Proteção de dados: Boas práticas no setor educacional

Edmée Maria Capovilla Leite Froz

Advogada, professora e consultora em privacidade e proteção de
dados

A Lei Geral de Proteção de Dados Pessoais, Lei n.º 13.709/18

(LGPD) entrou em vigor no dia 28 de dezembro de 2018, na parte que trata da
Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de
Proteção de Dados Pessoais e da Privacidade, e no dia 18 de setembro de
2020, exceto os artigos 52 a 54 que entraram em vigor no dia 1º de agosto de
2021, referente às sanções administrativas impostas pela legislação.
Com o objetivo de proteger os direitos fundamentais de liberdade e
de privacidade e o livre desenvolvimento da personalidade da pessoa natural, a
LGPD tem a sua aplicação para toda a pessoa física ou jurídica que trate
dados pessoais, ou seja, as suas atividades empresariais/comerciais que
necessite de um banco de dados, independente do volume e da natureza dos
dados pessoais, devem obedecer aos princípios instituídos pela legislação de
proteção de dados.
Assim, essa lei impôs novas obrigações, responsabilidades,
atribuições e às entidades públicas e privadas, que no âmbito das suas
atividades tratem dados pessoais, desde que fundamentadas nas hipóteses
permissivas dos artigos 7º e 11º da LGPD.
Nesse artigo faremos um recorte para tratar sobre as boas práticas
da proteção de dados no setor educacional pelo volume de dados e da
criticidade dos dados pessoais tratados nas instituições e no desafio imposto
aos empresários, diretores, mantenedores e afins em cumprirem uma
legislação onde apenas um artigo específico faz referência ao setor
educacional, pelo compartilhamento de dados entre a esfera pública e a
privada.
O artigo 62 da LGPD determina que “a autoridade nacional e o
Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (Inep),
no âmbito de suas competências, editarão regulamentos específicos para o
acesso a dados tratados pela União para o cumprimento do disposto no § 2º do
art. 9º da Lei nº 9.394, de 20 de dezembro de 1996 (Lei de Diretrizes e Bases
da Educação Nacional) , e aos referentes ao Sistema Nacional de Avaliação da
Educação Superior (Sinaes), de que trata a Lei nº 10.861, de 14 de abril de
2004 .” (sem grifos no original).
Partindo da premissa que as instituições devem cumprir a legislação
a partir de agosto de 2020, data em que a LGPD entrou em vigor, e que o
artigo 62 fez expressa referência a regulamentos que seriam editados pela
ANPD e pelo INEP para regulamentar o tratamento de dados pessoais da LDB
e dos Sinaes, foi dado o alerta de que o tratamento de dados pessoais, até
então realizado pelas instituições, sem orientação prévia poderia, futuramente,
ser considerado irregular com a edição de tais regulamentos, dando azo a
ações cíveis e administrativas.
Instituições de ensino estão sob a fiscalização do Ministério da
Educação, periodicamente, que utiliza de metodologias e resoluções para
nortear a administração das instituições e auditar os números de alunos e
funcionários, por isso, inserir novas práticas de proteção de dados e
privacidade nas escolas, universidades, cursinhos e similares é urgente e
demanda uma equipe especializada, tanto para quem vai fiscalizar, quanto
quem executará o plano de ação.
É necessário dizer que o INEP é uma autarquia federal que trata de
avaliações e exames educacionais, pesquisa estatística, indicadores
educacionais e gestão de conhecimento, com o objetivo de implementar
políticas públicas.
Depreende-se que esse objetivo é extremamente abrangente e pode
necessitar de não uma, mas duas (quem sabe três) bases legais para justificar
o tratamento de dados, como veremos adiante.
A LGPD faz menção à Lei nº 9.394/96, que estabelece as diretrizes
e bases da educação nacional, que em seu art. 9º determina que, a União
incumbir-se-á de:
V - coletar, analisar e disseminar informações sobre a educação;
VI - assegurar processo nacional de avaliação do rendimento escolar
no ensino fundamental, médio e superior, em colaboração com os sistemas de
ensino, objetivando a definição de prioridades e a melhoria da qualidade do
ensino;
 VII - baixar normas gerais sobre cursos de graduação e pós-
