Daniela P. Moreira Samaniego[1]
Sumário: Introdução; 1. LGPD pra que? Compreendendo seu alcance; 2. A privacidade como fundamento; 3. Princípios e bases legais da LGPD; 4. A aplicabilidade da LGPD nas Instituições de Ensino; Considerações Finais.
Resumo:
O presente estudo tem o escopo de apresentar a nova lei geral de proteção de dados pessoais (lei nº 13.709 de 2018), algumas definições de termos básicos contidos no seu texto, seus fundamentos, princípios e hipóteses autorizadoras de tratamento, a fim de compreender as suas finalidades e divulgar a sua importância para o momento em que vivemos, mormente no que se refere às Instituições de Ensino, detentoras de uma vasta gama de dados pessoais e de uma grande responsabilidade no que se refere à disseminação da cultura de proteção de dados e da educação digital, demonstrando de forma resumida e, portanto, sem qualquer intento de esgotar o tema, os passos iniciais para que estas Instituições busquem a real e efetiva adequação ao conteúdo da lei, evitando suas sanções administrativas, processos judiciais de indenização e, muito mais do que isso, o imenso desgaste causado por vazamentos dados e violações de segurança que podem acarretar prejuízos consideráveis à todos os que nelas depositaram sua confiança.
Palavras chave: adequação – implementação – instituições de ensino – LGPD – privacidade – proteção de dados;
INTRODUÇÃO
Em meio a toda a crise sanitária e econômica instaurada neste ano de 2020, em decorrência da pandemia causada pelo Corona vírus, um assunto vem sendo abordado sem muito alarde, causando até certo espanto e estranheza para alguns. Nos referimos a vigência da nova Lei Geral de Proteção de Dados brasileira ou, simplesmente, a LGPD.
A lei nº 13.709 foi sancionada no dia 14 de agosto de 2018 e estava prevista para entrar em vigor em agosto deste ano de 2020, contudo, a pandemia impactou, dentre outras coisas, a sua vigência.
O projeto de lei nº 1179, de iniciativa do senador Antônio Anastasia, dispondo sobre o Regime Jurídico Emergencial e Transitório das relações jurídicas de Direito Privado, no período de pandemia do Corona vírus, foi convertido na lei nº 14.010 de 2020 que assim estabeleceu:
Art. 20. O caput do art. 65 da Lei nº 13.709, de 14 de agosto de 2018, passa a vigorar acrescido do seguinte inciso I-A:
“Art. 65. (…)
I-A – dia 1º de agosto de 2021, quanto aos arts. 52, 53 e 54”.
Neste sentido, as sanções decorrentes de inadequação ou descumprimento às regras estabelecidas no texto da LGPD, só poderão ser aplicadas a partir de agosto de 2021.
Ao seu lado outra problemática vinha sendo discutida, em decorrência da publicação da Medida Provisória nº 959 de 2020 que, paralelamente ao projeto de lei supramencionado, buscava postergar o período de vacância da LGPD, para que sua entrada em vigor se desse apenas em maio de 2021.
No dia 25 de agosto de 2020 (véspera da data limite para a conversão da Medida Provisória em lei), a Câmara dos Deputados aprovou a prorrogação da vacância da LGPD, determinando o início de sua vigência para 31 de dezembro do mesmo ano. O trecho da Medida Provisória, que adiava a entrada em vigor, da LGPD, para maio de 2021 foi excluído, e a proposta do deputado Damião Feliciano (que defendia um prazo maior para adequação) foi acatada.
Contudo, logo no dia seguinte (26/08/20), o Senado Federal aprovou o projeto nº 34/2020 (de conversão da referida Medida Provisória em lei), considerando, todavia, prejudicado o seu artigo 4º, em virtude de questão de ordem, apresentada pelo Sen. Eduardo Braga que, recorrendo ao Regimento Interno da casa, lembrou que a prorrogação da entrada em vigor da LGPD já havia sido tema de votação pelas duas casas legislativas, razão pela qual se tratava de matéria já superada[1].
Nesta senda, decidiu o Senado pela conversão da MP nº 959 em lei, sem o artigo 4º e, portanto, consequentemente, pela vigência imediata da LGPD que, por observância do artigo 62 § 12º da Carta Magna, apenas aguardou o prazo para sanção do Presidente da República, que se deu, de fato, em 18 de setembro de 2020, data em que a nova lei de proteção de dados brasileira (lei nº 13.709/2018) passou, então, a produzir seus efeitos, restando suspensas, tão somente, a aplicação das sanções administrativas, até agosto de 2021.
