• Demétrio Weber

Como se adaptar à Lei Geral de Dados

Atualizado: há 5 dias



A Lei Geral de Proteção de Dados (LGPD) está em vigor e requer providências por parte de escolas e universidades. Compartilho aqui texto do escritório de advocacia Covac Sociedade de Advogados, que elaborou um manual sobre a nova lei (confira link abaixo).


* * *


"A Lei Geral de Proteção de Dados (LGPD) entrou em vigor promovendo grandes mudanças e exigindo que empresas se organizem para mapear, redesenhar processos e analisar a real necessidade de obtenção de dados. Atenta ao cenário, a Covac Sociedade de Advogados lançou o Manual da Lei Geral de Proteção de Dados, voltado exclusivamente para instituições de ensino, que são detentoras de dados de alunos e docentes, além de possuírem diversas especificidades dos serviços prestados, como os dados acadêmicos que possuem tratamento diferenciado.


Como a aplicação da LGPD impactará todas as organizações que ofertam produtos e/ou serviços para o mercado nacional, será fundamental entender os mecanismos da lei. O desafio é equilibrar a conformidade e a proteção da privacidade com a sustentação do próprio negócio e as inovações. E serão necessárias mudanças operacionais e de processos de trabalho em diversas áreas das instituições de ensino, além de investimentos em capacitação e implementação de novas tecnologias.


Confira nove dicas para instituições de ensino se adequarem à LGPD:

1. Gestão do projeto e roadmap

A adequação à LGPD demanda uma série de procedimentos que podem ser implementados concomitantemente ou subsequentemente. Nesse cenário, é necessária a utilização de metodologias de gestão que devem ser selecionadas dentro do contexto exclusivo de cada instituição de ensino. Após a escolha da metodologia de gestão, chegou a hora de implementar o roadmap (mapa da estrada) de adequação à LGPD. O roadmap é um tipo de metodologia muito utilizada no desenvolvimento de softwares e startups. De forma objetiva, aponta os caminhos para que uma empresa possa sair de um ponto inicial até o ponto final de um projeto, passando por todas as etapas de construção e entrega final do produto. O objetivo é tido como uma bússola para guiar a equipe até a entrega de um produto.


2. Fase preliminar

Essa é uma fase que antecede o início da adequação à LGPD pelas instituições de ensino, sendo utilizada como fase que objetiva fazer um mapeamento inicial da organização. O objetivo é se adaptar ao roadmap e formatar o cronograma de execução. Tal como na implantação de um programa de compliance, que não segue uma receita de bolo, a adequação da LGPD por instituições de ensino também leva em consideração os aspectos próprios de cada organização e o segmento em que cada uma está inserida. Essa fase é comumente utilizada para estabelecer o tempo de adequação e as necessidades técnicas sobre as quais a organização terá que se debruçar.


3. Início da implementação

Após a reunião com a administração da instituição de ensino, é necessário que se determine a criação do Grupo de Trabalho para a implementação do Programa de Privacidade e Proteção de Dados, ou seja, o comitê que vai fazer a adequação da instituição à LGPD. Esse Grupo de Trabalho deve realizar um trabalho colaborativo com vários membros da própria instituição e com terceirizados contratados, com o objetivo de mapear e tratar os dados pessoais. Dentro desse Grupo de Trabalho deve ser escolhido provisoriamente um DPO (Data Protection Office – ou Encarregado da Dados).


4. Mapeamento dos dados pessoais

A política de segurança da informação envolve a política de proteção de dados pessoais, a política de privacidade e a consequente avaliação de riscos dessas políticas. Essa etapa poderia preceder a etapa do mapeamento dos dados pessoais, mas pode ser desenvolvida concomitantemente ou mesmo posteriormente, haja vista que é muito mais seguro implantar a política de segurança da informação com todos os dados devidamente inventariados.


5. Políticas de segurança da informação

Com a promulgação da LGPD, o foco antes voltado apenas à informação foi ampliado, para considerar também a proteção dos dados pessoais que compõem a informação, visando à garantia da privacidade de seus titulares. Assim, privacidade e segurança são conceitos distintos e complementares, necessitando, ambos, serem protegidos e disciplinados. Cada vez mais necessária para a realização e para o lucro dos negócios, a informação é um bem da organização e, como tal, deve ser gerenciado, protegido, possuindo regras e políticas de utilização. Dentro da instituição, é importante arquitetar um processo eficiente de segurança da informação, calcado sobre três pilares igualmente importantes: disponibilidade, integridade e confidencialidade da informação.


6. Implementação dos direitos dos titulares

A LGPD, em capítulo especialmente dedicado ao tema, estabelece uma estrutura legal que confere poder aos titulares de dados pessoais, concedendo-lhes direitos a serem exercidos perante os controladores desses dados. Esses direitos devem ser garantidos durante toda a existência do tratamento dos dados pessoais do titular. Em razão disso, é importante que as instituições se preparem para que, a partir do início da vigência da lei, possam garantir o exercício desses direitos aos seus clientes/alunos/colaboradores.


7. Ajustes contratuais e transferências

O caminho que leva à integral conformidade da instituição com a LGPD passa pela adequação de todos os contratos firmados, incluindo aqueles com consumidores finais, clientes, funcionários, parceiros, prestadores de serviços, fornecedores e com órgãos públicos.


8. Relatório de Impacto à Proteção de Dados (RIPD) ou Data Protection Impact Assessment (DPIA)

DPIA é a sigla para Data Protection Impact Assessment, uma metodologia amplamente adotada pela legislação europeia de proteção de dados pessoais, a GDPR (General Data Protection Regulation). A LGPD importou o conceito, sob o nome de Relatório de Impacto à Proteção de Dados Pessoais (RIPD), que consiste, basicamente, em uma documentação que descreve os processos de tratamento de dados pessoais que podem gerar algum risco aos direitos dos titulares, além das medidas e dos mecanismos empregados para mitigar esses riscos.


9. Gerenciamento de violações de dados

Segundo preconiza o art. 46 da LGPD, os agentes de tratamento de dados devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito."


O Manual da Lei Geral de Proteção de Dados pode ser acessado aqui.

Receba nossas atualizações

  • Ícone do Facebook Branco
  • Ícone do Twitter Branco
  • Branca Ícone Instagram

© 2020 por Educa 2022. Os textos do portal Educa 2022 podem ser reproduzidos, desde que citada a fonte "Educa 2022".