A LGPD (Lei Geral de Proteção de Dados) ganhou bastante destaque a partir da segunda metade do ano passado, quando foi aprovada pelo Congresso e sancionada pelo presidente Jair Bolsonaro, após dois anos de tramitação e muitas idas e vindas – assunto sobre o qual não vou me debruçar agora. O que interessa saber é que a lei já está em vigor, embora as punições previstas por ela só passarão a ser aplicadas em agosto de 2021.
Um impacto direto da LGPD para o “grande público” são aquelas mensagens de uso de cookies que praticamente todos os sites passaram a exibir, que permitem entender o uso dos dados coletados. Assim como o campo obrigatório para consentimento de uso das informações em formulários online.
Mas a LGPD não é só isso.
Baseado no Regulamento Europeu de Proteção de Dados Pessoais, a LGPD torna obrigatórias uma série de práticas que antes eram apenas recomendadas. Sob pena de multa de 2% do faturamento anual da empresa em caso de descumprimento ou desconhecimento das normas.
Entre elas estão o due diligence sobre dados pessoais, auditoria sobre tratamento, gestão do consentimento e anonimização, relatório de impacto, segurança dos dados, plano de comunicação no caso de incidentes de segurança, prevenção de conflitos… E isso ainda nem é tudo. Se você se assustou ou não faz ideia do que sejam alguns desses termos, melhor correr!
E o EAD?
É claro que os impactos da LGPD também seriam sentidos nas plataformas de Ensino a Distância e AVAs (Ambientes Virtuais de Aprendizagem). Esses serviços coletam dados de seus usuários para inscrição, acesso, comunicação e emissão de certificados.
Então, garantir que os alunos concordem com a utilização das informações repassadas deve ser entendido como um “primeiro mandamento” das empresas que gerenciam plataformas de educação.
Ou seja: é preciso redobrar a atenção para a captura de dados, sejam eles quais forem, e ser bem claro sobre a utilidade de cada um deles para a plataforma. Não é permitido modificar o motivo do uso sem autorização prévia do proprietário das informações.
O momento é de desligar o piloto automático e avaliar que tipo de informação é necessária para o modelo de operação da ferramenta. Nome, gênero, cargo, endereço, e-mail, telefone. Isso basta? Precisa de mais alguma coisa? Será que precisa mesmo? Não peça informações só porque todo mundo pede. É imprescindível documentar as justificativas de cada dado coletado como um controle interno para auditoria externa, ou seja, governamental.
Com isso você evita o desgaste na gestão dos dados e se assegura de que dados não muito relevantes vazem em caso de ataques cibernéticos – aos quais o EAD não está imune, embora seja muito raro acontecer.
De toda forma, não espere a punição, pois já estão valendo. Vamos atrás das mudanças necessárias para se adequar ao LGPD. Estamos combinados?
LGPD no Medportal
Aqui no Medportal temos atenção redobrada com a segurança sobre os dados e as ações de coleta, uso e descarte de informações.
Nos preocupamos com a adequação à legislação desde a implantação do projeto educacional de cada cliente, orientando-o sobre as informações adequadas e permitidas, bem como na segurança das informações restritas. Por exemplo: nossa solução possibilita a personalização de campos como forma de tornar os planejamentos educacionais mais ágeis e intuitivos. Uma boa estratégia de implantação permite que com três cliques os conteúdos sejam distribuídos a centenas ou milhares de colaboradores. Para resguardar a conformidade desses campos, nossa equipe faz uma curadoria e orienta o cliente sobre as melhores práticas.
Além disso, contamos com ferramentas de auditoria e relatórios que permitem que o próprio cliente acompanhe os dados particulares de suas bases a fim de sanear o que for necessário. Clientes que usam nossas soluções de comercialização de conteúdos contam com solução de mercado com Certificação PCI, firewall de camadas de nível 7 e o mesmo patamar de segurança requerido, por exemplo, por ambientes bancários.
Nossos engenheiros auditam constantemente a base de dados para avaliar eventuais riscos. Adotamos medidas de segurança para nossos servidores de hospedagem a fim de evitar ameaças como DNS hijacking e ataques DDos, que, a partir da injeção de malwares ou ransomwares, poderiam causar o comprometimento potencial dos dados de nossos clientes.
