Aplicação da LGPD pelos órgãos de fiscalização

Dr. José Roberto Covac e Dr. Daniel Cavalcante Silva, sócios da Covac Sociedade de Advogados

A aprovação pelo Senado Federal, no dia 26 de agosto, da Lei Geral de Proteção de Dados (LGPD), gerou diferentes interpretações sobre a entrada em vigor da nova lei que aguarda a sanção do presidente da República. A despeito das interpretações sobre o tema, porém, os sócios da Covac Sociedade de Advogados, Dr. José Roberto Covac e Dr. Daniel Cavalcante Silva, alertam que os órgãos que fiscalizam a aplicação da lei, como o Ministério Público e a secretaria Nacional do Consumidor (Senacon) já vêm aplicando a LGPD em suas decisões, o que tem afetado as empresas e as entidades setoriais, notadamente do setor educacional, gerando insegurança jurídica.

Os dois advogados especializaram-se no tema, como autores do livro “Programa de Integridade no Setor Educacional – Manual de Compliance”, publicado pela Editora de Cultura em 2019, que dedica toda uma seção especificamente para a nova legislação, uma vez que a LGPD passou a exigir um tratamento específico para a documentação acadêmica dos alunos, e também para dados dos professores, principalmente nas relações trabalhistas, estabelecendo que esses dados devem ser armazenados por um períodos de 5 anos.

Os dois autores alertam para “os cuidados que as instituições de ensino devem ter para manusear dados de alunos, professores e de todos os parceiros quer de natureza pessoal ou sensível, como raça, cor, etnia, condição religiosa, filiação partidária e sindical, dados de plano de saúde, sexualidade, genética e biometria, que precisam ter consentimento por escrito e identificado”.

O livro, escrito para que as IES se adequem à nova realidade de integridade e compliance das organizações educacionais, aborda em detalhes o processo de adaptação aos requisitos da nova lei, com mapeamento das medidas necessárias nos procedimentos internos, políticas e fluxos de tratamento e manutenção de registros de dados.

Conheça abaixo a íntegra das orientações sobre a LGPD no livro.

 

Lei Geral de Proteção de Dados (LGPD): uma nova rotina institucional

Em 14 de agosto de 2018, foi sancionada a Lei n.º 13.709, a chamada Lei Geral de Proteção de Dados (LGPD), que modifica a Lei n.º 12.965/2014, conhecida como o Marco Civil da Internet, e cria uma legislação específica para regular as atividades de tratamento de dados pessoais por pessoas físicas e jurídicas, objetivando a proteção de direitos fundamentais, como privacidade, liberdade de expressão e livre iniciativa.

A LGPD impõe uma profunda transformação no sistema de proteção de dados e estabelece regras detalhadas para a coleta, o uso, o tratamento e o armazenamento de dados pessoais, afetando vários segmentos da organização e, em especial, as relações entre clientes e fornecedores de produtos e serviços, empregados e empregadores, além de qualquer outra relação na qual dados pessoais sejam coletados, tanto no ambiente digital, quanto fora dele.

O prazo estabelecido para adequação às exigências da LGPD termina em 15 de agosto de 2020 e é importante que a organização esteja ciente de suas obrigações e à necessidade das alterações que deverão ser implantadas para o completo atendimento da nova lei, principalmente em razão das pesadas multas por descumprimento, que podem atingir o montante de R$ 50.000.000,00 (cinquenta milhões de reais).

A LGPD tem por escopo geral:

  • estabelecer requisitos claros para o tratamento de dados pessoais, inclusive com acesso facilitado para aqueles que são titulares dos dados;
  • estabelecer requisitos mais rígidos para o tratamento de dados pessoais tidos como sensíveis;
  • estabelecer requisitos para o tratamento de dados pessoais de crianças e adolescentes;
  • estabelecer regras para o término do tratamento de dados;
  • descrever todos os direitos do titular dos dados;
  • disciplinar regras para o tratamento de dados pelo poder público;
  • estabelecer regras sobre a transferência internacional de dados;
  • disciplinar a responsabilidade sobre o exercício de atividade de tratamento de dados pessoais e regras de ressarcimento de danos;
  • sugerir a adoção de medidas de segurança, sigilo de dados, boas práticas e governança no tratamento de dados;
  • estabelecer a fiscalização e sanções administrativas, as quais podem ser mitigadas com a adoção de boas práticas de mitigação e integridade;
  • criar a Autoridade Nacional de Proteção de Dados (ANPD) e o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.

A Lei Geral de Proteção de Dados atribui ao titular de dados pessoais o direito de obter informações claras, adequadas e ostensivas a respeito do tratamento de seus dados. Importa esclarecer que tratamento de dados engloba a coleta, produção, recepção, classificação, utilização, o acesso, a reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados pessoais. De acordo com a lei, as informações sobre o tratamento de dados pessoais devem ser claras, objetivas, facilmente compreensíveis e acessíveis ao titular durante todo o período em que o tratamento ocorre.