-
LGPD? PARA QUE? COMPREENDENDO SEU ALCANCE
O primeiro ponto a ser destacado aqui, diante do já exposto, é: a LGPD está em vigor!
Mas qual o impacto disso em nossas vidas?”.
Bom, o objetivo da LGPD é assegurar a proteção dos dados pessoais da PESSOA FÍSICA VIVA, a fim de resguardar, por meio desta, a sua privacidade.
Isso porque, apesar de um dado, isoladamente, não acarretar, em tese, qualquer prejuízo, sua ligação ou conexão com outros dados pode levar a identificação da pessoa, uma identificação nem sempre desejada (ou esperada) e que, em decorrência disso, pode ensejar danos não apenas materiais, como morais.
E o que se compreende por “Dado Pessoal”?
A própria lei nº 13.709 de 2018 traz sua definição:
Art. 5º. Para os fins desta Lei, considera-se:
I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
Deste modo, toda informação que identifique uma pessoa física, viva, tal como: nome, número de documentos como carteira de identidade, CPF, título de eleitor, fotografias e, até mesmo aquelas informações que não permitem uma identificação imediata mas que, uma vez relacionada a outros dados, tornam essa identificação possível como: placa de carro, endereço de IP do computador, CEP ou endereço residencial, por exemplo, são dados pessoais e gozam da proteção legal.
Além destes há que se considerar, ainda, os dados relacionados a atividades do indivíduo nas mídias sociais como: comentários, fotos, curtidas em post. Dados que demonstram preferências pessoais, muitas vezes utilizadas por empresas de marketing para a construção de profiles e a execução do que se conhece, hoje, pelo nome de “marketing de atração”.
Dentre esses dados pessoais, a LGPD, inspirada no Regulamento Geral de proteção de dados da União Europeia (o RGPD), reservou proteção especial a uma categoria que o RGPD chamou de “dados de categoria especiais” e a nossa LGPD preferiu nominar como “dados pessoais sensíveis”, que são dados que, por sua própria natureza, podem ensejar maiores danos para a pessoa, se compartilhados indevidamente. Dados que correm um risco maior de gerar discriminações e preconceitos por ser referirem, por exemplo, a opção religiosa ou sexual, a saúde, a filiação em partidos políticos ou sindicatos, dados de origem racial ou étnica, dados genéticos ou biométricos. A esses dados, a LGPD, tal como fez o RGPD, reservou um tratamento que demanda uma segurança ainda mais robusta, de modo a protege-los com maior eficácia.
Cumpre destacar, também, que a LGPD exige especial atenção, também, para o tratamento de dados de crianças e adolescentes, trazendo requisitos específicos os mesmos como, por exemplo, a exigência de consentimento destacado e específico dos pais ou responsáveis.
Toda essa preocupação e cautela tem uma razão de ser. Não é de hoje que os dados passaram a significar lucro, sendo fortemente monetizados. Há muito que são utilizados das mais diversas formas, lícitas e ilícitas, e os avanços tecnológicos, a evolução e disseminação das redes sociais, bem como a influência e os impactos que as informações (decorrentes da leitura e interpretação de dados espalhados na rede) geram, acarretaram no reconhecimento mundial de que os dados das pessoas, hoje, podem ser considerados, o novo petróleo ou, até mesmo, em uma interpretação mais moderna, de valor muito superior a este produto tão valioso mas que, ao contrário dos dados pessoais, é finito e se esgota.
Por esse motivo, muitos e muitos países se movimentaram e continuam a se movimentar, publicando leis de proteção aos dados pessoais, traçando regras e delineando o tratamento dos mesmos.
O Brasil não foi o primeiro país a assim fazer, pelo contrário. Estamos bastante atrasados neste sentido. A Argentina, o México, o Uruguai, o Chile (isso pra citar apenas países da América Latina) já possuem legislação de proteção de dados há mais de dez anos. De todo modo, teremos, enfim, uma lei específica e que regulamenta diretamente a proteção de dados pessoais e, como tal, caminhará ao lado de leis outras que conferiam, ao tratamento desses dados, uma proteção indireta, tais como o Marco Civil da Internet, a lei Carolina Dieckman e a Lei de Acesso à informação por exemplo.
