No dia 18 de setembro de 2020 entrou em vigor a Lei Geral de Proteção de Dados (LGPD), obrigando a todos a uma adaptação rápida às mudanças no uso das informações.
Apesar de as sanções penais só começarem a ser aplicadas a partir de agosto de 2021, as empresas já devem se adequar à nova legislação que estabelece uma política de privacidade de dados e na educação, não será diferente.
Seguindo a tendência europeia de impactos com o advento da lei, as escolas e instituições de ensino infantil, fundamental e médio, além das Instituições de Ensino Superior (com pequenas alterações de legislação), sofrerão severas alterações de procedimento e terão que se atualizarem diante às novas tecnologias.
Com o objetivo de apresentar soluções práticas e estratégias para a adequação das IES à nova lei, o Semerj realizou no dia 22 de setembro, o Seminário Virtual Impactos e Aspectos Práticos da Lei Geral de Proteção de Dados para as Instituições de Ensino, ministrado pela equipe da Covac Sociedade de Advogados, Assessoria Jurídica do Semerj.
O Dr. José Roberto Covac iniciou o Seminário afirmando: “É uma questão bastante importante ao ponto de merecer por parte de todas as instituições a criação de um comitê de gerenciamento e monitoramento para que elas atuem de acordo com a setor, principalmente porque o ensino superior já é um setor extremamente regulamentado”. De acordo com ele, é fundamental o envolvimento da mantenedora e da mantida trabalhando com compromisso e de forma colaborativa que as instituições respeitem o sigilo dos dados de seus alunos, professores, colaboradores e parceiros.
O Seminário contou ainda com a participação dos advogados, Daniel Cavalcante, Adriana Arouca e José Roberto Covac Júnior.
Assista a íntegra do evento!
O art. 7º da LGPD admite que para cumprimento de obrigação legal ou regulatória (inciso II) será possível realizar o tratamento de dados, independentemente do consentimento do titular.
Contudo, lembramos que todos os dados devem estar adequados aos princípios elencados no art. 6º, tais como: finalidade, adequação, e necessidade. Portanto, a obtenção dos dados para fins de CENSO ou outras ações, não podem ultrapassar essa finalidade, já que todo excesso é passível de responsabilidade.
Como sugestão, para esses tratamentos já mapeados pela IES, apesar de não exigirem consentimento, recomendamos que nos contratos de prestação de serviços existam cláusulas padrões onde o aluno terá ciência dessas operações.
Não se exige formação específica para o DPO, porém é de extrema importância que esse profissional tenha conhecimento da LGPD, se possível com certificações, e conheça os tratamentos (operações realizados com os dados pessoais) empregados pela IES, uma vez que desenvolverá as seguintes atividades (art. 41 §2º):
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
A responsabilidade, de acordo com o art. 42 da LGPD será atribuído ao controlador ou operador que causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais.
No que concerne à possibilidade de seguro, trata-se de uma medida interessante para fins de proteção financeira da instituição, mas não obrigatória segundo a lei.
Não se exige formação específica para o DPO, porém é de extrema importância que esse profissional tenha conhecimento da LGPD, se possível com certificações, e conheça os tratamentos (operações realizados com os dados pessoais) empregados pela IES, uma vez que desenvolverá as seguintes atividades (art. 41 §2º):
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
As organizações tem liberdade para a contratação imediata do encarregado, porém é importante ter em mente que a ANPD ainda terá o trabalho de regulamentar alguns pontos da Lei, inclusive, editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei. Desse modo, há possibilidade de futuras reflexões da ANPD impactar no encarregado.
Recomenda-se antes da contratação adotar etapas previas sobre a implementação na IES.
O ideal é que os dados sejam fornecidos apenas com consentimento dos titulares, entretanto, de acordo com o art. 7º, inciso II, da Lei 13.709/18, os dados poderão ser fornecidos para o cumprimento de uma obrigação legal ou regulatória. Tendo em vista que os Conselhos são criados por Lei Federal, a fim de fiscalizar os profissionais de sua classe, entendemos se tratar de uma obrigação legal fornecer os dados solicitados pelo órgão classista.
