Nos últimos anos, em razão dos avanços tecnológicos, vem crescendo uma preocupação generalizada ao redor do mundo acerca da segurança de dados pessoais e seu uso por terceiros. No Brasil, a LGPD (Lei Geral de Proteção de Dados Pessoais – Lei 13.907/2018) regulamenta este ecossistema, estabelecendo diversas diretrizes e penalidades em caso de seu descumprimento. Assim, todas as pessoas físicas e jurídicas, de direito público ou privado, que realizam tratamento de dados, deverão estar adequadas à nova legislação, que já está sendo aplicada em diversas decisões judiciais, inclusive do Supremo Tribunal Federal – STF, até mesmo antes de entrar em vigência.
A segurança de dados está diretamente relacionada à garantia dos direitos à privacidade e ao livre desenvolvimento da personalidade, estando o primeiro elencado no rol de direitos fundamentais na Constituição Federal do Brasil. Cada pessoa pode compartilhar suas informações pessoais da forma que melhor lhe convir, mas quando se trata do uso de dados de terceiros, é necessário cuidado. Assim, a LGPD veio para estabelecer diretrizes na forma de coletar, tratar e armazenar dados pessoais “relacionados à pessoa identificada ou identificável”, resguardando-se a sua privacidade.
Não resta dúvida que o tratamento de dados pessoais já é, por si só, tema de extrema relevância. Mas, quando se insere neste contexto dados de menores de idade, a importância aumenta exponencialmente, tendo em vista a vulnerabilidade deste público. Pensando nisto é que a LGPD estabeleceu regras muito mais rígidas voltadas ao tratamento de dados de Crianças e Adolescentes.
A Lei Geral de Proteção de Dados, em um de seus artigos, estabelece que “o tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse”. Ora, o “melhor interesse” então referido é o princípio de proteção ao vulnerável, ou seja, a criança e ao adolescente, sob o qual devem ser pautadas todas as decisões – seja dos pais, responsável legal ou mesmo o Estado – que envolvam os direitos do menor de idade.
As escolas, por sua vez, fazem parte de um dos grupos que mais necessitam de cuidado e observância à LGPD posto que, além dos dados dos colaboradores internos (professores, auxiliares etc.), também há o registro de dados de todos os seus alunos – bem como seus pais e/ou responsável legal, além de dados de saúde. Assim, tendo em vista a maior sensibilidade destes dados cujos titulares são, em boa parte, menores de idade, é de extrema importância garantir a segurança da informação nestes ambientes.
De modo geral, as principais hipóteses fixadas pela LGPD que possibilitam o tratamento de dados pessoais são:
- Quando há o fornecimento de consentimento pelo titular;
- para o cumprimento de obrigação legal ou regulatória pelo controlador;
- para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
- para a proteção da vida ou da incolumidade física do titular ou de terceiro;
- quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Entretanto, quando o objeto de coleta, tratamento e armazenamento são dados sensíveis, quais sejam aqueles de menores de idade e suas informações de saúde, se faz necessário o consentimento, que deve se dar de forma expressa, livre e inequívoca. Não é válido o consentimento tácito ou amplo.
Contudo, vale lembrar que menores de idade não têm a capacidade civil necessária para conceder este consentimento. Portanto, qualquer tentativa de se obtê-lo desta forma será inválida.
Sob a luz desta premissa, a LGPD define que o tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico de pelo menos um de seus pais ou pelo responsável legal. Portanto, no contexto escolar, toda informação relativa aos tipos de dados coletados, a forma de utilização e os procedimentos para o exercício dos direitos previstos devem estar plenamente disponíveis e claros para que os pais ou responsáveis legais dos alunos possam manifestar, ou não, o devido consentimento expresso.
A exceção à tal regra vem fixada no parágrafo 3º do mesmo artigo 14, que traz a situação da necessidade de se entrar em contato com a família do menor tendo como fim a proteção deste. Nesta situação, prezando-se pelo melhor interesse do menor, fica dispensado o consentimento destacado acima, mas com a ressalva de que tais informações não poderão ser armazenadas ou repassadas a terceiros. Para os casos de tratamento, armazenamento ou repasse, a necessidade de consentimento do titular fica mantida.
Ademais, no que diz respeito às escolas que oferecem formas não tradicionais de ensino, através de aplicativos para uso em tablets, computadores e smartphones, inclusive aplicativos de elearning para menores de idade, é preciso atentar, ainda, para as informações solicitadas no uso destas aplicações, bem como requerer o consentimento dos pais e representantes para o uso e monitoramento destas soluções, precavendo-se com soluções seguras e criptografadas, a fim de que essas imagens não sejam captadas e vazadas por criminosos. Ato sequente, o parágrafo 4º do art. 14 da LGPD estabelece que não se deve condicionar a participação de crianças e adolescentes em jogos ou aplicações de internet ao fornecimento de dados pessoais além daqueles estritamente necessários à atividade. Portanto, a identificação e monitoramento dos alunos e de suas atividades nas ferramentas digitais da escola deve se dar da forma mais simples possível, sem prejuízo do consentimento dos pais.
As escolas que dispõem de vigilância de câmeras também deverão se precaver, pois estas imagens poderão ser vazadas, gerando grande desconforto perante os pais e a comunidade em geral. Ademais, a gravação de imagens também deverá obedecer ao consentimento dos pais ou representante do menor de idade, principalmente se houver transmissão on-line para fora da escola, ou contemple reconhecimento facial.
Além disso, é preciso atentar aos dados dos alunos que tiverem suas matrículas canceladas ou não renovadas na escola. Para esta situação, deve haver a cessação do tratamento de dados pessoais, visto que as informações deixaram de ser necessárias para o alcance da finalidade almejada (art. 15, I, LGPD). A partir disto, os dados terão que ser eliminados do sistema, sendo autorizada sua manutenção apenas para fins específicos previstas no artigo 16 da LGPD, conforme segue:
Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
I – cumprimento de obrigação legal ou regulatória pelo controlador;
II – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III – transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
IV – uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
Assim, não há dúvidas do cuidado detalhado que tem de ser empregado não só durante a aquisição e tratamento dos dados, mas também quando chega o momento de seu armazenamento e exclusão.
Com vistas a evitar a infração de dados pessoais a LGPD, então, fixou diversas penalidades, que podem chegar à multa de R$ 50 milhões ou mesmo a divulgação da infração cometida. Dentre o rol de sanções previstas, destaca-se:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- multa diária, observado o limite total a que se refere o inciso II;
- publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- eliminação ou bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Percebe-se que o legislador conseguiu prever uma ampla variedade de sanções, as quais poderão ser aplicadas da forma que melhor se adeque a cada caso em particular. Afinal, para a aplicação da penalidade é preciso considerar diversos aspectos como o ramo da empresa, gravidade da infração, sua amplitude, existência de dolo ou culpa e a finalidade envolvida.
Portanto, torna-se imprescindível a análise dos riscos relacionados aos dados pessoais nos ambientes escolares para que sejam adotadas as soluções cabíveis, de modo a estar em conformidade com a LGPD, bem como minimizar os riscos de tratamento irregular dos dados pessoais constantes em seus registros. Esta atitude não só preservará o melhor interesse dos alunos, como também a privacidade de todos os envolvidos, evitando ao estabelecimento o cumprimento das severas penalizações estabelecidas pela nova lei, além da perda da reputação no caso de vazamento, que pode ser irrecuperável.