NOTÍCIA
Longe de resumir um projeto de conformidade, os passos podem servir como ponto de partida para uma mudança duradoura
Publicado em 14/03/2022
Por Feferbaum e Pacheco da Silva* : O Brasil ocupa uma posição incômoda como sexto maior país em número total de vazamentos de dados no mundo, tendo tido 24.2 milhões de perfis de usuários no país expostos ao longo do ano de 2021, segundo números da empresa de segurança Surfshark. Desde setembro de 2020, quando a Lei Geral de Proteção de Dados (LGPD) entrou em vigor no país, as expressões conformidade, adequação, compliance tomaram de assalto a agenda de diversas organizações em diferentes segmentos de mercado. O setor da educação não seria diferente.
Leia: TI não é mais um setor meramente técnico nas IES
O primeiro passo é não se desesperar. O segundo passo é compreender que a LGPD não trata apenas da implementação de medidas técnicas, próprias da área da tecnologia da informação. Não há um software disponível no mercado e capaz de promover uma adequação imediata. O terceiro passo é reconhecer que a internalização das regras da LGPD será um processo, algo que gostamos de dizer que é uma espécie de conformação, no sentido de dar uma nova forma para a sua instituição de ensino, criando ou adequando rotinas e processos.
É importante que a instituição de ensino compreenda que um projeto de conformidade terá uma dimensão técnica e também administrativa
Nesse sentido, é importante que a instituição de ensino compreenda que um projeto de conformidade terá uma dimensão técnica e também uma dimensão administrativa. Adequação leva tempo, moldar uma instituição é um processo gradual. Porém, é necessário que ele comece de algum lugar. Por isso, selecionamos algumas recomendações a partir da LGPD (Lei n.º 13.709/2018), tendo como base o tema segurança da informação e a baixa complexidade em sua implementação.
RG, nome, CPF, endereço, etc. Separe-os entre docentes, discentes, colaboradores e fornecedores e comece a definir qual é a finalidade de seu uso (por exemplo, matrícula, avaliação, cadastro de funcionários, desempenho, etc.);
Raça, filiação sindical, saúde, biometria, etc. Reduza ao mínimo o número de pessoas que podem ter acesso a informação;
Quanto maior o número de pessoas na sua instituição tiver acesso a um dado pessoal, maior será o risco de que um incidente (vazamento) possa acontecer. Por isso, restrinja o acesso aos dados ao mínimo de pessoas na sua instituição;
Sobre os cuidados que devem ser tomados com dados pessoais (adoção de senhas fortes, guarda das senhas em lugares seguros, não compartilhamento de senha de acesso com colegas, etc.);
Com colaboradores, docentes e fornecedores disposições que cuidem de deveres de cuidado com os dados pessoais que serão utilizados por eles, criando a ciência de que o tema é sério e precisa da colaboração de todos;
Códigos de conduta, protocolos, e-mails informativos, entre outros formatos, de modo que a informação chegue aos seus docentes, discentes, colaboradores e fornecedores;
por sua instituição de ensino superior sejam utilizados por docentes e colaboradores para o acesso e utilização de dados pessoais, não expondo essas informações em ambientes ou aparelhos com baixa segurança;
É dever de cada membro cuidar dessas informações, buscando evitar práticas como a do post-it com informações de login e senha grudados na tela do computador em locais de livre trânsito ou a adoção de senhas fracas como “1234”;
Mesmo sabendo da importância do uso de dados, use apenas o mínimo necessário de dados para a realização de sua tarefa, lembrando que quanto mais dados pessoais alguém utiliza, maior o risco de um incidente acontecer;
Receba os pedidos de discentes, docentes, pais de estudantes, entre outros, permitindo que a sua organização possa compreender os incômodos com o uso das informações pessoais e possa adotar medidas de correção ou adequação nos casos que julgar necessários.
Por fim, entre a conformidade LGPD e a conformação da instituição às novas regras, há uma noção importante de processo. Um projeto de proteção de dados não começa ou termina, ele é uma mudança de postura institucional, é uma nova forma a ser adotada por instituições em diferentes segmentos. Nesse sentido, nossas recomendações não são exaustivas, não resumem todos os passos de um projeto de conformidade, porém, podem servir como bom ponto de partida para uma mudança duradoura.
————————————————————————————–
* Marina Feferbaum coordenadora do Centro de Ensino e Pesquisa em Inovação (CEPI) e da área de metodologia de ensino da FGV Direito SP, onde também é professora dos programas de graduação e pós-graduação.
Alexandre Pacheco da Silva Coordenador do Centro de Ensino e Pesquisa em Inovação (CEPI) da FGV Direito SP, onde também é professor dos programas de graduação e pós-graduação. Consultor em privacidade e proteção de dados.
Metaverso transformará profissões e criará novas até 2030