Salienta-se que, a dispensa de consentimento para o tratamento de dados, não desobriga o controlador de observar a boa-fé e os princípios basilares da lei (art. 6º da Lei 13.709/18).
Dados necessários ao cumprimento do contrato não estão condicionados ao consentimento do titular, conforme prevê o art. 7º da LGPD:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
…
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
…
Contudo, A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.
Aqui, reforçamos que o titular só precisará dar dados para o estrito cumprimento de contrato, qualquer informação que ultrapasse esse tratamento, e recaia, por exemplo, sobre raça, credo e etc podem não ser consentidos pelo titular, já que não são necessários à matrícula.
Sim, a Lei 13.709/18, protege dados pessoais, inclusive no meio digital, mas não se limitando a ele. Significa dizer que os dados tratados de forma física, também devem observar os ditames da lei.
Os dados pessoais coletados por meio de imagem ou som, também são protegidos pela Lei 13.709/18, por isso é necessário ter cautela nesse momento.
Os dados são coletados a partir do preenchimento dos questionários, por parte das Instituições de Ensino Superior (IES) e por importação de dados do Sistema e-MEC.
O artigo 7º, da LGPD, indica que o tratamento de dados pessoais poderá ser realizado para o cumprimento de obrigação legal ou regulatória pelo controlador, pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios, bem como para a realização de estudos por órgão de pesquisa.
Em que pese seja dever da instituição de ensino fornecer as informações no momento do preenchimento dos questionários, o ideal é que no contrato de prestação de serviço educacional firmado com o aluno seja obtido o seu consentimento, constando de cláusula destacada das demais, referindo-se à finalidade determinada, sob pena de ser declarada como nula se considerada que a autorização foi genérica.
Não, a teor do que prevê o artigo 14 da LGPD o tratamento de dados pessoais de crianças e adolescentes deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. Tem-se como exceção, a coleta dos dados pessoais de crianças sem o consentimento quando for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, sendo que em nenhum caso poderão ser repassados a terceiro sem o consentimento dos pais/responsável legal.
A lei esclarece que os controladores deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos por ela protegidos.
As informações sobre o tratamento de dados de crianças e adolescentes deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.
Por fim, vale destacar que a confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular, excepcionado nos casos de criança e adolescente, pois seus pais ou responsável legal poderão solicitar o acesso.
O ideal é que seja fornecido com o consentimento dos titulares dos dados pessoais, pois os dados que estão sendo solicitados estão todos protegidos pela Lei 13.709/18. Contudo, em se tratando de uma determinação legal, prevista no art. 425, § 2º do Código de Processo Penal, os dados poderão ser fornecidos sem consentimento do titular, desde que observados os princípios da boa-fé e os demais previstos no art. 6º da mencionada Lei.
Prevê a lei que as atividades de tratamento de dados pessoais deverão observar a boa-fé e alguns princípios basilares, dentre eles o da segurança, definido como a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
É dever do controlador e do operador manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
Diante do vazamento de dados, como sugerido na pergunta, a autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, que deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.
Além disso, cabe ao controlador o dever de comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, devendo mencionar alguns detalhamentos previstos na lei, dentre eles, as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas como as de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, que deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na lei e às demais normas regulamentares, por isso, a IES não estará exonerada de responsabilidade no caso de vazamento eventual ou decorrente de invasão por hacker, todavia, no juízo de gravidade do incidente, será avaliada possível comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.
Cabe ao controlador o dever de comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, devendo mencionar alguns detalhamentos previstos na lei, dentre eles, as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Prevê a lei que a autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o quanto acima indicado, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis.
De qualquer forma, os vazamentos individuais ou os acessos não autorizados poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades previstas na lei.
Entendemos que não. Tendo em vista que os Conselhos são criados por Lei Federal, a fim de fiscalizar os profissionais de sua classe, entendemos se tratar de uma obrigação legal fornecer os dados solicitados pelo órgão classista, hipótese em que é dispensado o consentimento do titular dos dados.