Mas, afinal, o que isso significa?
Seria, esta, mais uma artimanha econômico-social para onerar as empresas, já que a LGPD exige a presença e manutenção de um encarregado (ou DPO – Data Protection Officer), além de diversas outras adaptações, principalmente no que concerne a segurança de informação, com vistas a assegurar a eficácia desta proteção?
Em uma análise do texto da lei percebe-se, claramente, que não foi este o seu intento. Não se trata de mais um ônus, porque se analisarmos a situação sob o aspecto preventivo, constataremos que as empresas poderão, sim, ter custos necessários inicialmente, mas esses custos buscam, justamente, evitar que irregularidades, descuidos ou quaisquer outros problemas neste sentido, possam acarretar sanções ou a necessidade de pagamento de indenizações que, certamente, onerariam infinitamente mais, sem mencionar o impacto que tudo isso pode causar na imagem empresarial (este, sim, um ônus de real preocupação).
Por isso, entendemos que a LGPD não trouxe mais ônus para as empresas, mas vai requerer, sim, o que preferimos nominar de “investimentos iniciais necessários”, para manter segura a relação de confiança (tão necessária entre empresas e consumidores), nesses tempos de sociedade das incertezas em que vivemos, uma sociedade que se transforma e transmuda rapidamente, e cujo amanhã não conseguimos vislumbrar com tanta exatidão, razão pela qual a confiança passou a ser um valor tão buscado e esperado.
O momento requer reflexão a longo prazo, requer mudança cultural, no sentido de compreender que a adequação da empresa não deve ser motivada pela ideia de evitar sanções (ou pelo receio delas), mas pela observância, pelo respeito, pelo resguardo e pelo devido reconhecimento dos direitos fundamentais da pessoa humana, em um compromisso, não apenas ético como legal, com todos aqueles com os quais se mantém alguma espécie de relação jurídica.
O impacto positivo que essa espécie de mudança cultural poderá acarretar na imagem da empresa e, consequentemente, nos seus negócios, é infinitamente maior e mais positivo do que os custos iniciais necessários.
Outro ponto que merece ser destacado se refere a confusão instaurada acerca do objeto da LGPD.
Muitas empresas entendem que por já possuírem programas avançados de segurança de dados, já estão devidamente adequadas à LGPD.
Grave engano!
A segurança por meio de ferramentas de tecnologia de informação consiste, apenas, em um dos quesitos abrangidos na lei, que não se limita ou se restringe a isso. É preciso muito mais!
Para tanto é preciso conhecer bem o conteúdo da lei e, desde já, reiteramos que se trata de direitos fundamentais e, portanto, constitucionalmente protegidos. O simples ato de investir em ferramentas de tecnologia de informação não é, portanto, suficiente para a devida e correta adequação.
Precisamos analisar a LGPD pela lente correta, ou seja, como uma medida necessária para a proteção de direitos fundamentais de toda pessoa natural ou física. Um direito constitucional. Mais do que isso, um direito fundamental!
-
A PRIVACIDADE COMO FUNDAMENTO
Muito se tem propagado a respeito do fato de que as leis de proteção de dados e, dentre elas a nossa LGPD, buscam proteger a privacidade através da proteção dos dados pessoais. Mas o que se entende por privacidade?
Em um mundo onde tudo se relativiza e se desconstrói, é importante saber qual é o alcance e a expectativa social, e até mesmo individual, com relação ao que se compreende por “privacidade”.
O artigo 5º da CF traz em seu inciso X que: “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”.
Neste aspecto não é segredo que o inciso, supra descrito, busca proteger, como direitos fundamentais, a intimidade, a privacidade, a honra e a imagem das pessoas, garantindo-lhes a indenização por danos causados em virtude da violação destes direitos. No entanto, privacidade, vida privada, intimidade… são termos sinônimos? Qual a diferença existente entre eles?
Importa compreende-los bem porque, como bem ensina Marcel Leonardi[2], a incerteza a respeito dessas definições enseja diversos problemas, que acabam por dificultar a sua eficaz proteção.
