Por André Damiani e Blanca Albuquerque*
Artigo publicado originalmente no LexLatin
A pandemia lançou diversos desafios para a nossa sociedade, entre eles o ensino remoto para crianças e adolescentes. E a responsabilidade das instituições de ensino perante a repentina e completa digitalização da atividade-fim? Como proceder em relação à segurança de dados tão delicados?
O ecossistema escolar, embora não aparente, respira o tratamento de dados em tempo integral — na matrícula, na lista de presença, na catraca que depende da carteira ou biometria, no uso de câmeras, fichas médicas e psicológicas, informações familiares, avaliações docentes etc. —, tornando a manipulação dessas informações ainda mais vulnerável quando ocorre a migração para um ambiente escolar integral ou parcialmente digital. Portanto, sob a ótica da prevenção, é obrigatório que os adultos invistam tempo e recursos na proteção dos dados de crianças e adolescentes.
O Estatuto da Criança e do Adolescente (ECA) ampara os direitos dos indivíduos que estão em fase de desenvolvimento e se encontram em um período de formação individual e social. Por isso, é manifesto que eles não possuem aptidão para tomar decisões desassistidos de um responsável plenamente capaz, o que vale inclusive para a exposição e compartilhamento de seus dados.
Neste contexto, para melhor resguardar as informações de seus alunos, inspirar confiança e estar em compliance perante o mercado, as instituições de ensino devem buscar a rápida adequação à LGPD (Lei Geral de Proteção de Dados), por meio da gestão de uma governança de dados, preferencialmente elaborada por uma equipe especialista e multidisciplinar.
É imperioso o cumprimento dos preceitos básicos da lei: o tratamento e ciclo de vida das informações coletadas deve ser transparente, apenas para a finalidade pretendida e mediante a coleta do que é estritamente necessário.
Com as aulas parcial ou integralmente remotas, os aplicativos, softwares e sistemas escolhidos para auxiliar a instituição de ensino na digitalização da educação devem ser analisados robustamente, observando-se critérios rígidos quanto à segurança de dados dos alunos.
Conforme prevê a lei, as instituições devem propiciar meios para que as informações sobre o tratamento de dados de menores sejam claras e acessíveis, mediante o uso de recursos audiovisuais, ilustrações etc., para que as crianças e seus responsáveis sejam capazes de entender. Nesta perspectiva, cabe também a discussão sobre a integração da educação digital e proteção de dados pessoais na matriz curricular da instituição, preparando os futuros adultos para exercerem com plenitude o direito à autodeterminação informativa.
Quanto aos contratos com colaboradores e empresas parceiras e terceirizadas, estes devem ser revisados e modificados, observando todas as exigências legais da LGPD. Além disso, conveniente o treinamento de todos os colaboradores, reduzindo-se o potencial de vazamentos.
O vazamento de dados de um tradicional colégio de São Paulo, que teve o seu sistema de informática invadido, ocasionou a exposição de diversas informações sobre dados familiares, diagnósticos médicos e psicológicos de alunos e ex-alunos, fichas contendo observações de docentes sobre os estudantes e atas de reuniões de professores realizadas entre 2007 e 2012.
Nesta conjuntura, imprescindível um robusto sistema de segurança da informação para se resguardar de eventuais invasões, além de medidas basilares, como utilização de redes wi-fi estáveis e seguras; instalação de antivírus e antimalwares; elaboração de uma política de privacidade e regras de segurança; tentativas de ataques por “hackers do bem” para mensurar a segurança da estrutura, além do já mencionado treinamento dos colaboradores e conscientização sobre os riscos de phishing, ransomware e demais estratégias utilizadas por hackers.
É essencial a implementação de estratégias de gestão de crise, para que todos saibam como agir em casos de incidentes de segurança da informação. Fundamental, também, a nomeação de um encarregado de dados (Data Protection Officer – DPO) para deliberar e adotar as providências necessárias no âmbito legal.
Resta evidente a preocupação com os dados de crianças e adolescentes no contexto escolar, visto que, com a digitalização das instituições de ensino, essas informações ficam ainda mais vulneráveis e suscetíveis a vazamentos.
*André Damiani é sócio fundador do Damiani Sociedade de Advogados, criminalista especializado em Direito Penal Econômico e em LGPD.
*Blanca Albuquerque é associada do escritório e especialista em proteção de dados pessoais pelo Data Privacy Brasil.