Por Guilherme Otto Brito Koehne
Como a LGPD pode impactar as atividades das escolas
Nos termos do artigo 5º da Lei nº 13.709 de 14 de agosto de 2018, a Lei Geral de Proteção de Dados (LGPD), que entrou em vigor no dia 18/9/2020, diz que dado pessoal é toda informação relacionada a uma pessoa natural identificada ou identificável, por exemplo: nome, CPF, RG, gênero, data e local de nascimento, filiação, endereço residencial, e-mail, ID, fotos, estado de saúde, entre outros.
É incontestável que as escolas coletam e armazenam inúmeros dados pessoais de seus alunos e dos responsáveis desses, além de dados de seus empregados, de terceirizados, de prestadores de serviços etc.
Desde o preenchimento de formulários para matrículas até todo o desenvolvimento da vida acadêmica dos alunos, as escolas lidam, diariamente, com dados pessoais dispostos em mais variados documentos, tais como: contratos de ensino, históricos escolares, boletins, atestados médicos, relatórios de profissionais como psicólogos, fotos etc.
O tratamento de dados pessoais
Tratar dados pessoais não envolve apenas o momento de coleta daqueles. O artigo 5º, X, da LGPD conceitua o tratamento de dados pessoais como sendo “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
Então, as escolas deverão se atentar também para o tratamento dos dados pessoais, que, apesar de coletados antes da LGPD, ainda estão armazenados por elas.
A escola como controladora dos dados pessoais
A escola, ao coletar e armazenar dados pessoais de alunos e dos responsáveis desses, torna-se controladora dos citados dados, vez que a ela compete as decisões referentes ao tratamento daqueles (artigo 5º, VI, LGPD).
E, figurando como controladora de dados pessoais, a escola tem o dever legal de tratá-los observando as regras e os princípios traçados pela LGPD, sob pena de ser responsabilizada civilmente perante o Poder Judiciário e administrativamente junto à Autoridade Nacional de Proteção de Dados.
A Autoridade Nacional de Proteção de Dados já está constituída e é o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD [1].
As sanções administrativas, que poderão ser aplicadas pela ANPD a partir de 1º de agosto de 2021, poderão consistir em mera advertência, com indicação de prazo para adoção de medidas corretivas, ou serem mais drásticas como multa de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, podendo chegar ao valor de R$ 50 milhões por infração, entre outras.
Princípios e bases legais
É fundamental que a escola, como todo controlador, observe os princípios dispostos no artigo 6º da LGPD. Em especial, destaca-se o princípio da necessidade (inciso III do artigo 6º, LGPD), segundo o qual a escola deverá coletar apenas dados indispensáveis para a formalização do contrato de ensino, devendo serem descartados dos antigos modelos de contratos dados excessivos e desnecessários. As escolas precisam analisar seus contratos imediatamente!
Em cumprimento às determinações da LGPD, as escolas, como controladoras que são, somente poderão tratar dados pessoais se tal tratamento estiver fundado em alguma das bases legais que a LGPD elenca.
O artigo 14 da LGPD traz o regramento acerca do tratamento de dados pessoais de crianças e de adolescentes, baseado fundamentalmente no melhor interesse daqueles.
O §1º artigo 14 da LGPD dispõe que “o tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal”.
Importante evidenciar que o consentimento tem que ser uma manifestação livre, informada e inequívoca de concordância do uso de dados pessoais (artigo 5º, XII, LGPD).
Há algumas incertezas que permeiam o cenário brasileiro atual acerca do tratamento de dados de crianças e adolescentes e uma dessas é se as hipóteses legais autorizativas de tratamentos de dados pessoais previstas pelos artigos 7º e 11 da LGPD também se aplicam àquele [2].
Outro questionamento é se o §1º do artigo 14 da LGPD, por mencionar apenas as crianças, autorizou o consentimento dado pelo próprio adolescente (entre 12 e 18 anos de idade, v. artigo 2º do ECA), ficando dispensada a autorização parental.
As dúvidas supracitadas deverão ser esclarecidas pela ANPD e as diretrizes dadas pela autoridade serão essenciais para o pleno ajuste das atividades das escolas à LGPD.
Portanto, ante a complexidade do tema que envolve o tratamento de dados pessoais das crianças e dos adolescentes e da carência de regulamentação específica, o máximo de cuidado é a melhor medida a ser tomada pelas escolas.
