Pular para o conteúdo

Conformidade com a Lei de Direitos Educacionais e Privacidade da Família (FERPA): Um Guia Completo

Por Lonnie Ross Líder de Marketing de Experiência Digital

11 leitura de minutos

Conformidade com a FERPA Trata-se da adesão a uma regulamentação federal que exige que agências e instituições educacionais protejam a privacidade dos registros acadêmicos dos alunos. Então, o que essa lei estabelece e o que ela exige?

Vamos descobrir.

O que é a Lei de Direitos Educacionais e Privacidade da Família (FERPA) e quem é considerado um aluno elegível?

O Lei dos Direitos Educacionais e Privacidade da Família (FERPA)A Lei FERPA, também conhecida como Emenda Buckley, entrou em vigor em novembro de 1974. Qualquer escola, distrito escolar ou instituição que receba financiamento do Departamento de Educação dos EUA (DoE) deve cumprir os requisitos da FERPA.

Esta lei federal abrange todos os dados dos alunos, incluindo Informações de identificação pessoal (PII) e informações de diretório, e serve a dois propósitos:

  1. Isso garante aos pais ou ao aluno elegível (se tiver mais de 18 anos) o direito de consultar seus registros. Se os registros estiverem incorretos, o aluno ou os pais podem solicitar a retificação. Caso a escola se recuse, os pais têm direito a uma audiência formal.
  2. Isso impede que a escola compartilhe ou tente divulgar informações dos alunos sem o consentimento dos pais e dos alunos elegíveis.

Neste ponto, é importante observar que nem todo documento que menciona o nome de um aluno está sujeito à FERPA. A lei se aplica especificamente apenas a registros escolares oficiais. E esses registros não precisam ser documentos em papel. Documentos digitais, e-mails, vídeos ou qualquer outro formato estão cobertos pela FERPA.

O regulamento faz uma distinção entre informações pessoais identificáveis (PII) e informações de diretório. Informações pessoais sensíveisInformações como números de segurança social, carteiras de estudante, notas e registros disciplinares não podem ser compartilhadas sem explícito Autorização por escrito, exceto em determinadas situações legais.
No entanto, as informações do diretório são informações mais gerais, como o nome do aluno, o ano de formatura ou se ele participou de algum esporte. Elas podem ser compartilhadas sem permissão, a menos que o aluno ou seus pais tenham optado por não participar.

A lei também transfere automaticamente os direitos previstos na FERPA dos pais para o aluno assim que este completa 18 anos ou se matricula em uma faculdade ou universidade, o que ocorrer primeiro. Após esse momento, a instituição de ensino não pode divulgar informações aos pais sem o consentimento por escrito do aluno — exceto em casos específicos —, pois isso configura uma violação da FERPA.

O que não está coberto pela FERPA?

Como mencionamos anteriormente, nem todos os documentos que fazem referência ao aluno estão sujeitos à FERPA. Aqui está uma lista de alguns deles:

  • Qualquer registro criado por um professor, docente ou membro da equipe, para seu próprio uso e não compartilhado com ninguém: Por exemplo, as anotações particulares de um professor sobre um aluno estão isentas da FERPA. No entanto, se o professor as compartilhar com outros professores, as anotações passam a fazer parte do registro do aluno e, como tal, estão sujeitas à FERPA.
  • Registros policiais ou de segurança mantidos pelo departamento de aplicação da lei da escola: Esses não são registros acadêmicos mantidos pela escola, portanto a lei não se aplica a eles.
  • Registros de indivíduos que são funcionários da escola: Essas situações são abrangidas pelas leis trabalhistas, visto que esses indivíduos não são estudantes. No entanto, se o funcionário também for estudante, sua documentação estará protegida pela FERPA.
  • Registros de saúde de um aluno criados pelos serviços de saúde da escola: Estes estão cobertos por HIPAA pois são informações médicas e Não são dados educacionais.
  • Registros de ex-alunos criados após a formatura do aluno: Esta é bastante óbvia: uma vez formados e fora da instituição, eles deixam de ser alunos. Portanto, qualquer informação sobre eles coletada a partir desse momento — histórico de doações de ex-alunos, dados de contato pós-formatura etc. — não está protegida pela FERPA. No entanto, quaisquer registros referentes ao período em que eram alunos ainda estão protegidos.
  • Trabalhos avaliados pelos colegas antes de o professor os recolher e registar: Quaisquer trabalhos ou questionários corrigidos por outros alunos não são considerados registros oficiais e não exigem conformidade com a FERPA. No entanto, uma vez que o professor os coleta e registra oficialmente, eles ficam protegidos por lei.

