Conformidade com a FERPA: Um guia completo

Conformidade com FERPA é a adesão a uma regulamentação federal que exige que as instituições de ensino protejam a privacidade dos registros educacionais dos alunos. Então, o que essa lei estabelece e o que ela exige?

Vamos descobrir.

O que são direitos educacionais e privacidade da família (FERPA)?

O Lei de Direitos Educacionais e Privacidade da Família (FERPA), também conhecida como Emenda Buckley, entrou em vigor em novembro de 1974. Qualquer escola, distrito escolar ou instituição que receba financiamento do Departamento de Educação dos EUA (DoE) deve cumprir com os requisitos da FERPA.

Esta lei federal abrange todos os detalhes do aluno, incluindo informações de identificação pessoal (PII) e informações de diretório e atende a dois propósitos:

1. Ela concede aos pais do aluno — ou ao próprio aluno, se for maior de 18 anos — o direito de consultar seus registros. Se os registros estiverem incorretos, os pais podem solicitar a retificação. Caso a escola se recuse, os pais têm direito a uma audiência formal.
2. Ela impede que a escola compartilhe informações de um aluno sem a permissão dos pais ou do aluno elegível.

Neste ponto, é importante observar que nem todos os documentos que mencionam o nome de um aluno são abrangidos pela FERPA. A lei se aplica especificamente apenas aos registros escolares oficiais. E esses registros também não precisam ser documentos em papel. Documentos digitais, por e-mail, vídeo ou qualquer outro formato são abrangidos pela FERPA.

O regulamento faz uma distinção entre PII e informações de diretório. Informações pessoais sensíveis, como números de segurança social, notas e registros disciplinares, não podem ser compartilhados sem explícito permissão por escrito, exceto em certas situações legais.

No entanto, as informações de diretório são informações mais gerais, como o nome do aluno, o ano de formatura ou se ele participou de algum esporte. Elas podem ser compartilhadas sem permissão, a menos que o aluno ou seus pais tenham optado por não compartilhar.

A lei também transfere automaticamente os direitos dos pais para o aluno quando este completa 18 anos ou se matricula em uma faculdade ou universidade, o que ocorrer primeiro. Após esse período, a escola não pode divulgar informações aos pais sem o consentimento por escrito do aluno — exceto em casos específicos — pois isso constitui uma violação da FERPA.

O que não é coberto pela FERPA?

Mencionamos anteriormente que nem todos os documentos que mencionam o aluno são abrangidos pela FERPA. Aqui está uma lista de alguns deles:

• Qualquer registro criado por um professor, docente ou membro da equipe, para seu próprio uso e não compartilhado com ninguém: Por exemplo, as anotações privadas de um professor sobre um aluno estão isentas. No entanto, se o professor as compartilhar com outros professores, as anotações se tornarão parte dos registros do aluno e, como tal, serão cobertas pela FERPA.
• Registros policiais ou de segurança mantidos pelo departamento de segurança da escola: Esses não são registros educacionais, portanto a lei não se aplica a eles.
• Registros de indivíduos que são funcionários da escola: Essas pessoas são protegidas pelas leis trabalhistas, visto que não são estudantes. No entanto, se o funcionário também for estudante, sua documentação é protegida pela FERPA.
• Registros de saúde de um aluno criados pelos serviços de saúde da escola: Estes são cobertos por HIPAA pois são informações médicas e dados não educacionais.
• Registros de ex-alunos criados após a formatura do aluno: Esta é um tanto óbvia: depois de se formarem e deixarem a escola, eles não são mais alunos. Portanto, qualquer informação sobre eles coletada a partir daquele momento — histórico de doações de ex-alunos, informações de contato pós-graduação etc. — não é coberta pela FERPA. No entanto, quaisquer registros de seus dias como alunos ainda são protegidos.
• Trabalhos avaliados pelos colegas antes que o professor os colete e registre: Quaisquer tarefas ou testes corrigidos por outros alunos não são registros oficiais e não exigem conformidade com a FERPA. No entanto, uma vez que o professor os coleta e registra oficialmente, eles são protegidos por lei.

O que é conformidade com a FERPA?

