"DPO e GESTOR DE SEGURANÇA DA INFORMAÇÃO" Escolar
Compartilhados (TERCEIRIZADOS)

Apesar da lei começar a valer apenas em 2020, as escolas precisam começar a se preparar desde já. Assim, quando os órgãos fiscalizadores começarem a atuar, seu business estará atuando dentro da lei em relação aos dados dos seus clientes.

O profissional para atuar no ambiente escolar, necessita possuir um perfil diferenciado.

Talvez esta afirmação só faça sentido para quem já ocupou cargo de gestão dentro do ambiente escolar.

Foi justamente após atuar alguns anos dentro do universo escolar, que surgiu a ideia da criação de serviços de terceirização (AS A SERVICE) de áreas que seriam essenciais que as escolas possuíssem, porém, áreas que o custo de internaliza-las fosse proibitivo.

Através da seleção de profissionais com "vivência no universo escolar” e com os conhecimentos e “certificações internacionais” em “Segurança da Informação”, “TI” e “Privacidade de Dados” que a DPO Sercurity desenvolveu o serviço especializado de “DPO e Gestor de Segurança da Informação as a Service”.

Este serviço constitui dos mesmos serviços já oferecidos pela EC Consulting ("DPO as a Service" e "INFORMATION SECURITY OFFICER as a Service"), porém adequados a realidade educacional e realizado por profissionais com experiência neste mercado.

Quem já atuou no mercado educacional sabe que tentar aplicar as regras e processos realizados nos outros mercados diretamente no universo escolar, acaba trazendo, não só rejeição por parte dos colaboradores, mas engessamento dos processos. Além disto, as restrições orçamentárias, tradicionais modelos de gestão e, muitas vezes estrutura mais antiquada no quesito tecnologia, faz com que as novas demandas de compliance, como a LGPD, se tornem inviáveis, se aplicadas na sua integralidade.

Tendo em vista a obrigatoriedade das escolas se adequarem a LGPD, o serviço “DPO e Gestor de Segurança da Informação as a Service” torna-se a solução definitiva para o universo educacional, já que as escolas podem compartilhar o custo destes profissionais altamente especializados.

Dois dos pontos que tornam "obrigatória" a adequação das escolas a LGPD, são:

• Realizam operações de tratamento de dados (coletar, modificar, armazenar, compartilhar) em território nacional;

• A lei cria uma proteção especial para os menores de idade, perfil de grande parte das escolas.


A LGPD é uma lei brasileira que prevê a proteção dos dados de qualquer cidadão em território nacional quando utilizado por terceiros, sejam eles pessoas físicas ou jurídicas. Isso inclui as escolas, que têm acesso a dados pessoais e sensíveis de colaboradores (professores e demais equipes), alunos, pais e visitantes. O descumprimento da lei pode gerar pesadas multas e restrições impostas pelo recém-criado órgão chamado de Autoridade Nacional de Proteção aos Dados (ANPD), além de danos irreversíveis à imagem da instituição.

Serão aplicadas sanções administrativas e/ou multas aos agentes de tratamento (controlador e/ou operador) que infringirem as normas previstas na LGPD. As multas poderão chegar a até 2% (dois por cento) do faturamento da empresa, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, e limitada ao total de R$50.000.000,00 (cinquenta milhões de reais) por infração. Além da multa, a lei prevê o direito à indenização paga pela parte controladora/operadora dos dados por danos patrimoniais, morais, individuais ou coletivos sofridos pelo titular dos dados.

Além da obrigatória adequação a LGPD e, portanto, necessidade de ter um DPO responsável pela instituição, os resultados de um trabalho de MBA realizado em meados de 2018, trazem algum dados que demonstram a necessidade das escolas possuírem um Gestor de Segurança da Informação para poderem sobreviver as mudanças do mercado e as exigências e expectativas de pais, alunos e demais stakeholders do universo educacional.

Para ter acesso completo ao trabalho da pesquisa, clique aqui.

Alguns dados curiosos sobre o resultado da pesquisa:



Mais de 87% dos que responderam à pesquisa, entendem como necessária a existência de um profissional especializado exclusivo para cuidar da segurança das informações das escolas, porém, das escolas destes pesquisados, apenas cerca de 7% possui um profissional com estas características, cerca de 31% não possui profissional para cuidar do tema, e em mais da metade das escolas, é o próprio responsável pela TI que realiza a função.