graduação;
VIII - assegurar processo nacional de avaliação das instituições de
educação superior, com a cooperação dos sistemas que tiverem
responsabilidade sobre este nível de ensino;
IX - autorizar, reconhecer, credenciar, supervisionar e avaliar,
respectivamente, os cursos das instituições de educação superior e os
estabelecimentos do seu sistema de ensino.    
E para tal mister, a União terá acesso a todos os dados e
informações necessários de todos os estabelecimentos e órgãos educacionais
(art. 9º, § 2º) (sem grifos no original).
Já o Sistema Nacional de Avaliação da Educação Superior -
SINAES, tem o objetivo de assegurar processo nacional de avaliação das
instituições de educação superior, dos cursos de graduação e do desempenho
acadêmico de seus estudantes e, através dos resultados, permitir o
credenciamento e a renovação de credenciamento de instituições de educação
superior, a autorização, o reconhecimento e a renovação de reconhecimento
de cursos de graduação (Lei n.º 10.861/04).
Assim, infere-se da determinação legislativa que instituições
educacionais públicas e privadas para atender a finalidade de execução de
política pública ou ainda para cumprir legislação anterior à LGPD,
compartilharão dados pessoais com a União.
Além disso, o Decreto nº 6.425/2008, determina que o INEP
realizará, anualmente, o censo escolar da educação básica e o censo da
educação superior, a teor do art. 1º. O censo é realizado em regime de
colaboração entre a União, os Estados, o Distrito Federal e os Municípios, em
caráter declaratório e mediante coleta de dados descentralizada, englobando
todos os estabelecimentos públicos e privados de educação básica e adotando
alunos, turmas, escolas e profissionais da educação como unidades de
informação, conforme o art. 2º.
O art. 5º do referido decreto, por sua vez, impõe a obrigatoriedade a
toda instituição de educação, de direito público ou privado, com ou sem fins
lucrativos, de prestar as informações solicitadas pelo INEP por ocasião da
realização do censo da educação ou para fins de elaboração de indicadores
educacionais. Já o art. 6º da norma assegura o sigilo e a proteção de dados
pessoais no censo da educação, vedando a utilização dos dados para fins
estranhos aos previstos na legislação educacional aplicável. 1
Com o intuito de evitar futuras notificações tanto do MEC, quanto de
outros órgãos fiscalizatórios, foi necessário estabelecer etapas para
implementação da proteção de dados e privacidade, no setor educacional,
diante dos diversos atores que atuam neste segmento.
Como exemplo, podemos citar em um centro educacional que
abrange ensino superior e ensino médio, contempla diversas atividades de
tratamento de dados pessoais, desde a coleta de dados de alunos quando da
matrícula, quanto de prospects através do marketing digital, como dos alunos
que aplicam seus dados pessoais para as mais diversas formas de ingresso no
ensino superior e quando já alunos da instituição, o tratamento de dados deve
se submeter às resoluções e normas dos conselhos federais de cada profissão,
por exemplo, enfermagem, nutrição, psicologia, medicina, odontologia, direito,
dentre outros com as suas clínicas para a prática que atende a população
carente.
Já do maternal ao ensino médio, podemos observar instituições que
contemplam atividades extracurriculares e estabelecem como parceiros de
negócio como franquias de línguas estrangeiras, escolas terceirizadas para a
prática de esporte, teatro música, dança e assim por diante.
Depreende-se desse leque de compartilhamento de dados, que
adequar uma instituição exige um levantamento de informações na fase inicial,
para traçar um plano de ação com amparo no organograma e nos parceiros de
negócio da instituição.
A atividade educacional contempla macro e micro processos o que
reflete na execução da proteção de dados e da segurança da informação de
acordo com as melhores práticas, com lastro nas normas internacionais.
No início de 2020, com o Decreto Legislativo n.º 6, reconhecendo o
estado de calamidade, pela pandemia do coronavírus e, posteriormente, a
imposição do isolamento social obrigatório, diversas empresas tiveram que

