A LGPD e as Universidades

A promulgação da Lei nº 13.709/18, conhecida como Lei Geral de Proteção de Dados (LGPD), despertou no mercado uma espécie de ‘estado de alerta’.

As empresas, como um todo, terão que fazer diversas adaptações ou alterações de seus  processos de coleta e tratamento de dados pessoais para atender as diretrizes da lei que entrará em vigor em agosto de 2020.

As maiores companhias já estão se adequando, contratando especialistas em tecnologia da informação e proteção de dados, web designers e publicitários para reformulação de seus sites, repensando suas estratégias de marketing, revisando contratos, termos de uso e documentos oficiais, tudo como parte de um processo maior de conformidade legal.

A LGPD traz como ‘novidade’ o uso ético e transparente dos dados pessoais, estabelecendo inúmeras responsabilidades ao controlador (quem coleta, mediante consentimento do titular dos dados) e ao operador dos dados (quem realiza o tratamento), dentre as quais o estabelecimento de regras de segurança dos dados e a prestação de contas à Autoridade Nacional de Proteção de Dados (ANPD), entidade que ainda está pendente de criação.

Dentre os vários tipos de negócio que deverão se adaptar à LGPD estão as pessoas jurídicas prestadoras de serviços educacionais. Por uma questão metodológica tratarei apenas das Instituições de Ensino Superior (IES) ofertantes de cursos de graduação e pós-graduação. Ademais, a proposta não é explicar um passo-a-passo de como fazer a adaptação para a LGPD, o que seria pretensioso, mas apenas colocar algumas questões em debate sobre sua incidência na relação entre IES e alunos.

Inicialmente, as IES costumam coletar dados quando da efetivação da matrícula, ato por meio do qual o aluno presta informações e apresenta seus documentos pessoais. Ao longo de sua trajetória dentro da IES diversas outras informações passam pela Secretaria Acadêmica, tais como contratos de financiamento do aluno com programas públicos ou privados de bolsa, sobre seu rendimento escolar (informações do ensino médio) e informações bancárias.

Algumas instituições adotam sistema de acesso aos campi por meio de cartão de identificação, outras possuem acesso por meio de leitor de QR code, cartão digital, código de barras, biometria, senhas de acesso etc. Seja qual for o sistema adotado, todas essas formas configuram coleta de dados pessoais segundo a LGPD, na medida em que conseguem identificar seu titular.

O empréstimo de livros na Biblioteca, que aparentemente não é nada demais, poderá revelar práticas e costumes de leitura. Estas informações podem ser cedidas a editoras, que de posse dos dados direcionam campanhas publicitárias de livros e oportunidades específicas sobre o tema pesquisado.

Semelhante situação ocorre em relação ao uso de rede de wireless disponibilizada na área interna da IES, que identifica quem, quando, onde, por quanto tempo acessou e, o principal, o que foi acessado por cada aluno conectado à rede. Tais informações são preciosas para qualquer IES, pois podem resultar em estratégias de comunicação com aquele aluno. Dependendo do grau de aprimoramento da captação de dados talvez haja, inclusive, configurada a coleta dos chamados dados sensíveis, que estão ligados a um conjunto de preferências, predileções, inclinações e posicionamentos filosófico, político etc., aumentando ainda mais o nível de responsabilidade pela manutenção desses dados.

A primeira pergunta que as instituições se devem fazer é: para todos esses atos houve consentimento expresso do titular dos dados? Uma segunda pergunta, e talvez a mais importante: uma vez coletados, qual a política de tratamento desses dados? Estas questões são o start para a reformulação dos modelos atuais para convergência às exigências da LGPD.

Outra questão interessante é se as informações de notas e faltas constituem dados pessoais. Por óbvio que sim. Todas as informações sobre o rendimento do aluno é registrada em seu histórico. O histórico escolar é documento pessoal e pode ser requerido pelo aluno a qualquer instante, seja para consulta, para comprovação ou transferência de IES.

Posteriormente à formação do aluno, as IES ainda costumam convidá-los para outros cursos de graduação, extensão, pós-graduação etc. Todo esse contato, via e-mail, whatsapp ou outros meios só será possível se quando da coleta dos dados tiver havido consentimento do aluno para esse tipo de contato.

Evidentemente, há também a coleta de dados dos funcionários, dentre os quais os dos professores, que numa instituição de ensino são os de maior relevância, já que há questões relativas a projetos de pesquisa pessoal e desenvolvimento profissional. Não trataremos deles neste artigo, apenas antecipamos que a coleta de dados de funcionários também está sob a guarida da LGPD.

Voltemos à relação da IES com os alunos. Ao longo do vínculo acadêmico, portanto, são inúmeros os dados coletados. Tais instituições, justamente por isso, precisam se adaptar ao novo regramento, revendo seus processos de coleta e de tráfego de dados (data flow), bem como nomeando os agentes responsáveis que a lei determina, a exemplo do Encarregado de Tratamento de Dados Pessoais (ETDP).

A LGPD não é uma lei que afeta o universo jurídico, apenas. Ela incide pesadamente sobre os departamentos de tecnologia da informação e de segurança da informação, bem como o de marketing, que é um dos principais atores na coleta de dados pessoais.

Nas IES, especificamente, há que existir um plano de adequação entre o Marketing, a Secretaria Acadêmica - especialmente quanto aos responsáveis pelo registro acadêmico - e, posteriormente, junto ao pessoal de Tecnologia, a quem competirá fazer a gestão desses dados e aplicar as regras de segurança necessárias contra fraudes e vazamentos.

O Departamento Jurídico é o responsável pela consolidação destas fases e acompanhamento do projeto como um todo, sendo um interlocutor entre as áreas, as práticas e sua conformidade com a lei, bem como produzindo os documentos oficiais necessários à validação de cada fase do processo, a exemplo de termos de uso, contratos com parceiros, relatórios de adequação etc.

Na estrutura da IES, o pessoal administrativo, ou seja, os não-docentes, deve estar alinhado à política interna de uso e proteção de dados, o que se faz por meio de cursos, treinamentos e simulações que permitam a todos conhecer o fluxo de informação circulante e as regras de utilização do sistema e dos dados pessoais dos alunos.

Em síntese, a LGPD, que consolida as boas práticas de coleta e tratamento de dados pessoais, e obriga as instituições a repensarem seus modelos de negócio, torna a relação entre IES e alunos mais transparente, fazendo com que haja, de parte a parte, maior cuidado na captação e na prestação de informações pessoais. É importante que o senso de urgência instaurado pela LGPD chegue rapidamente às universidades, berço do pensamento crítico e, porque não, capazes de serem modelos para outras empresas que também terão que se adaptar ao novo modelo de compliance trazido pela legislação.