Noções básicas da LGPD que a sua Instituição de Ensino precisa saber

A sua Instituição de Ensino está preparada para a implantação da LGPD? Foi pensando nesta pergunta que preparamos uma das apresentações que aconteceu na 2ª edição do CRMaker Summit, evento promovido pela CRM Educacional, com treinamentos sobre os nossos produtos e palestras voltadas para estratégias de captação e permanência de alunos.  

Em Noções Básicas de LGPD para Instituições de Ensino, Fausto Sette Câmara, especialista em Direito Empresarial, explica a nova lei e as principais adequações que o setor educacional precisa fazer para coletar as informações dos seus interessados e candidatos.  

Por isso, continue a leitura desde artigo, confira o resumo da palestra e entenda o que a sua Instituição de Ensino precisa saber sobre as noções básicas da Lei Geral de Proteção de Dados Pessoais (LGPD). 
 

O que a nova lei propõe?  

Inspirada na General Data Protection Regulation (GDPR), da União Europeia, a LGPD estabelece definições a respeito de dados pessoais, dados pessoais sensíveis, controle, processamento, consentimento, entre outras. A legislação brasileira que foi sancionada em 2018 e com atuação desde agosto deste ano — 2020 — vem para garantir o direito constitucional à privacidade e proteger os dados pessoais dos indivíduos.  

Indicando as categorias de dados e como as empresas devem atuar em relação à sua coleta e tratamento, a LGPD garante para colaboradores, assim como fornecedores e consumidores que o uso de qualquer informação que seja considerada como dado pessoal esteja comprovadamente dentro da lei. Por isso o consentimento, junto com a finalidade legal e explícita para o uso dos dados precisam ser devidamente formalizados. Pois o descumprimento será passível de punições a partir de agosto de 2021.  

O que muda em relação aos dados coletados no processo de captação? 

Em primeiro lugar, é preciso ficar claro que entre os principais objetos de proteção da Lei, estão os dados pessoais e dados sensíveis. Ou seja, é toda e qualquer informação que pode identificar ou tornar uma pessoa identificável. Dentre os dados pessoais que são comumente solicitados pelas Instituições de Ensino estão:  

• RG. 
• CPF. 
• E-mail. 
• Telefone fixo e celular.  
• Endereço residencial.   

E os dados sensíveis são os que não necessariamente tornam uma pessoa identificável, mas que pode gerar qualquer tipo de discriminação. Esses dados também podem ser solicitados em um processo seletivo. Como, por exemplo:   

• Origem racial ou étnica. 
• Filiação a sindicato ou a organização de caráter religioso, filosófico ou político. 
• Dado referente à saúde ou à vida sexual.  
• Dado genético ou biométrico.  

Por obrigação legal, existem algumas informações pessoais dos alunos que devem ser armazenadas e compartilhada com alguns órgãos públicos.  

Mas, essas informações também precisam estar submetidas a uma política de definição de quais são dados, em quais lugares e prazos de armazenamento e compartilhamentos. Explicitando então para quais fins cada informação será usada. E com o comprometimento da Instituição em não coletar estes dados para outras finalidades.  

Por quem deve ser feito o tratamento e a proteção dos dados coletados? 

O tratamento dos dados pessoais é de responsabilidade total e parcial das partes envolvidas na operação realizada com esses dados. Ou seja, como as que se referem desde a coleta até a eliminação e/ou difusão dos dados. Entenda as definições dadas por Fausto Câmera, palestrante e especialista em Direito empresarial, dos principais envolvidos neste processo: 

• Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. 

• Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. 
• Encarregado: é o indicado pelo controlador, denominado Data Protection Officer (DPO) na GDPR, que faz a comunicação entre os titulares que terão seus dados processados e o controlador. A existência deste encarregado passa ser obrigatória. 
• Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. 

A Instituição de Ensino é o controlador dos dados, ou seja, a quem compete as decisões referentes ao tratamento dos dados pessoais. A CRM Educacional e as demais parceiras e/ou prestadora de serviços da Instituição que fazem uma parte do processo de coleta de dados é um operador. Ou seja, realiza o tratamento em nome do controlador.  

E este processo então só é possível após o consentimento livre, explícito e gratuito do candidato e interessado, com cuidado especial aos menores de 18 anos, que só podem fornecer informações mediante a autorização de um responsável legal.  

Ficha de Inscrição no CRM

A ficha de inscrição do CRM para Captação de Alunos já está adequada com as novas exigências da Lei. Onde é possível: 

• Inserir mensagens personalizadas, com o link de acesso à Política de privacidade da sua Instituição. 
• Identificar o aceite aos termos da Política de Privacidade e Proteção de Dados, por cada lead. E definir que a continuidade da inscrição só será possível após o consentimento.   
• Permitir que o candidato autorize ou não que a Instituição entre em contato com ele. Refletindo nas réguas de envio de E-mail, SMS, Telefonema e WhatsApp. 
• Configurar os campos de responsável legal, para os candidatos menores de idade. 

Portanto, como a CRM atua como um operador dos dados, nossa responsabilidade é fornecer todos os recursos necessários para que a coleta ocorra em conformidade com a Lei. Já responsabilidade sobre a utilização e compartilhamento destes dados, assim como disponibilizar um encarregado das informações. E estabelecer os termos de consentimento, é de inteira responsabilidade da Instituição de Ensino. Confira aqui a nossa política de privacidade, que a sua instituição pode usar como modelo.  

Quais são as responsabilidades da CRM Educacional com as Instituições de Ensino? 

Tanto a Instituição quanto a CRM Educacional, com base no que lhes cabem à parte do tratamento dos dados pessoais, devem manter registro das operações que realizarem. Especialmente quando baseado no legítimo interesse.  
 
Em trabalho conjunto com o operador, o controlador deve fornecer sempre que necessário, relatórios com, no mínimo, a descrição dos tipos de dados coletados. A metodologia utilizada para a coleta, e para a garantia da segurança das informações e a análise do controlador com relação à medidas, salvaguardas. Além disso, os mecanismos de mitigação de risco adotados. 

Por isso, o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais. Causar dano patrimonial, moral, individual ou coletivo, em violação à legislação. É obrigatório fazer as devidas reparações.  

E aí, agora você já sabe se a sua Instituição de Ensino está preparada para a implantação da LGPD? Esperamos que este resumo da palestra de Noções Básicas de LGPD para Instituições de Ensino, ministrada por Fausto Sette Câmara, te ajude a preparar e ajustar os seus processos de coleta dos dados de seus candidatos. 

No que diz respeito à CRM Educacional, você pode se tranquilizar que estamos sempre atualizando nossos produtos e serviços. Em conformidade com as leis vigentes para garantir que a sua Instituição siga com a captação e permanência de alunos de forma legal e segura.