1
Nota Técnica 46 (3319546) SEI 00261.000730/2022-53 / pg. 4, disponível em
https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/sei_00261-000730_2022_53-nt-46.pdf
virtualizar a suas operações, especialmente o setor educacional, que sofreu
severos impactos.
Perda de receita, investimento em equipamentos, treinamento de
professores, pais e alunos, transformando o ensino em EaD (Ensino a
distância), com todos os riscos advindos de tal situação, a proteção de dados
que não era uma prioridade, tornou-se urgente.
Vimos diversos incidentes envolvendo a sala de aula no ambiente
virtual e outras situações que foram reveladas, pelo investimento em segurança
da informação.
O último incidente com exposição de dados pessoais partiu de uma
falha nos sistemas do INEP, onde mais de 5 milhões de estudantes brasileiros
tiveram dados expostos na internet. A vulnerabilidade foi divulgada pela revista
digital "The Hack", que testou o acesso aos dados e descobriu que era possível
saber informações como nomes dos candidatos, e-mail, senhas, gênero e
nome da mãe, como boletins de desempenho, local de prova e até laudos
médicos e opção de tratamento social.2
Mas a exposição de dados pessoais de alunos não é privilégio
apenas do Brasil, em 2019, a Autoridade Norueguesa de proteção de dados
informou que foram expostos 35.000 dados pessoais de alunos e funcionários
da escola municipal, neste procedimento administrativo, concluiu-se que não
havia medidas próprias de segurança para resguardar os dados pessoais,
violando o Regulamento Geral de Proteção de Dados (RGPD) 3.
Um outro exemplo de incidente de segurança é a cópia, em um
pendrive, realizada por um ex-funcionário da instituição, que ao ser demitido
compartilhou informações e dados pessoais com a outra empresa.
Diante dessas situações, como instituições devem iniciar o
planejamento e incorporar a proteção de dados e a privacidade nas suas
operações e evitar que pessoas sejam expostas, que informações sejam
divulgadas e especialmente que funcionários e/ou terceirizados tenham a
proteção de dados como premissa de suas atividades?

2
https://www.uol.com.br/tilt/noticias/redacao/2021/09/10/falha-no-sistema-do-inep-vaza-dados-de-5-
milhoes-de-estudantes.htm?cmpid=copiaecola
3
Disponível em: https://iapp.org/news/a/norwegian-supervisory-authority-fines-municipality-170k-
euros-for-gdpr-violations/
 Enquanto não há um regulamento específico de como tratar dados
pessoais nas instituições, com o objetivo de se adequar aos dispositivos da
LGPD, o Ministério da Educação tem realizado um conjunto de ações, quais
sejam4:
•    Desenvolvimento do Programa Institucional de Proteção de Dados
Pessoais e Privacidade;
•    Institucionalização do Subcomitê de Segurança da Informação e
Proteção de Dados Pessoais (SSIPDP/MEC) – em fase de publicação;
•    Institucionalização do Núcleo de Estudos para Implantação da Lei
Geral de Proteção de Dados Pessoais (NEILGPD/MEC);
•    Realização do levantamento das atividades de tratamento de
dados pessoais existentes no âmbito do Ministério – em fase de
consolidação; e
•    Nomeação do Encarregado pelo Tratamento dos Dados
Pessoais do Ministério.
O plano de ação iniciado pelo MEC indica que as atividades podem
ser executadas nas instituições de ensino, pois revelam um encadeamento de
ações da fase inicial de implantação da LGPD para empresas de outros
setores, além do que agregará valor à instituição.
A primeira reunião com a alta direção, sócios ou diretores é muito
importante para dar conhecimento de forma assertiva sobre o tema,
abrangendo não apenas a parte jurídica como princípios, obrigações,
responsabilidades, sobretudo a parte técnica e situações cotidianas inseridas
na realidade da instituição.
Explicar a metodologia, o tempo e a equipe necessária, bem como
as etapas que serão percorridas trarão clareza para o projeto de adequação,
demonstrarão segurança e comprometimento da equipe que estará engajada
nessa tarefa.
Geralmente nessa reunião é possível alinhar a criação do comitê de
privacidade e nomear o Encarregado.
As instituições geralmente apresentam organização e mapeamento
dos processos, pois necessitam estar em conformidade com diversas