A preocupação com a privacidade não é recente e, muito menos, localizada. Há muito que se fala em direito à privacidade e se discute formas de tornar esse direito efetivo. Mas falar em privacidade, como vimos, não é o mesmo que falar em vida privada e intimidade e, por isso, antes de pensarmos em proteção a privacidade é primordial compreender a distinção desses termos.
Em 1950 o jurista alemão Heinrich Hubmann criou a Teoria dos Círculos Concêntricos para explicar a diferença entre a esfera pública e a esfera privada. Esta teoria apresenta três círculos interligados, onde o mais amplo constitui a esfera da privacidade, o intermediário configura a esfera da intimidade e o mais restrito a esfera do sigilo, das informações pessoais, aquelas que desejamos manter em secreto.
Dessa forma, a privacidade poderia ser categorizada em máxima e mínima, em uma escala de valores que vai da vida pública, passando pela esfera privada no sentido estrito e pela esfera da intimidade, até chegar ao grau mais restrito e específico de intimidade, que consiste na esfera do segredo.
A palavra “privacidade” remonta juridicamente do “right to privacy” ou “direito de ficar só”, algo que inicialmente era visto como, até mesmo, excentricidade, mas que, com a evolução e a disseminação das redes sociais, passou a significar, para muitos, um verdadeiro “sonho de consumo”.
Em um mundo hiper conectado, ficar só se tornou raridade e passou a exigir um comportamento mais ativo, no sentido de impor, à sociedade, este direito.
Com base nisso, a LGPD trouxe o princípio da autodeterminação informativa, como um de seus fundamentos (artigo 2º, II).
Proveniente da jurisprudência alemã, a auto determinação informativa consiste no direito que cada pessoa tem de escolher como e com quem irá compartilhar seus dados pessoais, razão pela qual muitos têm afirmado que este princípio trouxe o “empoderamento” do titular dos dados, possibilitando seu real e efetivo exercício daquilo que lhe pertence, de fato e de direito.
Suzana Mendonça explica a respeito da autodeterminação informativa que:
Garante-se ao titular, por meio da comunicação eficiente, o controle sobre a forma como seus dados serão manuseados, de modo a conferir maior segurança não somente quanto à autorização de uso, como também da medida em que serão utilizados. O consentimento informado, nesse sentido, insere-se no cenário atual como uma relevante ferramenta de participação ativa do usuário em todo o processo de conhecimento e posterior anuência de tratamento de dados pessoais[3].
Em igual sentido manifesta-se Ingo Sarlet et al:
À míngua de expressa previsão de tal direito no texto da Constituição Federal e a exemplo do que ocorreu em outras ordens constitucionais, o direito à proteção dos dados pessoais pode ser associado ao direito à privacidade (no sentido de uma “intimidade informática”) e ao direito ao livre desenvolvimento da personalidade, que inclui o direito à livre disposição sobre os dados pessoais, de tal sorte que não se trata apenas de uma proteção dos dados contra o conhecimento e uso por parte de terceiros, razão pela qual – a exemplo do que se deu no direito alemão e espanhol – se fala em um direito à autodeterminação informativa.[4]
Pelo exposto constatamos que a autodeterminação informativa encontra-se diretamente relacionada ao consentimento, no entanto, importa salientar que a proteção de dados não está restrita à este, que configura, apenas, como uma dentre as 10 (dez) bases ou hipóteses legais de tratamento, elencadas no artigo 7º da lei.
-
PRINCÍPIOS E BASES LEGAIS DA LGPD
Neste ponto, a fim de compreender os objetivos e fundamentos da nova lei geral de proteção de dados pessoais brasileiras, importa conhecer, primeiramente, os seus princípios legais e, deste modo, voltamos nosso olhar para o artigo 6º que, ao determinar que as atividades de tratamento dos dados pessoais deve observar a boa-fé, passa a elencar os dez princípios que precisam ser observados no decorrer destes tratamentos, quais sejam:
I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Importa chamar a atenção para os três primeiros princípios, que determinam que o tratamento de dados pessoais precisa ter uma finalidade específica e previamente informada ao seu titular. Finalidade, esta, que não pode ser afastada no decorrer do tratamento que, por sua vez, deverá ser realizado estritamente para esse fim. Além disso, os dados coletados precisam ser apenas aqueles necessários para o tratamento que, por sua vez, requer ser realizado de modo a possibilitar que este esteja adequado aos fins almejados.