O que é a conformidade com a FERPA?

Os requisitos para garantir a conformidade com a FERPA são bastante simples. Eles podem ser divididos nas seguintes três categorias:

O consentimento é o requisito mais importante da FERPA. Uma escola não pode compartilhar informações identificáveis dos registros acadêmicos de um aluno sem a permissão expressa e por escrito dos pais ou responsáveis, ou do próprio aluno, caso ele tenha mais de 18 anos ou esteja matriculado em uma instituição de ensino superior. Isso inclui:

  • Notas, boletins ou históricos escolares
  • Registros disciplinares
  • Registros de educação especial (ex.: IEPs)
  • Registros de saúde dos alunos, caso sejam mantidos pela escola e não por uma instituição médica.
  • Histórico de auxílio financeiro e mensalidades

A FERPA prevê algumas exceções para as quais o consentimento não é necessário. As informações podem ser compartilhadas com:

  • Funcionários da escola — como professores, orientadores, administradores e equipe de TI — precisam das informações para desempenhar suas funções.
  • Outra escola, caso o aluno esteja se transferindo ou se matriculando, pode solicitar o histórico escolar.
  • Pessoal médico, em caso de emergências de saúde ou segurança.
  • Escritórios de assistência financeira, que precisam dos dados para processar bolsas, empréstimos e auxílios.
  • Órgãos de aplicação da lei e tribunais, caso a informação seja exigida por intimação ou processo legal.
  • O Estado ou as autoridades de justiça juvenil em determinadas situações legais.
  • Os pais, caso o aluno tenha menos de 21 anos e esteja enfrentando medidas disciplinares por abuso de drogas ou álcool.

Como parte do cumprimento da FERPA, as escolas também devem conceder ao aluno ou aos seus pais o direito de acesso aos registros acadêmicos (para inspecioná-los e revisá-los) em até 45 dias, caso o solicitem. O interessado pode solicitar a correção das informações se estas estiverem incorretas, imprecisas ou enganosas.

Os alunos podem renunciar ao direito de visualizar seus registros, mas devem receber orientação e aconselhamento antes de fazê-lo. Isso os protege de abdicarem de seus direitos de privacidade sem compreenderem todas as implicações dessa renúncia.

Como mencionado anteriormente, informações cadastrais, como nome, endereço, número de telefone e prêmios do aluno, podem ser compartilhadas pela escola sem a permissão explícita dos pais ou do aluno. No entanto, a parte interessada deve ter a oportunidade de optar por não compartilhar as informações previamente.

A lei também exige que as escolas informem anualmente os alunos sobre seus direitos de privacidade previstos na FERPA e sobre eventuais alterações.

Leia nosso blog sobre consentimento opt-in versus opt-out.

2. Treinamento

Toda agência ou instituição educacional deve treinar seus funcionários para que cumpram as normas da FERPA, incluindo o que é e o que não é protegido, quando as informações podem ser compartilhadas e como lidar adequadamente com os registros. As pessoas que precisam ser treinadas incluem:

  • Professores e professoras precisam saber o que podem e o que não podem compartilhar.
  • Funcionários administrativos e de escritório, pois lidam com registros de alunos diariamente.
  • Pessoal de TI, pois frequentemente gerenciam bancos de dados com informações confidenciais de alunos.
  • Segurança do campus, pois eles precisam entender as limitações da FERPA em relação aos registros policiais.
  • Fornecedores terceirizados, como plataformas de aprendizagem, que gerenciam dados de alunos em nome da escola.

