O QUE É UM DPO E POR QUE SUA ESCOLA PRECISA DESSE PROFISSIONAL?
26/05/2021
Por Grace Rodrigues, Controller, Luciano Escobar, Advogado, e Marcelo de Souza, Analista de Sistemas e DPO – todos com experiência no segmento educacional.
Diariamente, nas escolas, circula uma série de dados pessoais de alunos, responsáveis legais e colaboradores: nome, CPF, RG, idade, sexo, religião, doenças, desempenho acadêmico e imagem são só alguns exemplos deles. Desde setembro do ano passado, o tratamento desses dados passou a ser regulamentado pela LGPD – Lei Geral de Proteção de Dados Pessoais.
É nesse contexto que surge o DPO (Data Protection Officer), aqui no Brasil também chamado de encarregado de dados pessoais. Ele é o profissional que vai assegurar que o tratamento dos dados da comunidade escolar esteja em conformidade com a nova legislação.
Mas o que é tratamento de dados? Tratamento é toda operação que envolve coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados pessoais.
A LGPD traz para as escolas a necessidade de compreensão do tipo e volume de dados pessoais que possuem e os tratamentos realizados. Tarefa complexa, que exige conscientização, engajamento e treinamento, além de diagnóstico de processos e do tratamento de dados pessoais: onde estão, qual o seu fluxo na escola, a classificação como sensíveis, a necessidade, a utilidade e o tempo de tratamento, bem como a autorização legal.
No contexto da Educação Básica, destacam-se três aspectos importantes:
- O tratamento de dados pessoais de menores só poderá ocorrer em seu melhor interesse e, para as crianças (até 12 anos), somente se houver o consentimento específico e em destaque dado por, pelo menos, um de seus pais ou responsáveis legais. As informações sobre os dados coletados, a forma de tratamento e os procedimentos para o exercício dos direitos do titular dos dados deverão ser mantidos públicos.
- É preciso ter capacidade de responder aos questionamentos de pais sobre quais dados pessoais de seus filhos são tratados e se o processo está de acordo com a LGPD.
- É, ainda, fundamental adequar o seu legado, isto é, o acervo documental repleto de dados pessoais, anterior à LGPD (históricos escolares, por exemplo), verificando o que deverá ser mantido, qual a hipótese legal de tratamento e o que será eliminado, com comprovação documental.
A adequação, como processo para o uso justo e lícito de dados pessoais, exige mudanças culturais e organizacionais fortes, mas que, ao final, auxiliará as escolas no aprimoramento da sua gestão, da sua segurança (ajustada às normas regulamentadoras ISO) e no seu trabalho pedagógico. Tudo isso conduzido pela figura do encarregado de proteção de dados, ou DPO.
A LGPD, em seu artigo 41, traz a necessidade de todas as instituições de ensino (que, segundo a legislação, são controladoras de dados) indicarem um encarregado pelo tratamento de dados pessoais. Esse profissional terá as atribuições de:
I – Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – Receber comunicações da autoridade nacional e adotar providências;
III – Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Para executar essas tarefas, é recomendado que o profissional que atuará como encarregado de proteção de dados pessoais tenha conhecimentos técnicos de TI, jurídicos e gerenciais (mapeamento de processos, gerenciamento de projetos). É um novo mercado profissional que se abre para os profissionais das áreas jurídica, de TI, segurança da informação, processos e projetos.
Assim, para estar adequada à LGPD, é fundamental que a escola reveja sua infraestrutura tecnológica, o armazenamento de dados (físicos e digitais) e a política de privacidade. Também é preciso nomear um DPO e formar uma estrutura capaz de gerir as situações para enfrentamento de eventuais incidentes.
Para saber mais sobre o processo de adequação da sua escola à LGPD, bem como sobre as competências necessárias para o DPO, participe do curso “A LGPD e o Encarregado de Dados no ambiente educacional”, promovido pela Escola de Professores Inquietos entre os dias 14 e 18 de junho. Clique aqui para saber mais e realizar a inscrição.