Percebemos que esses três primeiros princípios se encontram intimamente relacionados e praticamente dão o tom do tratamento de dados pessoais, o que não importa dizer que são preferenciais ou dotados de maior importância. Todos os princípios precisam ser observados considerando que se tratam de, como ensina Robert Alexy[5], mandados de otimização da norma.
Considerando que o GDPR serviu de forte inspiração para nossa lei geral de proteção de dados, entendemos que toda cautela na observância dos princípios legais deverá ser tomada.
Uma rápida análise no site rastreador de aplicação de GDPR[6] que traz um rol das sanções aplicadas, nos possibilita constatar que as maiores causas de aplicação de multas consistem na inobservância dos princípios e na ausência ou no descumprimento de bases legais.
E o que vem a ser essas bases legais? Consistem, como expressa o título da Seção I, do Capítulo II da LGPD, nos requisitos para o tratamento de dados pessoais, ou seja, em hipóteses legais que autorizam, por assim dizer, o tratamento de dados.
A LGPD traz um rol de hipóteses maior do que o trazido pelo GDPR. Temos 4 (quatro) bases legais a mais do que as previstas no regulamento europeu. Todas estão previstas no artigo 7º da LGPD e, segundo ele, podemos dizer que o tratamento de dados pessoais, no Brasil estará autorizado quando:
– realizado mediante consentimento prévio, livre e informado do titular;
– realizado para o cumprimento de obrigação legal ou regulatória pelo controlador;
– realizado para tratamento e compartilhamento de dados pela administração pública, necessários para execução de políticas públicas previstas em lei e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
– realizado para estudos em órgãos de pesquisa;
– realizado para execução de um contrato ou de procedimentos preliminares à ele relacionados, do qual o titular dos dados seja parte e a pedido dele;
– realizado para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
– realizado para proteção da vida ou da incolumidade física do titular dos dados ou de terceiro;
– realizado para tutela da saúde (sendo esta base exclusiva para os profissionais de saúde, serviços de saúde e autoridade sanitária);
– realizado por interesse legítimo do controlador;
– realizado para a proteção do crédito;
Uma vez observadas criteriosamente essas bases legais e tendo sido, as mesmas, devidamente informadas (em observação, até mesmo, ao princípio da transparência, dentre outros) aos titulares dos dados, não há que se falar em responsabilização para os agentes de tratamento.
Com relação aos agentes de tratamento, chamamos a atenção para o fato de que, apesar da lei trazer a figura do encarregado, na seção II do capítulo que se refere a esses agentes (Capítulo VI), este não pode ser considerado como tal posto que o encarregado não trata dados pessoais. Os agentes de tratamento de dados são o controlador e o operador, cuja definição legal está prevista no artigo 5º, VI e VII:
Art. 5º Para os fins desta Lei, considera-se:
(…) VI- controlador – pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII – operador – pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Deste modo, por não realizar tratamento de dados e servir apenas como canal de comunicação entre estes, os titulares de dados e a Autoridade Nacional, o encarregado não pode, via de regra, ser responsabilizado pelo tratamento realizado em inobservância as determinações legais. A responsabilidade pelo tratamento de dados recai, conforme disposto no artigo 42, no controlador e, de forma solidária, no operador.
-
A APLICABILIDADE DA LGPD NAS INSTITUIÇÕES DE ENSINO
Tendo restado conhecidas as razões e fundamentos da nova lei de proteção de dados brasileira, bem como os seus princípios e bases autorizadoras, resta-nos compreender o alcance de sua aplicabilidade, ou seja: quem está sujeito às normas elencadas na lei nº 13.709 de 2018?
Neste aspecto, o próprio texto legal inicia com a seguinte informação:
Art. 1º. Esta lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
E em seu parágrafo único, continua:
Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios.
Deste modo, podemos aferir, deste texto, as seguintes constatações:
1º. A LGPD não se restringe a dados digitais, pois a própria lei é clara em frisar “inclusive nos meios digitais”, o que importa dizer que todo e qualquer documento físico que trate dado pessoal deverá estar, de igual modo, condizente com as determinações desta lei;
2º. A LGPD protege dados, apenas, de PESSOA FÍSICA VIVA. No entanto, se aplica a toda e qualquer pessoa FÍSICA ou JURÍDICA que estarão, portanto, sujeitas às suas determinações. E, no que tange à esta última, não importa se é de DIREITO PÚBLICO ou de DIREITO PRIVADO, de maneira que, toda e qualquer pessoa física, bem como toda e qualquer instituição ou empresa, associação, fundação, autarquia, que realize tratamento de dado pessoal, precisará se adequar.