Um dos primeiros deveres impostos pela nova legislação é o de que os dados pessoais somente poderão ser tratados com expresso consentimento de seu titular, sendo poucas as exceções admitidas no texto legal. De maneira mais objetiva, no caso dedados pessoais sensíveis, esse consentimento deve ser apontado de modo mais específico e destacado para finalidades objetivas, ou seja, a lei exige que o acesso a esses dados por qualquer organização deve se dar sempre de maneira fundamentada.

No que tange ao aspecto estritamente acadêmico, a LGPD faz uma exceção considerável: a lei não se aplica ao tratamento de dados pessoais realizados para fins exclusivamente acadêmicos, conforme se vê no art. 4º, II, b, da LGPD. Considerando-se, entretanto, a necessidade de manifesto e expresso consentimento do titular para a coleta e tratamento de seus dados, será fundamental que todos os contratos de prestação de serviços educacionais contenham um elemento destacado que requisite tal consentimento. E mais, a bem da segurança jurídica, que fundamente a razão da solicitação dos dados no instrumento contratual.

Saliente-se que, além de colher autorização, as entidades devem ter ciência das suas obrigações não apenas em garantir a segurança dos dados tratados, mas também com relação aos direitos do indivíduo que teve seus dados coletados. Há, portanto, a necessidade de que esses dados estejam limitados às partes do contrato, ou seja, entre o aluno e a IES, nesse altamente recomendável que se inclua cláusula explicitando que os dados pessoais estarão protegidos nos termos da Lei n.º 13.709/2018.

Para consecução do processo de adaptação das instituições de ensino para o integral cumprimento dos requisitos da LGPD, que culmine com a elaboração de uma Política Institucional de Proteção de Dados orientada pelos termos a nova legislação, recomenda-se a adoção de alguns procedimentos, a saber:

  • iniciar processo de adaptação da organização aos requisitos da nova lei, com mapeamento das medidas necessárias de adequação ao regime de proteção estabelecido pela LGPD;
  • revisão e adequação de procedimentos internos, políticas e fluxos de tratamento de dados pessoais, observando-se que o acesso às informações sob tratamento deve ser restrito somente àqueles que realmente necessitam, bem como a criação de processos internos que permitam às pessoas ter conhecimento acerca das informações que a organização detém e poder revogar a respectiva autorização de armazenamento e manipulação;
  • elaboração e revisão de contratos e documentos que tratem da relação empresa-cliente ou empresa-colaborador, bem como aqueles envolvendo a contratação de prestadores de serviços que coletam ou tratam dados pessoais em benefício da organização, com autorização explícita para a coleta, armazenamento e manipulação de informações pessoais, além de informações quanto ao seu armazenamento e forma de uso;
  • manutenção de registros, preferencialmente por escrito, que demonstrem a adoção de medidas para adequação das operações de tratamento aos princípios estabelecidos na LGPD, independentemente do tamanho da base de dados existente;
  • garantia de que todos os aparatos tecnológicos necessários à proteção dos dados foram devidamente instalados, configurados, mantidos e se mantém sob constante monitoramento, a fim de garantir o sigilo, a confiabilidade e a privacidade de todas as informações pessoais de clientes e colaboradores custodiadas pela organização. Nesse quesito, conhecer o nível de maturidade de segurança do departamento de TI é imprescindível para que uma estratégia de alinhamento com a LGPD possa ser criada;
  • elaboração de materiais educativos para funcionários, prestadores de serviços e demais colaboradores com foco em assuntos de privacidade, proteção de dados e segurança da informação, com realização de treinamentos internos;
  • inserir o cumprimento da LGPD em políticas institucionais de compliance na instituição: desenvolvimento de medidas preventivas relativas a incidentes de segurança; criação de processos internos para responder adequadamente a incidentes ou vazamentos de segurança perante os titulares dos dados, autoridades e demais terceiros envolvidos. Sendo assim, é imprescindível que, no decorrer da implantação da LGPD às suas respectivas realidades, as instituições de ensino superior façam uma análise sobre a conformidade dos dados pessoais que sejam meramente acadêmicos e os outros dados pessoais de cunho diverso. Essa análise implicará na economia de tempo e de recursos incidentes sobre as operações de tratamento de dados pessoais que as instituições de ensino inevitavelmente terão que realizar. Nesse sentido, questiona-se: onde mais a LGPD estaria presente nas instituições de ensino?
  • nos dados pessoais dos alunos, que não seriam necessariamente vinculados às atividades acadêmicas: implicação de ordem consumerista;
  • nos dados pessoais dos docentes, que não seriam necessariamente vinculados às atividades acadêmicas: implicação de ordem trabalhista.

Os dados pessoais de alunos e docentes, não necessariamente vinculados às atividades acadêmicas, teriam duas implicações diretas para as instituições de ensino superior: uma de ordem consumerista e outra de ordem trabalhista. A não conformidade no tratamento de dados pessoais dos alunos, dados esses não necessariamente acadêmicos, poderia implicar uma demanda de ordem consumerista, uma vez que haveria necessidade de consentimento expresso do titular do dado (o aluno) para que esse dado pudesse ser exposto ou não.