Os requisitos para a conformidade com a FERPA são bastante simples. Eles podem ser divididos nas três categorias a seguir:

Consentimento

O consentimento é o requisito mais importante da FERPA. Uma escola não pode compartilhar as Informações de Identificação Pessoal (PII) de um aluno, contidas em seus registros educacionais, sem a permissão explícita por escrito dos pais ou responsáveis, ou do próprio aluno, caso este seja maior de 18 anos ou esteja matriculado em uma instituição de ensino superior. Isso inclui:

• Notas, boletins ou históricos escolares
• Registros disciplinares
• Registros de educação especial (por exemplo, IEPs)
• Registros de saúde dos alunos, se forem mantidos pela escola e não por uma unidade médica
• Auxílio financeiro e registros de mensalidade

Ela prevê algumas exceções para as quais o consentimento não é necessário. As informações podem ser compartilhadas com:

• Funcionários escolares — como professores, conselheiros, administradores e pessoal de TI — que precisam das informações para fazer seu trabalho
• Outra escola, se o aluno estiver se transferindo ou se matriculando, e eles pedem registros
• Pessoal médico, em caso de emergências de saúde ou segurança
• Escritórios de assistência financeira, que precisam dos dados para processar bolsas, empréstimos e bolsas de estudo
• Órgãos de aplicação da lei e tribunais, se as informações forem exigidas por uma intimação ou processo legal
• As autoridades estaduais ou de justiça juvenil em determinadas situações jurídicas
• Os pais, se o aluno tiver menos de 21 anos e estiver enfrentando ação disciplinar por abuso de drogas ou álcool

Como parte da conformidade com a FERPA, as escolas também devem conceder ao aluno ou aos seus pais o direito de inspecionar e revisar seus registros oficiais dentro de 45 dias, se solicitado. A parte interessada pode solicitar alterações nas informações caso estejam incorretas.

Os alunos podem renunciar ao direito de visualizar seus registros, mas devem receber orientação e aconselhamento antes de fazê-lo. Isso os protege de abrir mão de seus direitos sem compreender todas as implicações disso.

Como mencionado anteriormente, informações do diretório, como nome, endereço, número de telefone e prêmios do aluno, podem ser compartilhadas pela escola sem a permissão explícita dos pais ou do aluno. No entanto, a parte interessada deve ter a oportunidade de optar por não compartilhar previamente.

Treinamento

É responsabilidade da escola treinar seus funcionários sobre as regras da FERPA, incluindo o que é e o que não é protegido, quando as informações podem ser compartilhadas e como lidar com os registros adequadamente. As pessoas que precisam ser treinadas incluem:

• Professores e professores, que precisam saber o que podem e não podem compartilhar
• Pessoal administrativo e de escritório, porque lidam com os registros dos alunos todos os dias
• Pessoal de TI, pois frequentemente gerenciam bancos de dados com informações confidenciais de alunos
• Segurança do campus, pois eles devem entender os limites da FERPA em relação aos registros de aplicação da lei
• Fornecedores terceirizados, como plataformas de aprendizagem, que lidam com dados dos alunos em nome da escola

Todas essas partes devem compreender os tipos de registros escolares cobertos pela FERPA. Por exemplo, os professores devem saber que discutir a nota baixa de um aluno com outro aluno é uma violação.

Eles devem saber como lidar com solicitações de registros, incluindo quando precisam ou não de consentimento. Se receberem solicitações de pais ou alunos, seja para visualizar a documentação ou corrigir imprecisões, devem saber como processá-las corretamente.

Descarte de registros é uma parte tão importante da gestão de dados quanto o armazenamento. Os funcionários devem ser treinados sobre como destruir registros antigos e indesejados. O treinamento deve incluir como os registros são excluídos ou destruídos para reduzir o risco de divulgação não intencional.

Segurança

Assim como acontece com outras leis de proteção de dados, a conformidade com a FERPA exige que as escolas protejam adequadamente os registros dos alunos. Isso inclui formatos físicos e eletrônicos.

No caso de registros em papel, os arquivos devem ter fechaduras e ser armazenados em uma área designada, onde pessoas não autorizadas não possam entrar. Somente pessoas que precisem de acesso devem ter permissão para entrar.

Para registros digitais, devem ser implementadas medidas de segurança cibernética adequadas. Todas as informações, como as armazenadas em bancos de dados, devem ser protegidas por senha. Os dados armazenados devem ser criptografados para que, mesmo que cibercriminosos invadam o sistema, não consigam lê-los facilmente.