Além disso, o legislador optou por destacar, no parágrafo único, que o disposto e regulamentado no texto da lei é de interesse nacional e, como tal, deve ser observado pela União, por todos os Estados, pelo Distrito Federal e pelos Municípios, deixando clara a aplicabilidade geral da LGPD.
3º. A LGPD se aplica a todo aquele que realizar uma das ações dispostas no inciso X, do artigo 5º:
Art. 5º. Para os fins desta Lei, considera-se:
(…)
X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Diante de tais fatos podemos afirmar, a título de exemplo, que aplica-se o disposto na LGPD nas relações entre usuários e serviços de internet, nas relações entre empresas e clientes, nas relações trabalhistas, nas relações entre médicos, hospitais e seus pacientes e, também, nas relações entre escolas, alunos, professores, funcionários e servidores.
No tocante às Instituições de ensino, objeto de nosso artigo, entendemos que a aplicabilidade da LGPD tem uma responsabilidade ainda maior do que nas demais Pessoas Físicas e Jurídicas, posto que, à estas Instituições, compete difundir, disseminar a cultura e a educação.
Sabemos, ainda, que em se tratando de educação, os atos ensinam muito mais do que palavras e, neste ponto, entendemos que é da responsabilidade das Instituições de ensino, público e privadas, dar o exemplo, demonstrando comprometimento com a adequação às regras da LGPD e, mais do que isso, demonstrando comprometimento e responsabilidade com relação aos direitos daqueles que são, hoje, reconhecidamente os titulares dos dados pessoais.
Ademais é de conhecimento geral o vasto volume de dados pessoais com que essas instituições, necessariamente, precisam trabalhar e, dentre eles, muitos dados pessoais considerados sensíveis, sem falar nos diversos dados de crianças e adolescentes que, pela própria natureza, requerem cuidados maiores.
Compete, portanto, a todas essas instituições de ensino, de nível fundamental, médio ou superior, públicas ou privadas, disseminar entre seus reitores, colaboradores, professores, funcionários e alunos a cultura de proteção de dados, ressaltando sua importância a fim de que conhecedores do texto da lei, possam auxiliar não só na conscientização como, também, na implementação e na adequação dessas instituições às exigências legais, assegurando a devida proteção à privacidade da pessoa humana.
Mas o que fazer para se adequar? Por onde começar?
O escopo deste estudo consiste tão só em chamar a atenção dessas instituições para a necessidade urgente de, primeiramente, conhecer a LGPD e, por consequência, aplica-la em obediência aos seus mandamentos. Não temos o intuito de destrinchar o passo a passo necessário para a adequação, posto que isso daria, por sua extensão e importância, um outro artigo. Todavia, com a finalidade de complementar o raciocínio apresentamos, resumidamente, o básico a ser observado quando da implementação e adequação à lei de proteção de dados brasileira.
Neste intuito entendemos que a primeira atitude a ser tomada com vistas a adequação à LGPD, consiste na nomeação do encarregado que, por sua vez, dará as orientações necessárias para os passos subsequentes.
Diversamente do RGPD, a LGPD não trouxe exceções com relação a obrigatoriedade do encarregado de modo que, até o presente momento, esse profissional é obrigatório para todas as instituições.
Independentemente, porém, da sua obrigatoriedade, o Encarregado consiste em pessoa (que por força das mudanças inseridas através da Lei nº 13.853/2019 pode, hoje, ser física ou jurídica) indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD) e, para que este profissional possa atuar com a eficiência necessária, ele precisa demonstrar algumas características como conhecimento multidisciplinar, sendo conhecedor de gestão, compliance, proteção de dados, normas cíveis, consumeristas, trabalhistas e, obviamente, precisa conhecer bem o texto não só da LGPD como das demais normas de proteção de dados existentes no mundo tais como o próprio RGPD.