Salienta-se, entretanto que, a dispensa de consentimento para o tratamento de dados, não desobriga o controlador de observar a boa-fé e os princípios basilares da lei (art. 6º da Lei 13.709/18).
O controlador deverá indicar encarregado pelo tratamento de dados pessoais. A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
A figura do DPO não precisa ser necessariamente contratada da organização, ou seja, pode ser uma figura terceirizada. Na Europa é muito comum a figura do Data Protection Officer as a Service (DPOaaS), ou Serviço de Oficial de Proteção de Dados, que é um serviço prestado por uma empresa terceirizada que possui especialização, isenção e maior pragmatismos para resolver os problemas relacionados com a segurança de dados da empresa contratante.
A contratação do DPOaaS objetiva reduzir custos, mas é contrastada com a necessidade de ter expertise no setor e nos detalhamentos da empresa.
A Lei Geral de Proteção de Dados, trata especificamente de como tratar os dados pessoais fornecidos às empresas. Nesse caso, em específico, em observância da lei, de um modo geral, os dados devem ser mantidos em sigilo.
Indo além, os contratos firmados com os alunos menores, salvo emancipados, podem ser anulados, por isso sugerimos atenção nesses casos, para sempre envolver os responsáveis legais quando da contratação dos serviços da IES.
O regramento da LGPD também incide sobre as entidades filantrópicas / beneficentes de assistência social. Portanto, essas devem analisar se os dados pessoais exigidos estão compatíveis com a lei, excluindo tudo que ultrapasse os princípios elencados no art. 6º.
A grande preocupação está no tratamento de dados dos documentos para fins de comprovação do perfil econômico dos candidatos a bolsa social, que, em razão de serem sensíveis, tem de ter tratamento diferenciado dentro da organização.
Isso não significa a exclusão dos dados sensíveis na análise do perfil, contudo esses só podem ser exigidos se pertinentes ao processo e dependerão de expressa autorização para o tratamento.
Por sua vez, o envio de dados ao MEC (exemplo: relação nominal), decorre de obrigação legal e regulatória, portanto, não necessita de consentimento. Qualquer outro dado que ultrapasse essa previsão dependerá de expresso consentimento.
As sanções administrativas passarão a ser aplicadas apenas em 1/08/2021; mas atenção: os alunos podem começar a demandar judicialmente a partir de agora, visando indenização por violação dos seus dados pessoais pelas IES. Ademais, os órgãos fiscalizadores da Administração Pública como o Ministério Público e PROCON poderão (e já estão) atuar com base tanto na LGPD quanto no CDC e Marco Civil da Internet
Por isso, é de suma importância, que as IES passem a adotar os procedimentos adequados para tratamento dos dados pessoais, em observância à Lei Geral de Proteção de Dados, imediatamente.
O ideal é que a IES acrescente uma cláusula contratual para que haja consentimento expresso desses alunos, sobre o fornecimento dos seus dados pessoais ao seu respectivo Conselho de Classe. Inclusive, o ideal, é que o aluno escreva de próprio punho tal consentimento no contrato de prestação de serviços educacionais, ou em documento apartado.
Entretanto, enquanto isso não é regularizado pela IES, tendo em vista que os Conselhos são criados por Lei Federal, a fim de fiscalizar os profissionais de sua classe, entendemos se tratar de uma obrigação legal fornecer os dados solicitados pelo órgão classista, hipótese em que é dispensado o consentimento do titular dos dados.
Salienta-se, entretanto que, a dispensa de consentimento para o tratamento de dados, não desobriga o controlador de observar a boa-fé e os princípios basilares da lei (art. 6º da Lei 13.709/18).
Sugere-se que, todos assinem um documento de ciência de que sua imagem está sendo captada pelas câmeras de vigilância, e que conste, também, a finalidade para a qual a imagem está sendo captada (segurança dos próprios alunos e colaboradores), o tempo em que ela ficará armazenada no banco de dados da IES e como ele será tratado.
