Com a recente eclosão de operações de combate à corrupção, o termo “compliance” está cada vez mais presente no vocabulário de empresários brasileiros. A difusão do termo se fortaleceu depois da promulgação da Lei n° 12.846/13, conhecida como Lei Anticorrupção e de sua regulamentação pelo Decreto n° 8.420/15.
O termo compliance vem do inglês “to comply” e significa estar em conformidade. Na prática, o compliance têm a função de proporcionar segurança e minimizar riscos de instituições e empresas, garantindo o cumprimento dos atos, regimentos, normas e leis estabelecidos interna e externamente, como um padrão básico de negócios. Ou seja, são ações colocadas em prática voltadas a garantir relações éticas e transparentes entre empresas e, principalmente (mas não somente) o Poder Público.
Para que serve o compliance?
Basicamente, programas de compliance têm o papel de criar mecanismos para evitar problemas maiores no futuro, como, por exemplo, descumprimento de leis trabalhistas, fiscais ou ambientais. Entra nessa lista também o tratamento das informações, que se tornou tema importante com a vigência da LGPD.
Nesse sentido, o compliance tem a função de fazer cumprir as normas para evitar todas as situações que enfraquecem a empresa no mercado e retiram sua credibilidade. Por isso que estabelece tanto para clientes, como para os colaboradores, qual a imagem que a empresa quer passar e seu comprometimento em buscar soluções antes que o problema apareça.
Lei Geral de Proteção de Dados
A LGPD (Lei No 13.709) disciplina um conjunto de aspectos: define categorias de dados, para quem valem suas regras, fixa as hipóteses de coleta e tratamento de dados, traz os direitos dos titulares de dados, detalha condições especiais para dados sensíveis e segmentos (como crianças), estabelece obrigações às empresas, institui um regime diferenciado para o Poder Público, coloca sanções em caso de violações e prevê a criação de uma autoridade nacional.
Segundo a norma, dados pessoais são informações que podem identificar alguém. Dentro do conceito, foi criada a categoria “dado sensível”, com informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde ou vida sexual. Registros como esses passam a ter nível maior de proteção, para evitar formas de discriminação.
Quem fica sujeito à lei? Todas as atividades realizadas ou pessoas que estão no Brasil. A norma vale para coletas operadas em outro país, desde que estejam relacionadas a bens ou serviços ofertados a brasileiros, ou que tenham sido realizados no país.
A LGPD estabelece ainda que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de conteúdo de pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser cumprida. Determina também que é permitido compartilhar dados com organismos internacionais e com outros países, desde que isso ocorra a partir de protocolos seguros e/ou para cumprir exigências legais.
Mas há exceções. É o caso da obtenção de informações pelo Estado para segurança pública, defesa nacional e investigação e repressão de infrações penais. Essa temática deverá ser objeto de uma legislação específica. A lei também não se aplica a coletas para fins exclusivamente particulares e não econômicos, jornalísticos, artísticos e acadêmicos.
Escola, proteção de dados e consentimento
As escolas não fogem à regra e, na verdade, a educação é um setor que precisa dedicar uma atenção especial à LGPD. Isso porque as escolas tratam um grande volume de dados sensíveis de menores de idade, que são pessoas especialmente protegidas não só pela LGPD, mas também por outras leis, como o Estatuto da Criança e do Adolescente.
No caso da relação das escolas com crianças e adolescentes e seus responsáveis, existem ainda dados que não são considerados sensíveis pela lei, mas que são “delicados” e podem gerar constrangimento, como informações sobre violência doméstica, inadimplência e situação financeira etc.
Por tudo isso, as escolas devem se adequar à LGPD e cuidar da segurança dos dados pessoais de seus alunos e também de professores, funcionários, prestadores de serviço e outras pessoas envolvidas nas atividades. Para tanto, devem usar apenas os dados necessários, implementar medidas de segurança e controles de acesso, entre outras providências.
Um ponto importante é que a LGPD traz a necessidade de consentimento específico de um dos pais ou do responsável legal para o tratamento de dados de crianças. Como não há a exigência expressa em relação a adolescentes, existe uma discussão quanto ao consentimento em relação a esses jovens, mas, pela interpretação da LGPD em conjunto com outras leis, a recomendação é de que as escolas também utilizem termo de consentimento quando se trata dos dados de adolescentes.
O consentimento, segundo a LGPD, é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”, ou seja, o titular (e, no caso de menores de idade, seus pais ou responsáveis) deve ser informado sobre o tratamento de seus dados, para que declare que concorda com ele. Essas informações são referentes a quais dados são coletados, para que finalidade, como serão usados, onde ficarão armazenados, se serão compartilhados com algum terceiro etc.
No contexto das escolas, esse consentimento pode ser obtido no ato da matrícula ou rematrícula do aluno, por meio da assinatura de um dos pais ou responsáveis em um termo, no qual serão disponibilizadas as informações referentes ao tratamento dos dados pessoais. Esse termo pode abarcar o uso dos dados na educação remota, bem como em outras atividades online ou eletrônicas, desde que expressamente mencionado, que as finalidades sejam informadas e os dados não sejam usados para outros fins.
O que fazer?
É importante que o consentimento seja tratado em um documento em separado, para garantir a transparência aos titulares (um dos princípios da LGPD) e para que o responsável pelo aluno dê seu consentimento de maneira apartada à assinatura do contrato, embora não seja possível matricular um aluno sem que haja o tratamento de seus dados.
Caso a escola opte por realizar a matrícula ou rematrícula de forma online, é necessário utilizar um meio de garantir a autenticidade da assinatura do responsável pelo aluno — isso vale não só para o consentimento, mas também para o contrato e outros eventuais documentos.
Quando falamos sobre LGPD, é importante que a escola tenha em mente que é necessária uma mudança de mentalidade quanto ao tratamento de dados pessoais. A lei traz o titular como figura central, detentor de direitos como liberdade e privacidade a serem respeitados, além de maior preocupação com medidas de segurança, transparência e prestação de contas.
Cabe reiterar que os dados pessoais tratados pelas escolas não são apenas os dados dos alunos, mas também dos funcionários terceirizados, parceiros e qualquer outra pessoa que tenha relação com a escola. Todos os dados pessoais precisam ser tratados em conformidade com a lei e mantidos em segurança.
Não há dúvidas de que 2020 foi um ano bastante complicado para a área da educação, com a implantação repentina das aulas e atividades online, sem a possibilidade de preparação para o novo formato, inclusive no que se refere à proteção de dados. Assim, esse início do novo ano letivo é uma oportunidade para que as escolas se adequem a esse ponto, obtendo o consentimento dos responsáveis pelos alunos para possibilitar o tratamento dos dados em conformidade com a lei.
A SAE+C tem a missão de oferecer aos seus clientes aquilo que há de mais inovador e atualizado no mercado. Por isso, contamos com um vasto catálogo de ferramentas já em total conformidade com a LGPD para ajudar a sua instituição de ensino. Para saber mais, entre em contato com um de nossos atendentes.