missão crítica.