O assunto está em alta: a Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor em setembro deste ano. A nova lei visa proteger os dados pessoais, bem como os direitos de liberdade e de privacidade dos usuários que depositam suas informações diariamente em diferentes ambientes digitais e físicos.
Se a LGPD é considerada a mudança mais importante em relação à privacidade dos titulares e à proteção de dados pessoais, o impacto é grande para empresas privadas e públicas, que precisam entrar em conformidade. As instituições de ensino também não ficam de fora dessa! Neste post, você confere o que muda com a lei, quais os desafios e alguns passos essenciais para se adequar, bem como as sanções para quem descumprir o conjunto de normas. E mais: a RNP adotou internamente e compartilha com as instituições parceiras o Método RNP, para que a comunidade caminhe rumo ao compliance.
Primeiro, que tipo de dados são esses?
Informações como nome, endereço, e-mail, telefone, setor onde trabalha, matrícula de um aluno ou funcionário são alguns dos dados considerados pessoais.
Além disso, há alguns dados pessoais considerados sensíveis: quando, com a sua exposição, há possibilidade de ocorrer discriminação étnica ou racial, por convicção religiosa ou filosófica, opinião política, ou de informações genéticas, biométricas ou relacionada à saúde ou à vida sexual do usuário.
O que muda para as instituições de ensino e pesquisa com a LGPD?
Aumentar a segurança e a solidez da coleta e do armazenamento dos dados, bem como garantir a transparência ao usuário, são os objetivos da nova lei. Assim, as instituições de ensino e pesquisa também devem estar atentas às ações de adequação que afetam diretamente os alunos, professores, funcionários, fornecedores e prestadores e provedores de serviços, na forma como os diferentes dados pessoais fluem.
Além de deixar clara a finalidade da coleta dos dados pessoais, de acordo com a base legal, as instituições devem proteger os dados sob o seu tratamento, pois há responsabilidade legal em caso de um incidente de segurança que resulte em perda de privacidade dos alunos ou professores. E, como estes dados pessoais podem ser tratados em conjunto com prestadores e provedores de serviços, há a necessidade de adequações também com eles. Com isso, as instituições devem preservar a privacidade dos alunos, desde o processo seletivo até o término do curso, passando pela matrícula.
Adicionalmente, as instituições devem se atentar para o compartilhamento de dados pessoais com outras organizações, que só pode ser realizado com o expresso consentimento dos alunos ou do titular dos dados pessoais. Sem o consentimento, cabe às instituições de ensino e pesquisa, de acordo com o art. 7, IV e o art. 11, II, c), sobre o tratamento de dados pessoais, com ressalva aos dados pessoais sensíveis, que o compartilhamento só seja permitido para estudos de órgãos de pesquisa, sempre que possível, com o uso de anonimização.
Já para a realização de estudos em saúde pública, com base no art. 13, II, “os órgãos de pesquisa poderão ter acesso a bases de dados pessoais”, em um ambiente exclusivamente seguro e controlado, com o uso de um conjunto de controles de segurança que deve incluir ainda a anonimização ou pseudonimização dos dados, sem a permissão para divulgação ou compartilhamento destes dados com terceiros.
Quais os passos para se adequar?
Pensando em facilitar a jornada à adequação das instituições parceiras, a RNP compartilha o Método RNP, fruto de um trabalho em conjunto entre a própria organização e especialistas em LGPD no âmbito jurídico e de segurança da informação. De acordo com o método, alguns passos são fundamentais para a adequação, começando por um diagnóstico e seguindo para uma estratégia de adequação.
Tudo começa com o mapeamento dos dados pessoais tratados pela instituição e seus fluxos. É necessário analisar os riscos que podem abalar a privacidade dessas informações, trabalhar com tecnologias e processos para protege-las e estruturar planos para responder a incidentes. Os documentos da organização, aqueles que já existem e os que serão criados, precisam atender às diretrizes da lei.
A cultura de privacidade precisa ser internalizada na organização. Por isso, capacite suas equipes sobre a LGPD. Além disso, esteja preparado para prestar esclarecimentos e atender às solicitações dos titulares. Eles têm direito à transparência e ao esquecimento sobre seus dados pessoais. As informações que comprovam compliance devem estar descritas em um documento chamado Relatório de Impacto à Proteção de Dados Pessoais (RIPD).
O que acontece com o descumprimento da LGDP?
Para as instituições e empresas que não estiverem dentro da lei, bem como as que cometerem práticas irregulares, há diferentes formas de penalidades. As organizações podem receber advertências, multas com o percentual de até 2% do faturamento, com o limite de 50 milhões de reais por infração, e em casos mais graves, a proibição do exercício das atividades.
Saiba como a RNP pode contribuir com as instituições de ensino
Conte com a RNP na hora de adequar a sua instituição e ter soluções eficientes para otimizar esse processo. Faça download do nosso e-Book exclusivo para ler mais sobre LGPD e todos os passos que compõem o Método RNP. Precisa de ajuda especializada? Oferecemos apoio metodológico, serviços consultivos e capacitações.