Pelas funções que precisa desempenhar é importante, também, observar as possibilidades de um possível conflito de interesses. Recentemente, por exemplo, o Governo Federal baixou uma instrução normativa[7] definindo como requisitos para a nomeação do encarregado (ou DPO – Data Protection Officer):
Art. 1º (…)
-
1º. O Encarregado pelo Tratamento dos Dados Pessoais indicado:
I – deverá possuir conhecimentos multidisciplinares essenciais à sua atribuição, preferencialmente, os relativos aos temas de: privacidade e proteção de dados pessoais, análise jurídica, gestão de riscos, governança de dados e acesso à informação no setor público; e
II – não deverá se encontrar lotado nas unidades de Tecnologia da Informação ou ser gestor responsável de sistemas de informação do órgão ou da entidade.
Deste modo, nomeado o Encarregado ou DPO, já estará dado o primeiro passo rumo a adequação e a partir daí, será essencial a realização de um mapeamento dos dados a fim de conhecer não apenas a quantidade de dados, tratados pela instituição, como a qualidade dos mesmos, o que possibilitará que se trace de forma mais adequada, um programa de implementação e adequação.
A revisão dos documentos como normativas, contratos de matrículas, contratos com professores e demais profissionais, contratos de parcerias, dentre outros, será um procedimento também necessário, do mesmo modo como estabelecer parâmetros rígidos para o arquivamento de documentos que contenham dados pessoais sensíveis tais como currículos de professores, atestados médicos, declarações de opção religiosa para abono de faltas nas sextas-feiras, por exemplo.
O ano letivo está para iniciar e há muito o que ser feito. Não dá para “pagar pra ver” e, portanto, é preciso correr!
Uma atenção precisa ser dada, ainda, com relação aos contratos de parceria que preveem a possibilidade de compartilhamento de dados. Essa finalidade deve restar claramente definida e deve ser informada ao titular do dado para sua autorização.
A adoção de um sistema de controle do uso dos dados, do mesmo modo que um sistema de segurança de informação robusto, também se mostra necessária.
Outro ponto relevante consiste na observância do princípio da finalidade, algo que teoricamente é fácil de ser observado, mas que, na prática, muitas vezes passa despercebido. É normal, por exemplo, o uso da base de dados dos alunos para compartilhamento com papelarias (para oferta de material escolar) e, até mesmo, com agências de viagens (para fins de excursões ou passeios escolares e demais atividades extraclasse). Neste caso, esse compartilhamento precisará ser informado e autorizado pelo titular dos dados, sob o risco de estar infringindo o principio da finalidade, posto que a coleta dos dados se deu, incialmente, especificamente para a matrícula e o registro histórico do aluno. O mesmo precisará ser observado caso tais dados venham a ser usados para métricas internas, como análise do perfil do aluno e seu desempenho para marketing empresarial, por exemplo.
A LGPD determina, ainda, que é direito do titular o acesso fácil e gratuito aos dados pessoais, que estiverem sendo tratados, podendo solicitar sua correção e, até mesmo, exclusão, nos casos permitidos e autorizados por lei.
Para cumprimento desses deveres a Instituição precisará adequar o seu portal, possibilitando esse livre acesso, além de um contato fácil do titular dos dados com o encarregado, para o correto exercício desses direitos.
Aliás, neste aspecto, a LGPD determina a obrigatoriedade da divulgação dos contatos do encarregado.
Toda atenção deverá ser dada ao contrato de matrícula e as informações que, nele, precisarão estar expressas, a fim de evitar a necessidade de ficar buscando alunos, pais e/ou responsáveis, para complementação ou regularização das informações, o que demandará maiores despesas e desgastes com relação a confiança necessária neste relacionamento.
Muitos outros pontos precisarão ser observados e um monitoramento constante das atividades será essencial para garantir a manutenção da observância à norma.
As especificidades de cada caso concreto, por fim, deverão ser observadas no trabalho de implementação, demandando especial atenção por parte do encarregado e dos agentes de tratamento.
CONSIDERAÇÕES FINAIS
Como já mencionado, a LGPD já está em vigor e se adequar não é, definitivamente, uma opção.