4
https://www.gov.br/mec/pt-br/acesso-a-informacao/lgpd
legislações, especialmente, as resoluções do MEC, portanto faz parte da rotina
terem comissões ou grupos destacados para determinado projeto.
Assim, diante das obrigações e atribuições de um grupo que vai
ajudar no projeto de implantação se faz necessário a instituição de forma
regulamentada do Comitê de Privacidade, que pode ser designado através de
portaria com a nomeação de funções, diretorias ou áreas de negócios que
tratam dados e de pessoas comprometidas com o projeto.
Na prática, diante de tantas atividades que uma instituição
desenvolve, percebeu-se a necessidade de nomear também suplentes e de
inserir reuniões periódicas do Comitê, pelo menos, a cada 2 meses, com o
objetivo de atualizar sobre a implementação da LGPD, bem como permitir que
o Comitê exerça uma de suas atribuições, que é decidir sobre situações que
possam apresentar um risco ao tratamento de dados pessoais seja de
funcionários ou de alunos e seus responsáveis.
O tema da proteção de dados é vasto e deve ser difundido por toda
a instituição, não apenas para a direção, mas para os funcionários, professores
e terceirizados, tornando as reuniões preparatórias um excelente momento de
disseminação de informação e conscientização sobre as ações desenvolvidas
em cada setor da instituição, para dar possibilidade de as perguntas serem
respondidas e maior proximidade entre os colaboradores.
É recomendado que seja feita uma lista de presença e emissão de
certificados, para posterior comprovação de conscientização e treinamentos
das equipes.
A necessidade de comprovar treinamento e conscientização da
equipe sobre proteção de dados, já foi objeto de um processo trabalhista em
que restou comprovado a conduta grave cometida pelo trabalhador, que
justificou a justa causa, ao violar as regras sobre proteção de dados instituídas
pela empresa5.
A Avaliação Inicial de Privacidade compreende uma boa prática para
o setor educacional, sendo possível elaborar um relatório identificando as
medidas já implementadas pela instituição, mapeando os macrofluxos de
tratamento de dados, as legislações específicas para cada setor e a parte

5
TRT 2ª Região Recurso Ordinário Trabalhista 1000612-09.2020.5.02.0043, disponível em
https://www.conjur.com.br/dl/1000612-0920205020043.pdf
técnica da segurança da informação, bem como as medidas que foram
tomadas para mitigar riscos e as que serão necessárias para elaborar o projeto
de adequação.
A Gestão de Riscos
Sempre que se inicia um novo projeto, os riscos devem ser
avaliados, pelo Gestor de Crise ou por outro profissional que tenha capacidade
técnica para avaliar o cenário.
Tomando como base a Resolução Administrativa nº 60/2014, da
Agência Nacional de Saúde (ANS), o art. 8º determina que “o gerenciamento
de riscos deve ser feito em ciclos não superior a dois anos, abrangendo os
processos de trabalho, sistemas informatizados, gestão orçamentária, gestão
de pessoas e legislação, com vistas reduzir os eventos de riscos negativos,
assim como, quando for o caso, potencializar os eventos de riscos positivos
(oportunidades)6.
Nessa etapa é importante descrever como o trabalho é realizado
conhecendo os seus objetivos e as fontes de riscos presentes em suas
atividades.
“É importante frisar o detalhamento da descrição do processo de
trabalho: objetivos, etapas, procedimentos, atividades, recursos humanos
(peopleware), equipamentos (hardware), sistemas de informação requeridos
(software) e materiais, além de outras fontes de riscos que sejam parte
integrante desse fluxo de informações e tomadas de decisão. Quanto mais
detalhada a descrição do processo de trabalho, mais fácil será a visualização
dos eventos que podem ocorrer e afetar os objetivos” 7
Toda organização – assim como todo sistema – relaciona-se com o
ambiente externo. Esse relacionamento é estabelecido por meio de uma
interface com clientes, fornecedores, governo etc. São exemplos de interfaces
de uma organização com o meio externo as áreas de recepção, call center, os
vendedores, os compradores, os atendentes e demais agentes que interagem
com clientes, fornecedores, governo e cidadão8.