Todas as partes envolvidas devem compreender os tipos de registros estudantis abrangidos pela FERPA. Por exemplo, os professores devem saber que discutir a nota baixa de um aluno com outro aluno constitui uma violação.

Eles devem saber como lidar com pedidos de acesso a registros, incluindo quando precisam ou não de consentimento. Caso recebam solicitações de pais ou alunos, seja para visualizar a documentação ou para corrigir imprecisões, devem saber como processá-las corretamente.

Descarte de registros A eliminação de dados é uma parte tão importante da gestão de dados quanto o armazenamento. Os funcionários devem ser treinados sobre como destruir registros antigos e indesejados. O treinamento deve incluir instruções sobre como excluir ou triturar os registros para reduzir o risco de divulgação acidental.

3. Segurança

Assim como ocorre com outras leis de proteção de dados, a conformidade com a FERPA exige que as escolas protejam adequadamente os registros dos alunos. Isso inclui formatos físicos e eletrônicos.

No caso de registros em papel, os arquivos devem ter fechaduras e devem ser armazenados em uma área designada, onde pessoas não autorizadas não possam entrar. Somente pessoas que precisam de acesso devem ter permissão para entrar.

Para registros digitais, devem ser implementadas medidas adequadas de cibersegurança. Todas as informações, como as armazenadas em bancos de dados, devem ser protegidas por senha. Os dados armazenados devem ser criptografados, de modo que, mesmo que agentes maliciosos consigam acessá-los, não consigam lê-los facilmente.

Medidas como controle de acesso baseado em regras (RBAC) e os princípios do menor privilégio devem ser aplicados. Isso garante que apenas os funcionários que precisam das informações possam visualizá-las. Mais importante ainda, todos os processos de segurança cibernética devem ser auditados regularmente para verificar se são eficazes e se precisam ser aprimorados.

Quem deve cumprir a FERPA?

Qualquer instituição, agência ou programa educacional que receba financiamento federal deve estar em conformidade com a FERPA. Consequentemente, a maioria — mas não todas — das escolas públicas, distritos escolares e universidades estão abrangidas pela regulamentação.

Por exemplo, se uma universidade privada aceita empréstimos federais, ela precisa cumprir a FERPA para garantir a proteção da privacidade dos alunos. No entanto, uma escola de ensino fundamental e médio financiada por recursos privados não precisa.

Qual é a penalidade por violações da FERPA e divulgações não autorizadas?

Penalidades para escolas e instituições

As instituições de ensino têm a obrigação ética de proteger as informações pessoais identificáveis (PII) de seus alunos. No entanto, a regulamentação também torna essa obrigação legal, impondo penalidades severas em caso de violação.

Caso uma denúncia seja feita contra uma instituição de ensino, ela poderá ser alvo de uma investigação oficial sobre o tratamento de dados e as práticas de seus funcionários. A instituição também poderá receber ordens formais de cessação e desistência do Departamento de Educação, de pais ou de grupos de defesa para interromper divulgações não autorizadas.

Se considerada culpada, uma das consequências mais graves do descumprimento da FERPA é a possível perda do financiamento recebido do Departamento de Educação e de outras agências federais. Considerando que muitas faculdades e universidades dependem fortemente de auxílios estudantis federais, essa é uma punição significativa.

Além disso, existem as leis de privacidade específicas de cada estado. Se a violação da FERPA também infringir uma lei estadual, haverá penalidades adicionais.

Essas violações frequentemente resultam em má publicidade e processos judiciais, o que pode afetar a reputação da instituição, muitas vezes levando à perda de credibilidade perante alunos, pais e funcionários. Por fim, a alta administração pode sofrer suspensão temporária ou ser substituída.