Foram presentados alguns comuns exemplos de incidentes de segurança da informação aos pais:

- Mau atendmento por parte da secretaria ou desouraria da escola, por indisponibilidade sistêmica;
- Indisponibilidade prolongada dos recursos de TI na área educacional;
- Escola sofrer penalidades legais em função de vazamento de informações;
- Invasão e adulteração de notas escolares;
- Danos a imagem da escola por ter o nome envolvido em corrupção ou lavagem de dinheiro;
- Perda de informações sensíveis; e
- Vazamento de informações sensíveis.

Verificou-se que a menor parte dos pais ou responsáveis legais, pouco mais de 5%, não retirariam seus filhos da escola em virtude de nenhum dos incidentes apresentados, já do lado dos alunos, todos os incidentes, foram selecionados pelo menos uma vez. Alguns destes incidentes levaria mais de 70% dos clientes da escola a deixarem-na, mostrando não só o valor que as informações tem para este público, mas o risco que as escolas estão sujeitas, se não tratarem adequadamente o tema Segurança da Informação.

Para ajudar os educadores a se prepararem para a aplicação da nova lei, o "Blog Escolas Exponenciais" conversou com as advogadas Cristina Sleiman e Patrícia Peck Pinheiro. Ambas destacam que é importante que as escolas se atentem à real necessidade de adequação para que a “surpresa e o trabalho” não sejam maiores no futuro. O artigo completo pode ser acessado clicando aqui.

Alguns pontos em destaque do artigo:

O que muda para as escolas com a vigência da LGPD?
Com a vigência da nova lei, será necessária especial atenção aos procedimentos internos em relação a coleta e tratamento de dados pessoais, incluindo dados sensíveis, conforme disposição legal. Neste contexto será necessário criar uma Norma de Proteção de Dados Pessoais. O impacto será na gestão de seu banco de dados (pessoais), digital ou não, pois, ainda que sejam informações coletadas antes da vigência da lei, elas deverão ser legitimadas, ou seja, para que sejam usadas, deverão se enquadrar em uma das hipóteses previstas na LGPD.

Quais os principais desafios que as instituições irão enfrentar para implementar as mudanças?
Considerando que as escolas tratam dados sensíveis de toda sua comunidade, será necessário fazer um levantamento de quais dados são coletados, para qual finalidade, qual deles possuem embasamento legal para sua coleta, e quais deles precisarão de consentimento do titular. Além disso, será preciso verificar o nível de proteção aplicado a esses dados. A lei prevê também a obrigatoriedade de se instituir o cargo de “Encarregado” (DPO), que será a pessoa responsável pela instituição, ainda que seja terceirizado, pela Proteção de Dados Pessoais.
Diante das condições estabelecidas na lei, será necessário fazer um assessment (ferramenta de avaliação), para análise de cenário atual da própria instituição para posterior elaboração de plano de ação. É importante que as escolas façam a revisão de todos os seus documentos, desde o contrato de matrícula, contrato de trabalho, terceirizados (que tenha acesso a dados pessoais, “Política de Privacidade” de seus portais e aplicativos, contratação da nuvem, entre outros).

Essas mudanças irão exigir algum investimento financeiro por parte das empresas?
Por certo que terá impacto financeiro, uma vez que será preciso fazer o diagnóstico da situação atual e posterior implementação das ações necessárias para conformidade legal. Além disso, é muito importante o investimento em capacitação e sensibilização de seus profissionais, pois um vazamento de dados pessoais pode ocorrer até mesmo por uma conversa de WhatsApp.

Quais as consequências para as instituições que não observarem as novas regras?
As consequências podem ser de advertência com prazo para adequação, aplicação de multa que vai desde 2% do faturamento da empresa ou grupo econômico, no limite de R$ 50 milhões, multa diária no mesmo limite, impedimento de utilizar os dados coletados ou até mesmo de coletá-los futuramente. Vale ressaltar que a ANPD levará em consideração a maturidade do sistema de gestão e proteção de dados (Segurança da Informação) e que a falta ou deficiência deste poderá levar a situações complicadas, como por exemplo, perda de benefícios fiscais.

Qual a melhor forma das instituições de ensino se precaverem de problemas decorrentes da falha na proteção de dados?
Iniciar um projeto imediatamente, indicando um DPO devidamente qualificado e certificado e posteriormente, iniciando o levantamento, análise e delineamento de possíveis ações.

Se quiser saber mais sobre este serviço, envie uma mensagem para contatos@ecconsulting.com.br.