6
Disponível em https://www.gov.br/ans/pt-br/arquivos/acesso-a-informacao/transparencia-institucional/gestao-
de-riscos/politica-gestao-de-riscos-ans.pdf
7
Manual de Gestão de Riscos da Agência Nacional de Saúde Suplementar – ANS, disponível em www.ans.gov.br
8
FERNANDES, Jorge Henrique Cabral. Introdução à Gestão de Riscos de Segurança da Informação. GSIC302. Versão
1.2. 2009-2011.
 A gestão de risco é baseada na norma ABNT NBR ISO/IEC
27005:2008 (ABNT, 2008).

O Relatório de Impacto à Proteção de Dados (RIPD).

O Relatório é uma documentação do controlador que contém a
descrição dos processos de tratamento de dados pessoais que podem gerar
riscos às liberdades civis e aos direitos fundamentais, bem como medidas,
salvaguardas e mecanismos de mitigação de risco, conforme art. 5º, XVII da
LGPD.
A Autoridade Nacional de Proteção de Dados (ANPD) poderá
determinar ao controlador que elabore relatório de impacto à proteção de
dados pessoais, inclusive de dados sensíveis, referente a suas operações de
tratamento de dados, nos termos de regulamento, observados os segredos
comercial e industrial (art. 38 da LGPD).
As instituições de ensino coletam dados pessoais sensíveis de
alunos, que se referem à saúde, como por exemplo se são portadores de
doença, se tem alergia, qual o tipo sanguíneo (para emergências); dados
biométricos como as impressões digitais e reconhecimento facial para acesso à
escola/universidade; exames admissionais e demissionais dos funcionários.
Daí a necessidade de elaborar um RIPD, demonstrando quais as
medidas que foram adotadas pela instituição para resguardar a criticidade
desses dados de um incidente com violação de dados que possa ocasionar
danos aos titulares.
Adequação do site institucional e aplicativo
Os dispositivos como captadores de informações e dados pessoais,
através de cookies devem cumprir a determinação do Marco Civil da Internet,
da LGPD e da ISO 29184 Avisos de privacidade on-line e consentimento,
essa norma tem como objetivo providenciar avisos onde for necessário, em
uma linguagem apropriada para os titulares de dados pessoais, em um
momento que permita que os titulares exerçam de forma consciente o
consentimento, em locais onde sejam facilmente reconhecidos pelos titulares, e
com referências que forneçam acesso a material suplementar, incluindo avisos
prévios e suas respostas de privacidade,
 A adoção de boas práticas ao utilizar os dispositivos dos
funcionários para desempenho das funções em home office, denominado pela
sigla BYOD (Bring Your Own Device – traga seu dispositivo próprio).
O aplicativo WhatsApp é o muito popular e seu uso é quase unânime
nas instituições públicas e privadas para comunicação entre equipes.
Entretanto, ao tratar informações de terceiros em celulares de
propriedade dos funcionários representa um risco, pois o dispositivo pode ser
perdido, quebrado, furtado, assim como o app pode ser invadido, bloqueado e
assim dados pessoais de titulares da instituição tornam-se vulneráveis, atraindo
a responsabilidade pela reparação por dano material ou moral.
Como recomendação, deve-se elaborar um Manual para uso de
celulares e notebooks, contemplando o uso, compartilhamento de informações,
backup, antivírus, e determinações do que fazer em caso de perda, extravio,
roubo, dentre outras situações.
Se a instituição permite que o funcionário utilize o seu próprio
dispositivo, deve-se arcar com os custos como contratação de antivírus, dentre
outras medidas e definir se e quando poderá auditar o mesmo, prevendo em
contrato de trabalho em cláusula em destaque.
O Plano de Resposta a Incidentes
Incidente é o acontecimento que compromete a segurança dos
dados pessoais, expondo-os a acessos não autorizados, a situações acidentais
ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de
tratamento inadequado ou ilícito que resulte na destruição, perda, alteração,
vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou
ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular
dos dados pessoais9.
De acordo com o art. 48 da LGPD, a Instituição deverá comunicar à
autoridade nacional e ao titular a ocorrência de incidente de segurança que
possa acarretar risco ou dano relevante aos titulares.
Após a confirmação de risco e danos relevantes aos titulares, a
organização (Controlador) deverá comunicar à Autoridade Nacional de
Proteção de Dados (ANPD) e ao titular de dado, no prazo de até 2 dias.

