Em um cenário de intensa conectividade, informações pessoais de usuários são objeto de massiva coleta, utilização, transmissão e armazenamento. Essas informações passam por um processo de datificação, refletindo o papel central que hoje elas possuem para o desenvolvimento da economia e (re)organização da sociedade.

Às vésperas da entrada em vigor da Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/18), ainda existem diversos questionamentos acerca dos seus efeitos práticos. Trata-se de uma lei que fornece diretrizes sobre como os dados pessoais dos cidadãos poderão ser tratados, garantindo aos titulares maior transparência e controle em relação a esses processos.

A LGPD produzirá impactos em todos os setores da economia, incluindo o educacional. As instituições de ensino figuram neste cenário como agentes de tratamento de dados pessoais, podendo sofrer sanções jurídicas caso atuem em desconformidade com as disposições legais.

Isto porque, os agentes de tratamento são classificados em duas categorias: controlador e operador. Ambos podem ser pessoas jurídicas de direito público e privado, mas possuem diferenças quanto ao seu papel na operação. O controlador é o sujeito a quem compete a tomada de decisões referente ao tratamento, enquanto ao operador cabe realizar, em nome do controlador, o tratamento de dados

No presente artigo, serão abordados alguns dos desafios relacionados à adequação do setor à LGPD com o objetivo de fomentar a reflexão entre seus principais stakeholders.

Existe um amplo espectro de instituições de ensino no país e todas elas realizam atividades de tratamento de dados pessoais no desempenho de suas atividades: contratos de matrícula, históricos escolares (pormenorizando o desempenho do aluno nas aulas), contratos de trabalho entre seus colaboradores, registros de frequência (que podem ser biométricos), entre outros.

Muitas vezes, tais instituições processam inclusive dados sensíveis, que são aquelas informações capazes de gerar a estigmatização do indivíduo e estão listados no Art. 5º, II, da LGPD. Dentre eles, estão dados referentes à saúde, origem racial, convicção religiosa, dados genéticos e biométricos e podem incluir por exemplo, avaliações psicológicas dos alunos. Como os dados sensíveis colocam seus titulares em uma situação de especial vulnerabilidade, a LGPD determina algumas limitações para o tratamento desse tipo de dado. Dados sensíveis só podem ser tratados nas hipóteses do artigo 11 da LGPD, não sendo, por exemplo, o legítimo interesse uma base legal válida para esse tipo de dado, como se dá em relação aos dados convencionais.

Caso o controlador opte pelo consentimento como base legal para o tratamento do dado sensível, o consentimento há de ser não apenas informado e inequívoco, mas também destacado e específico. Logo, nesse caso, a instituição de ensino deve exercer um cuidado redobrado para obter um consentimento válido, bem como para fazer a gestão do consentimento, já que ele pode ser revogado a qualquer momento.

A LGPD traz, ainda, a figura do consentimento parental para o tratamento de dados de crianças. O Estatuto da Criança e do Adolescente (ECA – Lei nº 8.069/1990) considera criança a pessoa com até 12 (doze) anos de idade, e adolescente aquele entre 12 (doze) e 18 (dezoito) anos.

O artigo 14 da LGPD dedica-se a tais hipóteses e estabelece que o tratamento de dados de crianças deve ser sempre realizado com o consentimento específico e destacado de pelo menos um dos pais ou responsáveis legais e as informações sobre o tratamento de dados deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do titular, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.*

Portanto, qualquer escola e instituição de ensino deve ficar atenta a estes detalhes, uma vez que a base legal para tratamento e a forma de obtenção do consentimento podem variar de maneira significativa dependendo do tipo de dado a ser tratado ou da idade do aluno.

Outra questão relevante, especialmente em tempos de pandemia, diz respeito à medição da temperatura dos alunos na entrada das escolas. Podem as escolas fazer essa medição à luz da LGPD? Essa questão já foi objeto de intensos debates na Europa, existindo algumas possibilidades de interpretação.

De acordo com o Regulamento Europeu de Proteção de Dados (GDPR), suas regras só se aplicam a dados que efetivamente forem inseridos em um arquivo físico ou digital. Caso este não seja o caso, existe o argumento de que não se aplica o GDPR.

Portanto, embora a LGPD adote uma definição bastante expansiva do que consiste o tratamento de dados, caso a escola apena colete a temperatura do aluno e não insira esta informação em um suporte tangível ou intangível, poder-se-ia argumentar que não existe propriamente um tratamento regulado pela LGPD, diante da tendência de que aspectos não regulados pela LGPD inspirem-se na regulação europeia.

Tais exemplos demonstram o quanto a LGPD produzirá impactos no cotidiano das instituições de ensino, trazendo importantes desafios jurídicos. Por essa razão, torna-se necessária uma profunda mudança de cultura em relação ao tratamento de dados pessoais no âmbito educacional, de modo a garantir o estrito cumprimento dos princípios e disposições da nova lei.

*A Rede Sphere International School, já prevê em seus contratos de serviços educacionais a necessidade de consentimento específico e em destaque por pelo menos um dos pais ou responsável legal da criança ou adolescente.