© 2015 por Edgar Jacobs

Rua Padre Marinho, 49 conj. 1205 | Belo Horizonte | Minas Gerais

(031) 3494-0281

As Instituições de Ensino e a lei de proteção de dados

January 12, 2019

Dentre as questões novas que devem ser discutidas pelas instituições que usam ou pretendem usar a modalidade de educação a distância merece destaque o cuidado com o tratamento de dados dos alunos.

 

Imaginemos um curso de pós-graduação, que coleta dados de alunos no momento da matrícula, classifica e processa informações como notas e frequência do estudante durante dois anos, armazena todos esses dados e eventualmente reutiliza alguns deles para fins comerciais (marketing, por exemplo). Até hoje existe reduzida ou nenhuma regulação sobre esse tratamento de informações, porém, a partir da vigência da Lei 13.709/2018 os estabelecimentos de ensino devem seguir regras e princípios bastante específicos.

 

Essa regulação visa impedir o mau uso das informações. Dados pessoais poderiam ser usados para contato e até vendidos como listas de pessoas, assim como resultados acadêmicos detalhados e frequência poderiam ser compartilhados com empresas de Recursos Humanos. Esses são problemas contemporâneos de grande relevância.

 

Diante desse novo panorama, a mencionada Lei de Proteção de Dados, que entrará em vigor no início de 2020, trata as Instituições de Ensino como controladoras de dados e define, ainda, as funções de outros dois agentes de tratamento, nos seguintes termos:

 

  • controlador: pessoa a quem compete as decisões referentes ao tratamento de dados pessoais;

     

  • operador: pessoa que realiza o tratamento de dados pessoais em nome do controlador;

     

  • encarregado: pessoa que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional.

     

 

Os controladores de dados, com apoio dos operadores e encarregados, devem respeitar os princípios da finalidade, livre acesso aos titulares, qualidade dos dados (exatidão, clareza, relevância e atualização), segurança, não discriminação e responsabilização, dentre outros descritos na Lei.

 

Para usar os dados de estudantes visando o cumprimento de suas obrigações legais e regulatórias as instituições-controladoras em regra não precisarão de consentimento dos alunos. Na verdade, o uso exclusivamente acadêmico afasta aplicação da Lei (Art. 4º, II, “b”), todavia, o uso de dados com outras finalidades ou mesmo o compartilhamento fica sujeito a nova norma.

 

Sendo assim, o uso do nome para criar listas de presença, lançar notas ou emitir diplomas dispensa consentimento, mas o uso de dados de alunos para fins comerciais e o envio de dados dos alunos para uma empresa de cobrança, não. Como exceção à exigência de consentimento para compartilhamento é possível citar a transferência de dados para o Ministério da Educação e o INEP, mas, em regra, compartilhamento de dados com entes privados demanda autorização do aluno.

 

Interessante notar que o INEP e o MEC são expressamente mencionados na Lei 13.709/2018, sendo exigido que:

 

Art. 62. A autoridade nacional e o Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (Inep), no âmbito de suas competências, editarão regulamentos específicos para o acesso a dados tratados pela União para o cumprimento do disposto no § 2º do art. 9º da Lei nº 9.394, de 20 de dezembro de 1996 (Lei de Diretrizes e Bases da Educação Nacional), e aos referentes ao Sistema Nacional de Avaliação da Educação Superior (Sinaes), de que trata a Lei nº 10.861, de 14 de abril de 2004.

 

Quando o consentimento for necessário ele deverá constar de cláusula destacada das demais no contrato ou poderá constar de termo específico, o que dá mais segurança.

 

Imaginando que a possibilidade - ou, no futuro, a necessidade - de uso de dados como endereço eletrônico e até mesmo resultados acadêmicos as Instituições de Ensino devem se preparar em termos operacionais e jurídicos para esse novo contexto.

 

Devem entender que poderão ser responsabilizadas e que atitudes como a adoção “reiterada e demonstrada” de mecanismos e procedimentos internos capazes de minimizar o dano e a adoção de política de boas práticas e governança podem reduzir essa responsabilidade (Art. 52, § 1º, VIII e IX). Mas, principalmente, devem sentir-se de fato responsáveis pelos dados de seus alunos, pois serão cobradas por isso inclusive em relação à guarda de acervos acadêmicos e compartilhamento de dados com empresas parceiras no fornecimento de tecnologias.

 

Como exemplo desse novo contexto, cabe citar o caso da Summit Learning Platform, ligada ao Facebook, que trabalhou com escolas charter americanas de ensino médio fornecendo o aparato tecnológico. Neste caso, os estudantes fizeram um movimento e além de criticarem o aplicativo e a metodologia fornecida, questionaram qual seria o uso dos dados por essa empresa parceira (https://www.washingtonpost.com/education/2018/11/17/students-protest-zuckerberg-backed-digital-learning-program-ask-him-what-gives-you-this-right/?utmterm=.b15d5e2c4d6f).

 

Para evitar esse tipo de problema, as entidades educacionais que têm acesso a dados dos alunos estão inclusive aderindo a um pacto para salvaguardar a privacidade dos estudantes denominado Student Privacy Pledge. Essa é uma iniciativa importante que certamente chegará as escolas brasileiras e pode ser acessada em: https://studentprivacypledge.org .

 

Portanto, diante da nova Lei de Proteção de Dados, as Instituições de Ensino em geral e especialmente aquelas que lidam com a modalidade EAD devem preparar-se para cuidar melhor das informações que possuem, caso contrário indenizações e outras consequências serão o preço a pagar pela falta de planejamento.

Please reload