Penalidades para Funcionários

Qualquer funcionário da instituição de ensino responsável pela divulgação não autorizada de informações protegidas de um aluno pode perder o emprego. Ele poderá ser alvo de investigação interna e impedido de acessar os sistemas e registros da escola.

Embora a FERPA não permita ações judiciais privadas, eles podem ser processados sob outras leis, incluindo fraude ou roubo de identidade. Por fim, podem ter que pagar multas por violação da FERPA.

Penalidades para fornecedores terceirizados

Se um fornecedor não proteger adequadamente os dados dos alunos, as escolas podem rescindir o contrato. Elas também podem ser processadas por violação de dados, de acordo com as leis contratuais ou as leis estaduais de privacidade, como a Lei de Privacidade de Dados da Virgínia ou o ICDPAAlém disso, como isso afeta a reputação deles, outras escolas e instituições também podem cancelar o contrato.

Veja como a BigID protege os dados dos alunos.

Exemplos comuns de violações da FERPA

Nem todas as violações da FERPA são intencionais; algumas podem ser acidentais, mas levam às mesmas consequências, incluindo a possibilidade de pais e alunos apresentarem queixa. Aqui estão alguns exemplos comuns de violações, tanto intencionais quanto não intencionais:

Cartas de Recomendação

Essa violação é complexa, pois, embora as cartas de recomendação façam parte das informações pessoais identificáveis (PII) de um aluno, uma escola pode enviá-las para outras instituições de ensino sem necessidade de consentimento. No entanto, essa exceção não se aplica a entidades que não sejam educacionais, como potenciais empregadores. Essa é uma distinção importante que a equipe administrativa deve ter em mente.

E-mails para vários destinatários

Se uma instituição envia e-mails para um grupo de alunos, pode inadvertidamente divulgar a identidade de todos se esquecer de usar o campo CCO (cópia oculta) nos e-mails dos alunos. Isso pode não constituir uma violação da FERPA (Lei de Privacidade e Direitos Educacionais da Família) se o conteúdo do e-mail contiver apenas informações de diretório. No entanto, se o e-mail contiver informações sensíveis sobre os alunos, como seu status de advertência acadêmica, isso representa um problema. Enviar e-mails individuais para cada aluno ou usar um portal seguro para mensagens privadas pode ajudar a evitar essa situação.

Explicando a ausência de um aluno

Digamos que um aluno não possa participar de uma atividade devido ao seu desempenho acadêmico. Nesse caso, se um professor mencionar o motivo em uma conversa informal com outro aluno, isso constitui uma violação da FERPA (Lei de Privacidade e Direitos Educacionais da Família). Novamente, treinar o corpo docente sobre o que eles podem e não podem divulgar ajuda a reduzir esses incidentes.

Erro do fornecedor terceirizado

Escolas e instituições de ensino frequentemente trabalham com fornecedores terceirizados e lhes concedem acesso aos registros dos alunos. Se o fornecedor, acidentalmente ou deliberadamente, compartilhar as informações com uma pessoa não autorizada a visualizá-las, isso constitui uma violação da FERPA (Lei de Privacidade e Direitos Educacionais da Família). Da mesma forma, se o fornecedor utilizar mineração de dados para fins comerciais, isso também configura uma violação.

A responsabilidade pela violação depende de a escola ter verificado adequadamente o contratado e incluído cláusulas de privacidade de dados no contrato. Se a escola fez a devida diligência e incluiu uma cláusula no contrato sobre o cumprimento das normas da FERPA, então o contratado será responsabilizado. Caso contrário, a escola será penalizada.

Liberação de registros para os pais de um aluno adulto

De acordo com a FERPA, quando um aluno completa 18 anos ou se matricula em uma faculdade ou universidade, a propriedade de suas informações passa para ele. Nesse caso, compartilhar essas informações com os pais sem o consentimento por escrito do aluno constitui uma violação da FERPA.