Um exemplo de aplicação da LGPD no âmbito das escolas está na coleta de fotos dos alunos. Como já destacado, o artigo 14, §1º, da LGPD exige, para o tratamento de dados pessoais de crianças, o consentimento específico e em destaque dado por ao menos um dos pais ou responsável legal do menor. Assim, neste particular é necessário que as escolas sejam extremamente cautelosas porque é comum o uso de fotos de alunos em publicações em redes sociais ou em grupos de WhatsApp por professores.
Ademais, as escolas deverão se atentar para contratos de ensino que tenham cláusula contendo uma previsão de consentimento geral e amplo de uso de imagem da criança. Com a LGPD em vigor, recomenda-se que as escolas peçam consentimentos minudenciados para os responsáveis legais do aluno para o uso de imagem desse.
Conformidade e os parceiros comerciais
As escolas precisam indicar um encarregado de dados, também chamado de DPO (sigla de data protection officer, nome advindo do regulamento europeu), para o tratamento de dados, conforme previsto no artigo 41 da LGPD. O artigo 5º, VIII, da LGPD prevê que encarregado é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”. Essa função é muito relevante. É o encarregado que, dentre outras atribuições, receberá e atenderá as requisições dos titulares dos dados pessoais.
A indicação, ou ao menos a escolha de alguém para se preparar para a função, de um encarregado de dados, deve ser feita o mais breve possível, a fim de que o processo de conformidade com a LGPD seja processado com naturalidade pelos envolvidos.
Nos termos do artigo 43, §3º, LGPD, a ANPD poderá dispensar empresas de pequeno porte de indicar DPO, mas tal regulamentação ainda não ocorreu.
Importante esclarecer que a conformidade à LGPD não se restringe ao tratamento de dados pessoais efetuados internamente pela escola, mas afeta todos os parceiros com quem os dados pessoais são, de qualquer forma, compartilhados.
Neste período de pandemia, no qual as aulas estão sendo virtuais, é necessário que as escolas coletem os consentimentos dos pais ou responsáveis dos seus alunos, no caso de gravarem as imagens desses, devendo ser informado com clareza como o armazenamento será feito, por qual tempo armazenarão a gravação, qual a finalidade dessa, e com quem a compartilharão.
Ainda, é essencial que as escolas se certifiquem acerca da política de proteção de dados pessoais da plataforma na qual realizam suas aulas virtuais. No caso, não é suficiente que a escola apresente cláusula em que a plataforma se responsabiliza por eventuais incidentes, é necessário que a escola exija de seus parceiros que eles comprovem estar em conformidade com a LGPD, especialmente em relação às regras pertinentes aos dados pessoais de crianças.
No atual cenário de aulas em ambiente virtual, as escolas precisam promover uma efetiva educação digital dos seus gestores, dos seus professores, dos seus alunos e dos responsáveis desses.
A escola deve travar um diálogo com as famílias, com recomendações claras quanto ao uso das plataformas digitais durante as aulas virtuais. O ambiente familiar do aluno será exposto por imagens e isso é extremamente delicado, não podendo haver prints ou reproduções indevidas dos conteúdos das aulas, seja por membros da escola, ou pelos próprios alunos.
Uma mudança necessária
E mais, a LGPD dispõe sobre o tratamento de dados pessoais contidos em meios físicos e digitais. As escolas deverão mapear e inventariar todos os dados que já possuem e descartar, imediatamente, os desnecessários ou desamparados por base legal.
As escolas precisam urgentemente iniciar seus processos de adequação à LGPD, começando por uma mudança cultural quanto ao modo de tratar os dados pessoais que coletam e armazenam.
É imprescindível que as escolas promovam cursos sobre a LGPD a seus empregados e professores; que mapeiem os dados pessoais já coletados; que elaborem ou atualizem suas políticas de privacidade, ainda que não possuam sites; que revejam e adéquem seus contratos; que coletem apenas dados pessoais necessários; que utilizem medidas técnicas e administrativas aptas a protegerem os dados pessoais; entre diversas outras posturas.
No Brasil, a cultura que envolve a proteção de dados pessoais ainda é incipiente, sendo comum as pessoas pedirem e fornecerem dados pessoais sem a mínima cautela. Infelizmente, muitas vezes é necessário um grave vazamento de dados, que cause danos ao seu titular, para que as pessoas percebam o quão importante é a proteção dos dados pessoais.
Por fim, importante destacar que o presente texto abordou apenas aspectos referentes ao tratamento de dados pessoais de alunos e seus responsáveis. O tratamento de dados pessoais dos empregados das escolas, apesar de também regido pela LGPD, necessita de uma análise individualizada, pois envolve normas e princípios próprios do Direito do Trabalho.
