Lei dos Direitos de Educação e Privacidade da Família (FERPA)
Descrição geral da FERPA
O Family Educational Rights and Privacy Act (FERPA) é uma lei federal dos EUA que protege a privacidade dos registos de educação dos estudantes, incluindo informações pessoais identificáveis e de diretório. A FERPA foi decretada para garantir que os pais e estudantes com idade igual ou maior de 18 anos possam aceder a esses registos, pedir alterações aos mesmos e controlar a divulgação de informações, exceto em casos específicos e limitados em que a FERPA permita a divulgação sem consentimento.
A lei aplica-se a escolas, distritos escolares e qualquer outra instituição que receba financiamento do Departamento de Educação dos EUA, ou seja, praticamente todas as escolas públicas K-12 e distritos escolares, bem como a maioria das instituições pós-secundárias, tanto públicas como privadas.
A segurança é fundamental para a conformidade com a FERPA, que requer a proteção das informações dos estudantes contra divulgações não autorizadas. As instituições de ensino que utilizam a computação na cloud precisam de garantias contratuais de que um fornecedor de tecnologia gere adequadamente os dados confidenciais dos estudantes.
Microsoft e FERPA
A FERPA não requer nem reconhece auditorias ou outras certificações, pelo que qualquer instituição académica que esteja sujeita à FERPA tem de avaliar por si mesma se e como a sua utilização de um serviço cloud afeta a sua capacidade de cumprir os requisitos da FERPA. Nos Termos dos Serviços Online, a Adenda à Proteção de Dados (DPA), a Microsoft aceita ser designada como "funcionário da escola" com "interesses educativos legítimos" nos dados dos clientes, conforme definido pela FERPA. Os dados dos clientes incluem quaisquer registos de estudantes fornecidos através da utilização do Azure por parte de uma escola. Quando a Microsoft processa os registos de educação de estudantes, a Microsoft concorda em respeitar as limitações e os requisitos impostos pelo 34 CFR 99.33(a) tal como os funcionários da escola. A Microsoft publicou documentação de orientação para ajudar os clientes do Azure a cumprirem os requisitos de conformidade da FERPA.
Plataformas e serviços em nuvem no escopo da Microsoft
Os serviços para os quais a Microsoft aceita ser designado como "funcionário da escola" com "interesses educativos legítimos" nos dados dos clientes incluem:
- Azure e Azure Governamental
- Azure DevOps Services
- Dynamics 365
- Intune
- Office 365, Office 365 Governo dos EUA, Office 365 Governo dos EUA - Alto e Office 365 Defesa do Governo dos EUA
Documentos de orientação do Azure
Pode transferir os seguintes documentos para obter assistência para satisfazer os requisitos de conformidade da FERPA:
- Guia de implementação da FERPA para o Azure
- Mapeamento da arquitetura de conformidade FERPA do Azure
Office 365 e FERPA
Ambientes do Office 365
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Essa seção aborda os seguintes ambientes do Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Aplicabilidade do Office 365 e serviços no escopo
Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:
| Aplicabilidade | Serviços no escopo |
|---|---|
| Comercial | Microsoft Entra ID, Azure Proteção de Informações, Bookings, Gestor de Conformidade, Delve, Exchange Online, Proteção do Exchange Online, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender para Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do para Web, MyAnalytics, Conformidade Avançada do Office 365 suplemento, Office 365 Cloud App Security, Office 365 Grupos, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Viva Engage |
| GCC | Microsoft Entra ID, Gestor de Conformidade, Delve, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Conformidade Avançada do Office 365 suplemento, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream |
| GCC Alta | Microsoft Entra ID, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, suplemento Conformidade Avançada do Office 365, Office Online, Office Pro Além disso, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online Skype for Business |
| DoD | Microsoft Entra ID, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, suplemento Conformidade Avançada do Office 365, Office Online, Office Pro Além disso, OneDrive for Business, Planner, Power BI, SharePoint Online Skype for Business |
Auditorias Office 365, relatórios e certificados
A FERPA não requer nem reconhece auditorias ou certificações.
Perguntas frequentes
Por que motivo a FERPA é importante?
Esta lei federal dos EUA determina a protecção da privacidade dos registos educativos dos estudantes. Também dá aos encarregados de educação e estudantes elegíveis acesso a esses registos e à capacidade de os corrigir, bem como a determinados direitos relacionados com a divulgação de registos a terceiros.
Que implicações de conformidade têm a COPPA e a CIPA no Azure?
A COPPA e a CIPA são leis adicionais destinadas a proteger a privacidade das crianças; no entanto, não são diretamente aplicáveis ao Azure. A Children's Online Privacy Protection Act (COPPA) é uma lei federal dos EUA promulgada para proteger a privacidade de menores de 13 anos. A Comissão Federal do Comércio (FTC) gere a COPPA. A COPPA aplica-se a sites e serviços online direcionados para crianças e estipula que estes sites e serviços devem exigir autorização parental para a recolha e utilização de quaisquer informações pessoais pertencentes a crianças. A Lei de Protecção da Internet das Crianças (CIPA) foi promulgada para abordar as preocupações com o acesso das crianças a conteúdos prejudiciais através da Internet. A Comissão Federal de Comunicações (FCC) emitiu regras que implementam o CIPA e definiram requisitos para escolas e bibliotecas sujeitos ao CIPA. Os clientes com perguntas sobre a COPPA e o CIPA no contexto da adoção do Azure devem rever a secção intitulada Instituições Educativas nos Termos de Serviços Online DPA, onde explicamos que os clientes são responsáveis por obter qualquer autorização parental para a utilização do Microsoft serviços online por qualquer utilizador final.
Utilizar o Gestor de Conformidade do Microsoft Purview para avaliar o risco
O Gestor de Conformidade do Microsoft Purview é uma funcionalidade do portal de conformidade do Microsoft Purview para o ajudar a compreender a postura de conformidade da sua organização e a tomar medidas para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.
Recursos
- Documentação de conformidade do Azure
- Código Eletrónico de Regulamentos Federais: FERPA
- Suplemento Proteção de Dados dos Termos do Microsoft Online Services
- Registo Federal: Regra Final da FERPA
- Página de destino do Departamento de Educação dos EUA FERPA