RFM Editores


LGPD: 10 passos para boas práticas de proteção de dados nas IES

Longe de resumir um projeto de conformidade, os passos podem servir como ponto de partida para uma mudança duradoura


Por Feferbaum e Pacheco da Silva* : O Brasil ocupa uma posição incômoda como sexto maior país em número total de vazamentos de dados no mundo, tendo tido 24.2 milhões de perfis de usuários no país expostos ao longo do ano de 2021, segundo números da empresa de segurança Surfshark. Desde setembro de 2020, quando a Lei Geral de Proteção de Dados (LGPD) entrou em vigor no país, as expressões conformidade, adequação, compliance tomaram de assalto a agenda de diversas organizações em diferentes segmentos de mercado. O setor da educação não seria diferente. 

Leia: TI não é mais um setor meramente técnico nas IES

O primeiro passo é não se desesperar. O segundo passo é compreender que a LGPD não trata apenas da implementação de medidas técnicas, próprias da área da tecnologia da informação. Não há um software disponível no mercado e capaz de promover uma adequação imediata. O terceiro passo é reconhecer que a internalização das regras da LGPD será um processo, algo que gostamos de dizer que é uma espécie de conformação, no sentido de dar uma nova forma para a sua instituição de ensino, criando ou adequando rotinas e processos.

É importante que a instituição de ensino compreenda que um projeto de conformidade terá uma dimensão técnica e também administrativa

Nesse sentido, é importante que a instituição de ensino compreenda que um projeto de conformidade terá uma dimensão técnica e também uma dimensão administrativa.  Adequação leva tempo, moldar uma instituição é um processo gradual. Porém, é necessário que ele comece de algum lugar. Por isso, selecionamos algumas recomendações a partir da LGPD (Lei n.º 13.709/2018), tendo como base o tema segurança da informação e a baixa complexidade em sua implementação.

LGPD 10 passos para boas praticas_reprodução-internet
Adequação leva tempo, moldar uma instituição é um processo gradual. Foto: reprodução/internet
  1. Levante os tipos de dados pessoais que você utiliza

RG, nome, CPF, endereço, etc. Separe-os entre docentes, discentes, colaboradores e fornecedores e comece a definir qual é a finalidade de seu uso (por exemplo, matrícula, avaliação, cadastro de funcionários, desempenho, etc.); 

  1. Separe os dados pessoais considerados como sensíveis

Raça, filiação sindical, saúde, biometria, etc. Reduza ao mínimo o número de pessoas que podem ter acesso a informação; 

  1. Defina quem pode acessar que dado pessoal e por quê

Quanto maior o número de pessoas na sua instituição tiver acesso a um dado pessoal, maior será o risco de que um incidente (vazamento) possa acontecer. Por isso, restrinja o acesso aos dados ao mínimo de pessoas na sua instituição; 

  1. Realize palestras, treinamentos, conversas com discentes, docentes e colaboradores

 Sobre os cuidados que devem ser tomados com dados pessoais (adoção de senhas fortes, guarda das senhas em lugares seguros, não compartilhamento de senha de acesso com colegas, etc.); 

  1. Adicione nos contratos

Com colaboradores, docentes e fornecedores disposições que cuidem de deveres de cuidado com os dados pessoais que serão utilizados por eles, criando a ciência de que o tema é sério e precisa da colaboração de todos; 

  1. Sistematize as novas regras por meio de regulamentos internos

Códigos de conduta, protocolos, e-mails informativos, entre outros formatos, de modo que a informação chegue aos seus docentes, discentes, colaboradores e fornecedores; 

  1. Exija que apenas os dispositivos e equipamentos aprovados

por sua instituição de ensino superior sejam utilizados por docentes e colaboradores para o acesso e utilização de dados pessoais, não expondo essas informações em ambientes ou aparelhos com baixa segurança; 

  1. Crie recomendações para a guarda de senhas ou outras chaves de acesso aos sistemas de sua instituição

É dever de cada membro cuidar dessas informações, buscando evitar práticas como a do post-it com informações de login e senha grudados na tela do computador em locais de livre trânsito ou a adoção de senhas fracas como “1234”; 

  1. Cultive a cultura da minimização do uso de dados pessoais na sua organização

Mesmo sabendo da importância do uso de dados, use apenas o mínimo necessário de dados para a realização de sua tarefa, lembrando que quanto mais dados pessoais alguém utiliza, maior o risco de um incidente acontecer; 

  1. Crie um canal de comunicação com a sua comunidade

Receba os pedidos de discentes, docentes, pais de estudantes, entre outros, permitindo que a sua organização possa compreender os incômodos com o uso das informações pessoais e possa adotar medidas de correção ou adequação nos casos que julgar necessários. 

Por fim, entre a conformidade LGPD e a conformação da instituição às novas regras, há uma noção importante de processo. Um projeto de proteção de dados não começa ou termina, ele é uma mudança de postura institucional, é uma nova forma a ser adotada por instituições em diferentes segmentos. Nesse sentido, nossas recomendações não são exaustivas, não resumem todos os passos de um projeto de conformidade, porém, podem servir como bom ponto de partida para uma mudança duradoura. 

 ————————————————————————————–

* Marina Feferbaum coordenadora do Centro de Ensino e Pesquisa em Inovação (CEPI) e da área de metodologia de ensino da FGV Direito SP, onde também é professora dos programas de graduação e pós-graduação.

Alexandre Pacheco da Silva Coordenador do Centro de Ensino e Pesquisa em Inovação (CEPI) da FGV Direito SP, onde também é professor dos programas de graduação e pós-graduação. Consultor em privacidade e proteção de dados. 

Leia também

Metaverso transformará profissões e criará novas até 2030

Marina Feferbaum

Coordenadora do Centro de Ensino e Pesquisa em Inovação (CEPI) e da área de metodologia de ensino da FGV Direito SP, onde também é professora dos programas de graduação e pós-graduação