9
De acordo com o conceito estabelecido pela Autoridade Nacional de Proteção de Dados (ANPD), disponível em
https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca
 “Enquanto pendente a regulamentação, recomenda-se que após a
ciência do evento adverso e havendo risco relevante, a ANPD seja comunicada
com a maior brevidade possível, sendo tal considerado a título indicativo o
prazo de 2 dias úteis, contados da data do conhecimento do incidente.
Tal interregno foi estabelecido com parâmetro
na definição de comunicação já existente no Decreto nº 9936/2019 e em
virtude da necessidade de gerenciamento dos incidentes de segurança com
dados pessoais por parte da ANPD e das consequências danosas que podem
ocorrer em razão do atraso nas ações de contenção ou mitigação.”10
Portanto, em até 48 horas, deve-se comunicar à ANPD sobre o
incidente que seja relevante e possa causar danos aos titulares. Assim, o plano
de resposta a incidente deve ser um guia prático de como proceder em outras
situações, além da exposição de dados pessoais, devendo considerar:
a) o incidente pode acarretar risco, tomando como base a proporção entre a
probabilidade de o evento acontecer e a gravidade das consequências
previsíveis, como a ocorrência de incidente com dados sensíveis, dados de
crianças e adolescentes.
b) dano relevante, a partir da ocorrência do prejuízo, da perda, que pode ser
material ou moral, com violação ao direito de imagem e a honra.
É necessário considerar o quantitativo (o volume) dos dados pessoais
afetados.
O incidente deve ser registrado internamente, com a análise e a
avaliação dos riscos e consequências, atendendo ao princípio da
responsabilidade e prestação de contas disposto na Lei Geral de Proteção de
Dados Pessoais.
Determinar quem será avisado interna e externamente compreende
o plano de ação, bem como não restam dúvidas de que o Controlador (a
instituição) comunica a ocorrência à ANPD.
O comunicado deve ser feito pelo Encarregado, que deverá preencher o
cadastro de usuário externo no Sistema Eletrônico de Informações (SEI), da
Presidência da República11.

10
https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca
11
Disponível em: https://sei-pr.presidencia.gov.br/sei/controlador_externo.php?
acao=usuario_externo_logar&acao_origem=usuario_externo_gerar_senha&id_orgao_acesso_externo=0
 Gestão dos Contratos
Em atendimento ao princípio da boa-fé, transparência,
responsabilização e prestação de contas os contratos deverão ser capazes de
informar às partes sobre o tratamento de dados realizado pela Instituição, se há
compartilhamento, quais são os dados coletados, a finalidade, por quanto
tempo serão armazenados, os direitos dos titulares e as formas de exercê-los,
as responsabilidades, sanções impostas pelo descumprimento contratual,
informações sobre o encarregado.
Diante do posicionamento das instituições nas redes sociais, é
necessário prever, em cláusula específica, o uso da imagem e voz de alunos,
pais, responsáveis e funcionários, dando oportunidade de as partes
consentirem ou não com tal exposição nas mídias digitais.
Para os contratos celebrados sem a previsão da proteção de dados,
uma boa prática é realizar o aditamento contratual que tem objetivo modificar,
atualizar e ratificar determinadas cláusulas, atendendo de forma eficaz o
cumprimento da lei, fornecendo informações que proporcionem clareza e
segurança para as partes, afastando dúvidas e possíveis reclamações sobre o
tratamento dos dados pessoais.
Os contratos dos parceiros de negócios e contratados das
instituições devem ser aditados de acordo com o objeto contratual, evitando
cláusulas genéricas de cumprimento da legislação, pois a definição das
responsabilidades e obrigações, bem como as formas de tratamento e dados
que são coletados são específicos para cada negócio realizado pela instituição.
Tomando-se como exemplo, um contrato de marketing pode não
coletar os mesmos dados pessoais que um contrato de contratação de
professor substituto ou ainda, de um aplicativo de venda de lanches.
Somente após o mapeamento de dados e de uma análise
aprofundada poderá se determinar quais são as responsabilidades e impor
sanção às partes, por descumprimento contratual.
Os direitos dos titulares
Conforme o art. 18 da LGPD, os titulares de dados pessoais tem
direito ao acesso facilitado às informações sobre o tratamento dos seus dados,
à qualquer momento, de forma clara, adequada e ostensiva, por meio de um e-
mail ou outra forma que a instituição implementar, como por exemplo,
diretamente no site institucional.
Os direitos dos titulares são12:
1) Confirmar a existência do tratamento;
2) Ter acesso aos seus dados pessoais, de forma simples ou uma
declaração completa;
3) Corrigir os dados que estejam incompletos, inexatos ou desatualizados;
4) Solicitar a anonimização, bloqueio ou eliminação de dados
desnecessários, excessivos ou tratados em desconformidade com a Lei
Geral de Proteção de Dados Pessoais.
5) Solicitar a portabilidade dos dados a outro fornecedor de serviço ou
produto, mediante requisição expressa, de acordo com a
regulamentação da autoridade nacional, observados os segredos
comercial e industrial;
6) Solicitar a eliminação dos dados pessoais tratados com o consentimento
do titular, exceto nas hipóteses em que é autorizado por lei a
conservação dos dados;
7) Ser informado(a) sobre as entidades públicas e privadas com as quais a
Instituição realizou uso compartilhado de dados;
8) Ser informado(a) sobre a possibilidade de não fornecer consentimento e
sobre as consequências da negativa;
9) Solicitar a revogação do consentimento, a qualquer momento, mediante
manifestação expressa, de forma gratuita e facilitada
10)Solicitar a revisão de decisões tomadas unicamente com base em
tratamento automatizado de dados pessoais que afetem seus
interesses, incluídas as decisões destinadas a definir o seu perfil
pessoal, profissional, de consumo e de crédito ou os aspectos de sua
personalidade.