Os pais devem ser informados sobre as regras de transferência da FERPA quando o aluno atingir a maioridade e, caso precisem receber informações do aluno, isso deve ser feito com o consentimento do responsável legal.

Compartilhamento público de informações confidenciais de alunos

Se um funcionário da escola estiver falando com um jornalista ou publicando nas redes sociais sobre um incidente ou atualização escolar e mencionar o histórico acadêmico de um aluno, seu estado de saúde ou mesmo uma ação disciplinar, estará violando a FERPA.

Da mesma forma, se publicassem os resultados dos testes com as notas junto aos nomes ou números de identificação dos alunos, estariam compartilhando parte do histórico acadêmico pessoal de cada aluno. Novamente, treinar a equipe sobre o que pode e o que não pode ser compartilhado ajuda a reduzir esses casos. Além disso, usar portais seguros para alunos em vez de anúncios públicos reduzirá a exposição acidental de registros acadêmicos.

Fornecer informações por telefone

Se alguém ligar para a escola alegando ser pai ou mãe de um aluno e solicitar informações protegidas pela FERPA, é responsabilidade da escola verificar se a pessoa é quem diz ser e se está autorizada a receber as informações. Isso inclui verificar se o aluno tem mais de 18 anos e se ele deu consentimento para compartilhar as informações com seus pais.

Conformidade com a FERPA usando o BigID

Os dados dos alunos, assim como todos os outros tipos de dados, devem ser gerenciados e controlados adequadamente. É por isso que BigID É uma solução perfeita para sua escola ou instituição de ensino.

Nossa plataforma oferece descoberta e classificação de dadosAssim, você saberá quais informações possui e qual o seu nível de sensibilidade. Isso também ajudará a implementar e reforçar a minimização de dados, evitando o armazenamento de informações desnecessárias.

O BigID também ajuda com gerenciamento de direitos de dados, tornando mais fácil para você obter o consentimento dos alunos e responder às solicitações deles — ou de seus pais — para visualizar suas informações.

Por fim, nossa plataforma abrangente oferece recursos com inteligência artificial. gerenciamento da postura de segurança de dados Com essas funcionalidades, todos os seus dados, estejam eles armazenados em suas instalações ou na nuvem, ficam seguros. Você também pode usá-las para avaliar os riscos de seus dados e realizar auditorias.

Embora o treinamento de seus funcionários continue sendo sua responsabilidade, o BigID pode facilitar significativamente o processo de gerenciamento de consentimento e segurança de dados para conformidade com a FERPA. Agende uma demonstração individual. Fale com nossos especialistas em privacidade de dados hoje mesmo!

Autor

Foto de avatar

Lonnie Ross

Líder de Marketing de Experiência Digital

Lonnie é a Líder de Marketing de Experiência Digital na BigID, trazendo consigo mais de uma década de experiência em SEO e marketing digital para empresas B2C e B2B nos setores de SaaS e e-commerce. Com atuação tanto no setor de tecnologia quanto em agências, Lonnie combina uma sólida base em estratégia de busca, UX e desenvolvimento de conteúdo com uma paixão pelo cenário em constante evolução da proteção de dados. Desde o alinhamento do conteúdo com a intenção de busca até o aprimoramento da voz da marca, Lonnie garante que as organizações não apenas se destaquem em um mercado SaaS competitivo, mas também construam confiança por meio de liderança de pensamento em questões críticas como conformidade, risco de dados e inovação responsável.

Conteúdo

BigID para Educação: Mitigue Riscos com Segurança Centrada em Dados

Baixe a ficha técnica para ver como a BigID permite que escolas de ensino fundamental e médio, bem como instituições de ensino superior, obtenham visibilidade e insights completos sobre dados críticos de negócios, gerenciem riscos, abordem vulnerabilidades de dados, apliquem políticas de segurança, protejam dados e cumpram requisitos regulatórios.

Baixar Resumo da Solução

Postagens relacionadas

Ver todas as postagens