Medidas como controle de acesso baseado em regras (RBAC) e os princípios do menor privilégio devem ser aplicados. Isso garante que apenas os funcionários que precisam das informações possam visualizá-las. Mais importante ainda, todos os processos de segurança cibernética devem ser auditados regularmente para verificar se são eficazes e se precisam ser aprimorados.

Quem deve cumprir a FERPA?

Qualquer instituição, agência ou programa educacional que receba financiamento federal deve estar em conformidade com a FERPA. Como resultado, a maioria — mas não todas — das escolas públicas, distritos escolares e universidades são abrangidas pela regulamentação.

Por exemplo, se uma universidade privada aceita empréstimos federais, ela precisa cumprir a FERPA para garantir a proteção da privacidade dos alunos. No entanto, uma escola de ensino fundamental e médio financiada por fundos privados não precisa.

Qual é a penalidade para violações da FERPA?

Penalidades para Escolas e Instituições

As instituições de ensino têm a obrigação ética de proteger as informações pessoais de seus alunos. No entanto, a regulamentação também a torna uma obrigação legal, impondo penalidades severas para violações.

Se uma reclamação for feita contra uma instituição de ensino, ela poderá enfrentar uma investigação oficial sobre o manuseio de dados e as práticas dos funcionários. Também poderá receber ordens formais de cessar e desistir do Departamento de Energia, pais ou grupos de defesa para impedir divulgações não autorizadas.

Se for considerada culpada, uma das consequências mais graves do descumprimento da FERPA é que a instituição de ensino poderá perder o financiamento que recebe do Departamento de Energia e de outras agências federais. Como um grande número de faculdades e universidades depende fortemente de auxílios estudantis federais, esta é uma punição significativa.

Há também as leis de privacidade específicas de cada estado. Se a violação da FERPA também infringir uma lei estadual, haverá penalidades adicionais.

Tais violações frequentemente resultam em má publicidade e processos judiciais, o que pode afetar a reputação da instituição, muitas vezes levando à perda de credibilidade junto a alunos, pais e funcionários. Por fim, a alta administração pode ser suspensa temporariamente ou substituída.

Penalidades para Funcionários

Qualquer funcionário da instituição de ensino responsável pela divulgação não autorizada de informações protegidas de um aluno pode perder o emprego. Ele pode ser investigado internamente e impedido de acessar os sistemas e registros escolares.

Embora a FERPA não permita ações judiciais privadas, eles podem ser processados sob outras leis, incluindo fraude ou roubo de identidade. Por fim, podem ter que pagar multas por violação da FERPA.

Penalidades para fornecedores terceirizados

Se um fornecedor não proteger adequadamente os dados dos alunos, as escolas podem rescindir o contrato. Eles também podem ser processados por violação de dados sob as leis contratuais ou as leis estaduais de privacidade, como a Lei de Privacidade de Dados da Virgínia ou o ICDPA. Além disso, como isso afeta sua reputação, outras escolas e instituições também podem cancelar seus contratos.

Exemplos comuns de violações da FERPA

Nem todas as violações da FERPA são intencionais; algumas podem ser acidentais, mas levam às mesmas consequências, incluindo a possibilidade de pais e alunos registrarem uma queixa. Aqui estão alguns exemplos comuns de violações, tanto intencionais quanto não intencionais:

Cartas de recomendação

Essa violação é complexa, pois, embora as cartas de recomendação façam parte das Informações de Identificação Pessoal (PII) do aluno, a escola pode enviá-las a outras instituições de ensino sem a necessidade de consentimento. No entanto, essa exceção não se aplica a entidades que não sejam educacionais, como potenciais empregadores. Essa é uma distinção importante que a equipe administrativa deve conhecer.

E-mails para vários destinatários

Se uma instituição estiver enviando e-mails para um grupo de alunos, ela pode inadvertidamente revelar a identidade de todos caso se esqueça de usar o recurso CCO para os e-mails dos alunos. Isso pode não ser uma violação da FERPA se o conteúdo do e-mail contiver apenas informações de diretório. No entanto, se o e-mail contiver informações confidenciais sobre os alunos, como seu status de liberdade condicional acadêmica, isso é um problema. Enviar e-mails individuais para cada aluno ou usar um portal seguro para mensagens privadas pode ajudar a evitar essa situação.