Da mesma forma, a não conformidade no tratamento de dados pessoais dos docentes, dados não acadêmicos, poderia implicar demanda de ordem trabalhista, uma vez que também haveria necessidade do consentimento expresso do titular do dado (professor) para que tal dado pudesse ser exposto ou não. Essa é uma situação que pode levar a discussões judiciais, sob o ponto de vista consumerista e trabalhista, para um patamar até aqui desconhecido.

Aliás, diga-se de passagem, a própria LGPD estabelece de maneira explícita que o titular dos dados pessoais tem o direito de peticionar diretamente para a autoridade nacional em caso de descumprimento da norma, podendo exercer tal direito também perante os órgãos de defesa do consumidor. Essa possibilidade pode trazer à tona novas situações relacionadas ao direito do consumidor, o qual granjeará um novo patamar em seus direitos.

Em outras palavras, as instituições de ensino superior serão obrigadas a resguardar o tratamento dos dados de alunos e docentes com base nas perspectivas acima, sendo que as informações sobre o tratamento de dados pessoais devem ser claras, objetivas, facilmente compreensíveis e acessíveis ao titular durante todo o período em que o tratamento ocorrer. Considerando os direitos dos titulares dos dados e a ressalvada dada pela lei em razão dos dados pessoais acadêmicos, a pergunta que se faz é a seguinte: quais seriam os dados pessoais que a instituição de ensino é obrigada a fazer um tratamento específico? Necessariamente, seriam os dados pessoais que estariam atrelados a conteúdos de natureza econômica, social ou enquadrados pela lei como dados pessoais sensíveis.

Os dados pessoais sensíveis, de acordo com a LGPD, são aqueles relacionados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Sendo assim, todos os dados pessoais sensíveis que tenham relações com os dados acadêmicos devem ser objeto de análise para que possam ser apartados e que sejam estabelecidos os tratamentos devidos para que a instituição de ensino não tenha problemas na utilização desses dados.

Nesse cenário, considerando-se os direitos dos titulares dos dados e a ressalvada concedida pela legislação em face dos dados pessoais acadêmicos, a pergunta é: Quais são os dados pessoais para os quais a IES é obrigada a fazer um tratamento específico?

Vejamos o que se torna necessário observar:

  1. para informações referentes à condição socioeconômica dos beneficiários das políticas públicas Fies e Prouni;
  2. necessidade de consentimento expresso do discente para receber informações que não sejam acadêmicas da instituição (cuidado com propagandas);
  3. necessidade de estabelecer regras sobre como os dados pessoais dos discentes devem ser utilizados sob a perspectiva econômica. Exemplo: o aluno pode ter seu nome exposto em uma propaganda? Se isso for objetivo da IES, deve colher o consentimento expresso do aluno;
  4. informações sobre descontos. Não basta conceder o desconto, é necessário informar ao aluno como ele obteve o desconto, de forma inequívoca;
  5. adequar-se à nova legislação referente ao Diploma Digital;
  6. criar mecanismos (tecnológicos) de acesso facilitado de dados;
  7. informar aos discentes sobre dados aos quais tem acesso, bem como informar o fim do prazo para tratamento desses dados;
  8. criar mecanismos sobre o consentimento inequívoco dos docentes para utilização de seus dados pessoais pela instituição. Exemplo: participação do docente em propaganda institucional.

Os exemplos acima demonstram que as instituições de ensino devem fazer importantes adequações às exigências da LGPD, mas ponderando com as exceções previstas em lei. As adequações passam também pelas exigências regulatórias do Ministério da Educação. Um exemplo é oo regulamento que disciplina a expedição e o registro de diplomas de cursos superiores de graduação, o qual estabelece a obrigatoriedade de que as IES mantenham banco de informações de registro de diplomas diretamente nos seus respectivos sítios eletrônicos, que poderão ser objeto de consulta pública. Nesse caso, as IES terão que fazer, dentro de seus procedimentos internos, um tratamento específico que discipline o conhecimento do aluno sobre essa divulgação, englobando também a previsão para o chamado “Diploma Digital”, já estabelecido pelo Ministério da Educação e com prazo para entrar em vigor.

Desde a aprovação da LGPD no Brasil, as IES públicas e privadas buscam estabelecer estratégias eficazes para a conformidade. O desafio é equilibrar a conformidade e a proteção da privacidade com a sustentação do próprio negócio e inovações. Para a busca de conformidade, serão necessárias muitas mudanças operacionais e de processos de trabalho em diversas áreas das instituições de ensino, além de investimentos em capacitação e implementação de novas tecnologias.

 

Programa de Integridade no Setor Educacional – Manual de Compliance

2019 © Daniel Cavalcante Silva e José Roberto Covac
2019 © EDITORA DE CULTURA
ISBN: 978-85-293-000-0

Abrir bate-papo
1
Olá 👋
Podemos ajudá-lo?