Artigo

Postura institucional

Alexandre Pacheco da Silva e Marina Feferbaum
04 de março de 2022
Marina Feferbaum

Os 10 passos para as boas práticas de proteção de dados pessoais nas instituições de ensino superior não resumem todos os passos de um projeto de conformidade, porém, podem servir como bom ponto de partida para uma mudança duradoura

 

Desde setembro de 2020, quando a Lei Geral de Proteção de Dados (LGPD) entrou em vigor no país, as expressões conformidade, adequação, compliance tomaram de assalto a agenda de diversas organizações em diferentes segmentos de mercado. O setor da educação não seria diferente. Perguntas como o que devemos fazer, por onde devemos começar, quanto irá custar a adequação, dentre outras, passaram a ocupar as mentes e projetos de profissionais da área de educação.

Preocupações que se agravaram com as notícias recorrentes de vazamentos de dados em larga escala durante os anos de 2020 e 2021, comprometendo bases de dados públicas, como no caso do Ministério da Saúde, e bases de dados privadas. Além disso, o Brasil ocupa uma posição incômoda como sexto maior país em número total de vazamentos de dados no mundo, tendo tido 24.2 milhões de perfis de usuários no país expostos ao longo do ano de 2021, segundo números da empresa de segurança Surfshark.[1]

Parece que temos uma tempestade perfeita em curso. Uma pandemia centrada em um vírus com transmissão respiratória que exige que estudantes fiquem em casa tendo aula por meio de plataformas digitais. Instituições de ensino superior tendo que acelerar o processo de digitalização de suas bases de dados e capacitar seu corpo docente e colaboradores a usar ferramentas digitais para a manutenção de suas atividades. Uma lei que traz novas obrigações para o uso de dados pessoais que se aplica às atividades de ensino, pesquisa e extensão. E um país que se mostra pouco preparado para lidar com os desafios da segurança digital se comparado com outros países pelo mundo. O que fazer nesse cenário complicado?

O primeiro passo é não se desesperar. O segundo passo é compreender que a LGPD não trata apenas da implementação de medidas técnicas, próprias da área da tecnologia da informação. Nesse sentido, não há um software disponível no mercado e capaz de promover uma adequação imediata. O terceiro passo é reconhecer que a internalização das regras da LGPD será um processo, algo que gostamos de dizer que é uma espécie de conformação, no sentido de dar uma nova forma para a sua instituição de ensino, criando ou adequando rotinas e processos.

Nesse sentido, é importante que a instituição de ensino compreenda que um projeto de conformidade terá uma dimensão técnica e também uma dimensão administrativa. Terá um conjunto de medidas de maior complexidade e um conjunto de medidas de menor complexidade. Adequação leva tempo, moldar uma instituição é um processo gradual. Porém, é necessário que ele comece de algum lugar. Por isso, selecionamos algumas recomendações com base na LGPD (Lei n.º 13.709/2018), tendo como base o tema segurança da informação e a baixa complexidade em sua implementação:

 

  1. Levante os tipos de dados pessoais que você utiliza (e.g. nome, CPF, endereço etc.), separe-os entre docentes, discentes, colaboradores e fornecedores e comece a definir qual é a finalidade de seu uso (por exemplo, matrícula, avaliação, cadastro de funcionários, desempenho etc.);
  1. Separe os dados pessoais considerados como sensíveis (raça, filiação sindical, saúde, biometria etc.) e reduza ao mínimo o número de pessoas que podem ter acesso à informação;
  1. Defina quem pode acessar que dado pessoal e por quê. Quanto maior o número de pessoas na sua instituição tiver acesso a um dado pessoal, maior será o risco de que um incidente (vazamento) possa acontecer. Por isso, restrinja o acesso aos dados ao mínimo de pessoas na sua instituição;
  1. Realize palestras, treinamentos, conversas com discentes, docentes e colaboradores sobre os cuidados que devem ser tomados com dados pessoais (adoção de senhas fortes, guarda das senhas em lugares seguros, não compartilhamento de senha de acesso com colegas etc.);
  1. Adicione nos contratos com colaboradores, docentes e fornecedores disposições que cuidem de deveres de cuidado com os dados pessoais que serão utilizados por eles, criando a ciência de que o tema é sério e precisa da colaboração de todos;
  1. Sistematize as novas regras por meio de regulamentos internos, códigos de conduta, protocolos, e-mails informativos, entre outros formatos, de modo que a informação chegue aos seus docentes, discentes, colaboradores e fornecedores;
  1. Exija que apenas os dispositivos e equipamentos aprovados por sua instituição de ensino superior sejam utilizados por docentes e colaboradores para o acesso e utilização de dados pessoais, não expondo essas informações em ambientes ou aparelhos com baixa segurança;
  1. Crie recomendações para a guarda de senhas ou outras chaves de acesso aos sistemas de sua instituição. É dever de cada membro cuidar dessas informações, buscando evitar práticas como a do post-it com informações de login e senha grudados na tela do computador em locais de livre trânsito ou a adoção de senhas fracas como “1234”;
  1. Cultive a cultura da minimização do uso de dados pessoais na sua organização. Mesmo sabendo da importância do uso de dados, use apenas o mínimo necessário de dados para a realização de sua tarefa, lembrando que quanto mais dados pessoais alguém utiliza, maior o risco de um incidente poder acontecer; e
  1. Crie um canal de comunicação com a sua comunidade, receba os pedidos de discentes, docentes, pais de estudantes, entre outros, permitindo que a sua organização possa compreender os incômodos com o uso das informações pessoais e possa adotar medidas de correção ou adequação nos casos que julgar necessários.

 

Por fim, entre a conformidade LGPD e a conformação da instituição às novas regras, há uma noção importante de processo. Um projeto de proteção de dados não começa ou termina, ele é uma mudança de postura institucional, é uma nova forma a ser adotada por instituições em diferentes segmentos. Nesse sentido, nossas recomendações não são exaustivas, não resumem todos os passos de um projeto de conformidade, porém, podem servir como bom ponto de partida para uma mudança duradoura.

 

[1] Dados disponíveis em: https://surfshark.com/blog/data-breach-statistics-by-country-in-2021.

 

 

Originalmente publicado em:
https://revistaensinosuperior.com.br/