Explicando a ausência de um aluno

Digamos que um aluno não consiga participar de uma atividade devido ao seu desempenho acadêmico. Nesse caso, se um professor mencionar o motivo em uma conversa informal com outro aluno, isso constitui uma violação da FERPA. Novamente, treinar o corpo docente sobre o que pode e o que não pode ser divulgado ajuda a reduzir tais incidentes.

Erro de fornecedor terceirizado

Escolas e instituições educacionais frequentemente trabalham com fornecedores terceirizados e lhes dão acesso aos registros dos alunos. Se o fornecedor, acidental ou deliberadamente, compartilhar as informações com uma pessoa não autorizada a visualizá-las, isso é uma violação da FERPA. Da mesma forma, se o fornecedor usar mineração de dados para fins comerciais, isso é uma violação.

A responsabilidade pela violação depende de a escola ter verificado o contratante adequadamente e incluído cláusulas de privacidade de dados no contrato ou não. Se a escola tiver feito a devida diligência e incluído uma cláusula em seu contrato sobre o cumprimento dos regulamentos da FERPA, o contratante será responsabilizado. Caso contrário, a escola será penalizada.

Liberação de registros para os pais de um aluno adulto

De acordo com a FERPA, quando um aluno atinge a idade de 18 anos ou se matricula em uma faculdade ou universidade, a propriedade de suas informações é transferida para ele. Nesse caso, compartilhar suas informações com os pais, sem consentimento por escrito, é uma violação da FERPA.

Os pais devem ser informados sobre as regras de transferência da FERPA quando o aluno atingir a maioridade e, se precisarem receber as informações do aluno, isso deve ser feito com o consentimento da parte interessada.

Compartilhando informações confidenciais de alunos publicamente

Se um funcionário escolar estiver falando com um jornalista ou postando nas redes sociais sobre um incidente ou atualização escolar e mencionar o histórico acadêmico, o estado de saúde ou até mesmo uma ação disciplinar de um aluno, ele estará violando a FERPA.

Da mesma forma, se publicassem os resultados dos testes com as notas junto com os nomes ou documentos de identidade dos alunos, estariam compartilhando parte do histórico escolar pessoal de cada aluno. Novamente, treinar a equipe sobre o que pode e o que não pode ser compartilhado ajuda a reduzir esses casos. Além disso, o uso de portais estudantis seguros para comunicação com os alunos, em vez de anúncios públicos, reduzirá a exposição acidental dos registros escolares.

Fornecendo informações por telefone

Se alguém ligar para a escola alegando ser pai ou mãe de um aluno e solicitar informações protegidas pela FERPA, é responsabilidade da escola verificar se a pessoa é quem afirma ser e se está autorizada a receber as informações. Isso inclui verificar se o aluno tem mais de 18 anos e se consentiu em compartilhar informações com os pais.

Conformidade FERPA com BigID

Os dados dos alunos, como todos os outros tipos de dados, devem ser gerenciados e governados adequadamente. É por isso que BigID é uma solução perfeita para sua escola ou instituição educacional.

Nossa plataforma oferece descoberta e classificação de dados, para que você saiba quais informações possui e quão sensíveis elas são. Também ajudará você a implementar e aplicar a minimização de dados, para que você não armazene informações desnecessárias.

O BigID também ajuda com gerenciamento de direitos de dados, facilitando a obtenção do consentimento dos alunos e a resposta às solicitações deles — ou de seus pais — para visualizar suas informações.

Por fim, nossa plataforma abrangente oferece tecnologia de IA gestão de postura de segurança de dados Recursos para que todos os seus dados, estejam eles em suas instalações ou na nuvem, estejam seguros. Você também pode usá-los para avaliar o risco dos seus dados e realizar auditorias.

Embora o treinamento de seus funcionários ainda seja sua responsabilidade, o BigID pode facilitar significativamente o processo de gerenciamento de consentimento e segurança de dados para conformidade com a FERPA. Agende uma demonstração individual com nossos especialistas em privacidade de dados hoje mesmo!

Autor

Alexis Porter

Gerente de marketing de conteúdo

Alexis atua como gerente de marketing de conteúdo da BigID, fornecedora de DSPM líder do setor. Ela é especialista em ajudar startups de tecnologia a criar e aprimorar sua voz - para contar histórias mais convincentes que repercutam em diversos públicos. Ela é bacharel em Redação Profissional e tem mestrado em Comunicação de Marketing pela Universidade de Denver. Alexis mora em Orlando, Flórida.