Escolas poderão ser multadas por violação às Leis de Proteção de Dados

É fato que cada vez mais os meios educacionais se utilizam de mecanismos tecnológicos, tais como câmeras de videomonitoramento e frequência por biometria, para dar suporte na realização de tarefas do dia a dia. Assim, o fluxo de dados sensíveis é crescente e merece especial atenção dos gestores educacionais.

As Escolas devem, à medida que aumenta o seu grau de digitalização, reforçar medidas de segurança da informação para a proteção dos dados sensíveis de alunos e responsáveis, além de seus funcionários.

No Brasil, a Lei Geral de Proteção de Dados (LGPD) dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, em todo o território brasileiro.

A partir da vigência da LGPD, empresas e instituições que se utilizem de dados pessoais de seus usuários, clientes e fornecedores deverão se adequar a lei, respeitando a privacidade de quem forneceu os dados. Isso também se estende para o meio educacional.

Isto posto, recentemente, o Escritório de Proteção de Dados Pessoais da Polônia autuou uma escola por violação às leis de proteção de dados (GDPR).

Escola polonesa é multada pela GDPR por usar impressões digitais para verificar pagamentos de almoço dos alunos

Uma escola na Polônia foi multada em 4.600 euros por violar a GDPR – Regulamento Geral de Proteção de Dados (General Data Protection Regulation), depois que o órgão fiscalizador da GDPR descobriu que a escola estava processando os dados de impressão digital dos alunos para verificar se eles pagaram pelo almoço escolar. Essa notícia chega no momento que programas de utilização de dados biométricos em todo o mundo geram preocupações significativas com a privacidade, e às vésperas da implantação da LGPD no Brasil.

A escola de Gdansk, uma cidade no norte da Polônia, processou as impressões digitais de centenas de crianças “sem base legal”, de acordo com uma declaração de Jan Nowak, pesquisador do Escritório de Proteção de Dados Pessoais (UDOO) da Polônia. Nowak acrescentou que havia opções alternativas adequadas para gerenciar as refeições escolares. Segundo a UODO, a escola primária usa um leitor biométrico na entrada da cafeteria desde 2015 para verificar se os alunos pagaram por suas refeições. No atual ano acadêmico, o sistema foi usado em 680 crianças – com quatro crianças usando “um sistema de identificação alternativo”, não informado.

Os alunos que não usavam identificação biométrica eram forçados a ir pro final da fila

Na opinião do presidente da UODO, “essas regras introduzem um tratamento desigual dos estudantes e sua diferenciação injustificada, pois favorecem claramente os estudantes com identificação biométrica”, diz o comunicado. “Além disso, na visão da autoridade, o uso de dados biométricos, considerando a finalidade para a qual eles são processados, é significativamente desproporcional“.

Embora o consentimento dos pais tenha sido obtido para o programa de identificação biométrica, o UODO constatou que o sistema “não era essencial para alcançar o objetivo de identificar o direito de uma criança a almoçar”.

Decisão da GDPR – Punir a Escola por usar dados biométricos das crianças

A decisão final citou várias facetas do GDPR, incluindo o Considerando 38, que se refere a disposições específicas feitas para a proteção de dados de crianças. “Deve-se enfatizar que as crianças precisam de proteção especial dos dados pessoais, pois podem estar menos conscientes dos riscos, conseqüências, salvaguardas e direitos que possuem em relação ao processamento de dados pessoais”, constatou o relatório.

Dados biométricos são definidos no GDPR como “dados pessoais resultantes de processamento técnico específico relacionado às características físicas, fisiológicas ou comportamentais de uma pessoa natural, que permitem ou confirmam a identificação exclusiva dessa pessoa natural”. Isso inclui impressões digitais, digitalizações de íris (olhos), geometria das mãos, reconhecimento de voz e digitalizações faciais. De fato, as últimas consequências da privacidade do GDPR ocorrem logo após uma escola sueca ter sido multada em 20.000 euros sob o GDPR por conduzir um programa piloto de reconhecimento facial que rastreia a frequência dos alunos.

Embora a multa aplicada à escola primária polonesa no centro desta última violação seja relativamente modesta, a escola também foi condenada a apagar todos os dados pessoais coletados por meio de seu programa e deixar de coletar todos esses dados.

Dados Biométricos – Dados Sensíveis conforme a LGPD e GDPR

À medida que as regulamentações de privacidade de dados entrem em vigor em todo o mundo, incluindo a Lei Geral de Proteção de Dados (LGPD) no Brasil, provavelmente veremos mais debates sobre como os programas de dados biométricos devem ser implementados – ou se devem ser utilizados.

De acordo com o GDPR e a LGPD, os dados biométricos são considerados uma “categoria especial” e dados sensíveis, separada de outros dados pessoais – como endereços de email e números de telefone – que podem ser coletados através de plataformas digitais. Ao contrário dos endereços de e-mail ou credenciais do cartão de crédito, os dados biométricos não podem ser facilmente alterados, e é por isso que eles recebem um status especial nas regulamentações sobre proteção de dados.

“O sistema biométrico identifica características que não estão sujeitas a alterações, como no caso de dados de impressões digitais”, observou o UODO em seu comunicado. “Devido ao caráter único e permanente dos dados biométricos, o que significa que eles não podem mudar com o tempo, os dados biométricos devem ser usados ​​com o devido cuidado. Os dados biométricos são únicos à luz dos direitos e liberdades fundamentais e, portanto, requerem proteção especial. O possível vazamento de dados biométricos pode resultar em um alto risco para os direitos e liberdades das pessoas físicas."

Caso persistam dúvidas, entre em contato!

Fonte: venturebeat.com