LGPD: cómo las instituciones educativas pueden adaptarse
El asunto está en auge: en septiembre de este año entró en vigor la la Ley General de Protección de Datos Personales (LGPD). La nueva ley tiene como objetivo proteger los datos personales, así como los derechos de libertad y de privacidad de los usuarios que depositan sus informaciones a diario en diferentes entornos digitales y físicos.
Si la LGPD se considera el cambio más importante en relación a la privacidad de los titulares y a la protección de datos personales, el impacto es grande para las empresas públicas y privadas, que deben cumplir la ley. ¡Esto también se aplica a las instituciones de educación! En esta publicación podrá conocer los cambios que trae esta la ley, cuáles son los desafíos y algunos pasos esenciales para adaptarse, así como las sanciones para quienes no cumplan con el conjunto de normas. Y además: RNP ha adoptado internamente y comparte con las instituciones aliadas el Método RNP, para que la comunidad avance hacia el compliance.
Primero ¿Qué tipo de datos son esos?
Informaciones como nombre, dirección, e-mail, teléfono, sector en el que trabaja, registro de un alumno o empleado son algunos de los datos considerados personales.
Además, existen algunos datos personales considerados sensibles: cuando, con su exposición, existe la posibilidad de que se produzca discriminación étnica o racial, por creencias religiosa o filosófica, opinión política, o de informaciones genéticas, biométricas o relacionada con la salud o la vida sexual del usuario.
¿Qué cambia para las instituciones de educación y de investigación con la LGPD?
Aumenta la seguridad y la solidez de la recolección y almacenamiento de datos, así como garantizar la transparencia al usuario, son los objetivos de la nueva ley. Así, las instituciones de educación y de investigación también deben estar atentas a las acciones de adaptación que afectan directamente a estudiantes, profesores, empleados, prestadores y proveedores de servicios, en la forma en que fluyen los diferentes datos personales.
Además de dejar clara la finalidad de la recopilación de datos personales, de acuerdo con la base legal, las instituciones deben proteger los datos que procesan, ya que existe responsabilidad legal en caso de un incidente de seguridad que resulte en la pérdida de la privacidad de los estudiantes o docentes. Y, dado que estos datos personales se pueden procesar junto con los prestadores y proveedores de servicios, también es necesario realizar las adaptaciones con ellos. Así, las instituciones deben preservar la privacidad de los estudiantes, desde el proceso de selección hasta el final del curso, incluso la matrícula.
Además, las instituciones deben prestar atención al intercambio de datos personales con otras organizaciones, que solo puede llevarse a cabo con el consentimiento expreso de los estudiantes o del titular de los datos personales. Sin el consentimiento, es responsabilidad de las instituciones de educación e investigación, según el art. 7, IV y el art. 11, II, c), sobre el procesamiento de datos personales, con la excepción de los datos personales sensibles, que solo se permite compartir para los estudios de organismos de investigación, siempre que sea posible, con el uso de la anonimización.
En cuanto a la realización de los estudios sobre salud pública, basados en el art. 13, II, “los organismos de investigación podrán tener acceso a bases de datos personales”, en un entorno exclusivamente seguro y controlado, con el uso de un conjunto de controles de seguridad que también deben incluir la anonimización o seudonimización de los datos, sin el permiso de divulgación o compartir estos datos con terceros.
¿Cuáles son los pasos para adaptarse?
Pensando en facilitar la jornada hacia la adaptación de las instituciones aliadas, RNP comparte el Método RNP, resultado de un trabajo conjunto entre la propia organización y especialistas en LGPD en los campos legal y de seguridad de la información. Según el método, algunos pasos son fundamentales para la adaptación, comenzando por un diagnóstico y siguiendo una estrategia de adaptación.
Todo comienza con el mapeo de los datos personales procesados por la institución y sus flujos. Es necesario analizar los riesgos que pueden afectar la privacidad de estas informaciones, trabajar con tecnologías y procesos para protegerlas y estructurar planes para responder a incidentes. Los documentos de la organización, los que ya existen y los que se crearán, deben cumplir las directrices de la ley.
La cultura de la privacidad debe ser internalizada dentro de la organización. Por lo tanto, capacite a sus equipos en LGPD. Además, esté preparado para dar las aclaraciones y responder a las solicitudes de los titulares. Ellos tienen derecho a la transparencia y al olvido de sus datos personales. Las informaciones que demuestran compliance deben estar descritas en un documento denominado Informe de Impacto a la Protección de Datos Personales (RIPD).
¿Qué sucede con el incumplimiento de la LGDP?
Para las instituciones y empresas que no están dentro de la ley, así como las que cometen prácticas irregulares, existen diferentes formas de sanción. Las organizaciones pueden recibir advertencias, multas con un porcentaje de hasta el 2% de los ingresos, con un límite de R$ 50 millones por infracción, y en los casos más graves, la prohibición del ejercicio de las actividades.
Descubra cómo RNP puede contribuir con las instituciones de educación
Cuente con RNP en el momento de adaptar su institución y tener soluciones eficientes para optimizar este proceso. Descargue nuestro e-Book exclusivo para leer más sobre LGPD y todos los pasos que componen el Método RNP. ¿Necesita ayuda especializada? Ofrecemos apoyo metodológico, servicios de asesoramiento y capacitaciones.