Para executar os direitos dos titulares, já existe software para

acompanhar as solicitações, responder e consolidar os resultados, contudo
caso o controlador (a Instituição) não tenha adotado a forma automática de
respostas, deverá indicar um funcionário/colaborador que terá a atribuição de
12
Lei Geral de Proteção de Dados Pessoais, Lei n.º 13709/18.
receber as solicitações e iniciar o processo para respondê-las no prazo de até
02 dias quando se tratar de confirmar a existência do tratamento ou ter acesso
aos dados pessoais, de forma simples ou uma declaração completa; e no prazo
de 15 (quinze) dias, para as outras solicitações.
Como boa prática, estabelecer um fluxo de processo para esse
atendimento é essencial, para que a solicitação seja atendida pontualmente,
bem como efetuar treinamento e validação do processo, estabelecendo
respostas padrões para cada tipo de solicitação.
O cenário de uma instituição de ensino demanda diversos
tratamentos de dados, dentre os quais sensíveis, de crianças e adolescentes,
envolvendo riscos que devem ser mensurados, de forma que se permita a
continuidade da atividade com a utilização de dados pessoais para atender o
objeto contratual, em si, que é a prestação de serviço (ensino), bem como
atender as resoluções do MEC e legislações que se referem à educação, como
visto que é dever das instituições compartilhar dados pessoais com a União,
para promoção de política pública, o que se impõe a observância da Lei de
Acesso à Informação, que não foi alvo deste artigo.
Assim, com a prática e a implementação em algumas instituições,
percebe-se que agir já é um dos diferenciais dos gestores, aliando-se às
recomendações aqui expostas, que não são exaustivas e que demandam uma
equipe coesa e com profissionais do jurídico, da tecnologia da informação, de
projetos, dos recursos humanos e qualquer outra expertise que possa contribuir
para o sucesso da execução do projeto de adequação em uma instituição de
ensino.

BIBLIOGRAFIA:
 Lei Geral de Proteção de Dados Pessoais (LGPD)
 FERNANDES, Jorge Henrique Cabral. Introdução à Gestão de Riscos
de Segurança da Informação. GSIC302. Versão 1.2. 2009-2011.
 Iapp.org
 https://www.gov.br/anpd/pt-br
 www.ans.gov.br