O RGPD e as nossas escolas

No seguimento das sess√Ķes de forma√ß√£o de sensibiliza√ß√£o e de consultoria na implementa√ß√£o do Sistema Gest√£o de Privacidade da Dados (SGPD), focando as obriga√ß√Ķes e a forma de obter a conformidade ao Regulamento Geral de Prote√ß√£o de Dados da UE (RGPD), que tenho ministrado em escolas, decidi neste artigo referir alguns dos novos desafios que se colocam aos estabelecimentos escolares.

O RGPD traz novos direitos para que os residentes europeus tenham controle sobre seus dados pessoais. O RGPD re√ļne o melhor destas leis individuais e cria uma √ļnica regulamenta√ß√£o pan-europeia que cria consist√™ncia para os indiv√≠duos na prote√ß√£o e controle de seus dados pessoais e pode ser facilmente implementada em toda a UE pelos fornecedores de servi√ßos e bens. Al√©m disso, √© uma oportunidade para todas as organiza√ß√Ķes melhorarem a seguran√ßa da informa√ß√£o pela qual s√£o respons√°veis, seja informa√ß√£o empresarial, de neg√≥cio, dados pessoais ou de qualquer outra natureza administrativa/financeira e assim tamb√©m aproveitar a oportunidade para tomar novas medidas para garantir a seguran√ßa de toda a informa√ß√£o. De referir que a digitaliza√ß√£o de processos, da informa√ß√£o e dos neg√≥cios, a seguran√ßa passa a ter um n√≠vel de exig√™ncia sem precedentes.

Os nossos filhos s√£o talvez a comunidade mais importante para a qual este novo regulamento ajuda a fornecer novas prote√ß√Ķes. √Ä medida que as crian√ßas usam cada vez mais aplicativos online, e como nossas escolas est√£o usando novas tecnologias inovadoras online na sala de aula, essas novas prote√ß√Ķes dos dados pessoais s√£o bem-vindas.

O tratamento de dados pessoais dos nossos filhos tem que ser realizado de forma confiável. O fundamento dessa confiança é construído em torno dos princípios do RGPD.

Qualquer estabelecimento escolar que pretenda coletar e tratar dados dos alunos deve fornecer uma base jurídica para essa ação. Se o consentimento for usado como base legal para o processamento de dados, o consentimento deve ser fornecido por uma pessoa com responsabilidade parental se a criança tiver menos de 13 anos. De notar que o aviso de consentimento e privacidade deve ser escrito em linguagem simples que possa ser entendida por crianças e por quem tem a responsabilidade parental.

Para as escolas que usam serviços online na sala de aula, serviços de e-mail, redes sociais, colaboração de documentos e material didático online, será necessária uma atenção especial para garantir que os serviços utilizados sejam totalmente compatíveis com o RGPD.

Alguns passos importantes:

Sensibilizar

¬∑        Certificar que os pessoais docentes e n√£o docentes dentro da escola est√£o cientes das novas regras de prote√ß√£o de dados pessoais ao abrigo do RGPD

¬∑        Estar ciente das implica√ß√Ķes ao n√≠vel da responsabilidade da gest√£o do estabelecimento escolar por n√£o estar em conformidade com as obriga√ß√Ķes do RGPD

¬∑        Realizar a√ß√Ķes de forma√ß√£o para que as pessoas entendam as mudan√ßas dentro da escola

Nomear um Encarregado de Proteção de Dados (DPO), se necessário

O RGPD exige que as organiza√ß√Ķes nomeiem um Encarregado de Prote√ß√£o de Dados (DPO) obrigat√≥rio somente em determinadas circunst√Ęncias (artigo 37¬ļ).

Esta função pode ser desempenhada por um elemento interno da organização ou pode ser contratada a uma entidade externa.

Nas situa√ß√Ķes em que n√£o seja mandat√≥rio nomear um DPO, na minha opini√£o, √© sempre recomend√°vel nomear um ponto de contato, algu√©m interno ou externo por subcontrata√ß√£o, que seja o respons√°vel por informar e aconselhar a empresa sobre a conformidade da prote√ß√£o de dados, aconselhar sobre a avalia√ß√£o do impacto da prote√ß√£o de dados, monitorizar a conformidade da prote√ß√£o de dados, ministrar forma√ß√£o, realizar auditorias relacionadas com esta √°rea e cooperar e atuar como ponto de contacto com os titulares dos dados e com as autoridades de controlo da prote√ß√£o de dados.

Considere os dados que a escola possui e o que faz com esses dados

¬∑        Realizar um mapeamento e inventaria√ß√£o dos dados pessoais que a escola atualmente possui, dos tratamentos e dos fluxos de dados pessoais para terceiros. √Č prov√°vel que isso implique uma auditoria completa de prote√ß√£o de dados.

¬∑        Rever a base jur√≠dica para processar os dados pessoais que a escola possui. Por exemplo, a escola obteve o consentimento dos pais / funcion√°rios ou o processamento necess√°rio para que a escola cumpra suas obriga√ß√Ķes legais?

Note que crian√ßas menores de 16 anos n√£o podem “consentir” o processamento de seus dados pessoais.

Rever procedimentos existentes

Rever como a escola procura, obtém e registra dados pessoais e o consentimento dos titulares dos dados.

Alguns pontos a considerar:

¬∑        A escola possui sistemas adequados para corrigir ou apagar dados a pedido de um indiv√≠duo?

¬∑        Tem procedimento para responder a uma solicita√ß√£o de acesso, oposi√ß√£o ou esquecimento?

¬∑        H√° pol√≠ticas e procedimentos que permitam avaliar e gerir os riscos?

¬∑        Existe procedimentos para tratamento de dados pessoais n√£o automatizados?

¬∑        Os sistemas garantem a confidencialidade, integridade e disponibilidade dos dados?

¬∑        Consegue-se detetar qualquer viola√ß√£o de dados logo que ocorra e comunic√°-la em 72 horas?

Por fim, n√£o basta fazer, h√° que demonstrar:

¬∑        Conseguimos recolher evid√™ncias e demonstrar que cumprimos com o RGPD?

O ponto de partida para esta miss√£o √© garantir que as escolas tenham as t√©cnicas e as medidas organizacionais de que precisam para ser seguras e produtivas no nosso mundo digitalmente transformador e que cumpram as obriga√ß√Ķes do novo regime do RGPD.