Descumprir, ou não observar, o que ela preconiza pode, sim, trazer sérios prejuízos financeiros, em decorrência das multas previstas que, apesar de não estarem, ainda, vigendo, poderão ser aplicadas a partir de agosto de 2021, e consistem em multas de impacto considerável, mormente em se tratando de pequenas instituições. Todavia não podemos esquecer que, com a vigência da LGPD e a previsão de seus direitos específicos, indenizações podem ser cobradas na área cível (como já vem acontecendo), que poderão onerar consideravelmente as instituições em casos de danos morais ou materiais. Sem falar no que, talvez, consista no maior prejuízo, que é o referente a perda de confiança e credibilidade no que se refere ao tratamento dado pela Instituição. Algo que pode trazer danos institucionais seríssimos, já que confiança é algo que se perde facilmente, mas cuja recuperação não se dá com a mesma facilidade. Perder a credibilidade de clientes e consumidores, na atualidade, talvez consista no maior prejuízo que o descuido com relação a proteção de dados pode ensejar.
Neste sentido, buscando resumir as cautelas necessárias, com relação a implementação e adequação das Instituições de Ensino às determinações da LGPD, citamos:
-
A nomeação do encarregado (ou DPO) e a divulgação do seu contato;
-
A atualização dos contratos de matrícula e demais contratos entabulados com professores, parceiros e outros profissionais;
-
A separação dos alunos conforme a faixa etária, a fim de atender os requisitos legais;
-
O investimento em segurança de dados e o reforço das políticas de segurança já existentes;
-
O conhecimento e disseminação da lei a fim de conscientizar todos os interessados e todos os que, direta e indiretamente, tratam os dados pessoais;
-
A comunicação clara e transparente com os clientes, com relação aos dados que são tratados e seus fins, bem como com relação a possíveis compartilhamentos;
-
A atualização dos sistemas e portais online;
-
A capacitação e treinamento dos profissionais da instituição, dentre eles: reitores, diretores, coordenadores, professores, secretários, gestores e demais servidores.
Por fim não podemos deixar de salientar o cuidado com relação a troca de mensagens via WhatsApp e e-mails, devido a facilidade de vazamento e violações e a dificuldade de impedir a propagação nestes casos.
Há muito, ainda, a ser mencionado a respeito e o presente estudo possui a finalidade, apenas, de chamar a atenção para a urgência da necessidade de adequação, demonstrando, apenas, alguns dos passos iniciais para a mesma.
Vivemos, hoje, na chamada sociedade de informação, onde todos se mantém hiper conectados, com acesso fácil a todo tipo de informações, razão pela qual não se questiona, atualmente, quem tem ou não informação mas, sim, quem sabe, ou não, filtrá-las corretamente, fazendo bom uso delas, separando as informações reais, importantes e que merecem ser consideradas, das tão fadadas e atualmente propaladas fakenews, capazes de causar tantos danos quanto as próprias violações de dados.
Uma sociedade que, consoante a afirmação do filósofo e sociólogo Antonhy Giddens[8], consiste em uma crescente fronteira tecnológica onde ninguém entende completamente, e que gera uma diversidade de futuros possíveis. Uma sociedade que produz riscos, incertezas e imprevisibilidade, razão pela qual a confiança se tornou um valor inestimável.
Trata-se, sem dúvidas, de um processo que irá demandar tempo e maturidade para envidar todos os esforços necessários.
O resultado de tudo isso?
Instituições de ensino que demonstram (e não apenas ensinam) verdadeiro respeito pela pessoa de seus alunos, professores, parceiros, enfim, pelo ser humano e que, mais do que isso, ilustram verdadeiramente o que se espera de instituições como essas: confiança, credibilidade e respeito, que asseguram a real e eficiente dignidade da pessoa humana, mediante a proteção de sua privacidade, por meio da proteção de seus dados pessoais.
BIBLIOGRAFIA
ALEXY, Robert. El Concepto y la Validez del Derecho y Otros Ensayos. Barcelona: Gedisa, 1994. p. 123.
BRASIL, Constituição (1988). Constituição da República Federativa do Brasil. Brasília, DF. Disponível em http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em 03 dez. 2020.
BRASIL. Lei nº 13.709 de 14 de agosto de 2018. LGPD. Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em 02 dez. 2020.
BRASIL, Secretaria de Governo Digital do Ministério da Economia. Instrução Normativa nº 117 de 19 de novembro de 2020. Disponível em https://www.in.gov.br/web/dou/-/instrucao-normativa-sgd/me-n-117-de-19-de-novembro-de-2020-289515596. Acesso em 04 dez. 2020.
GIDDENS, Anthony. As conseqüências da modernidade. São Paulo : UNESP, 1991.
MENDONÇA, Suzana. A autodeterminação informativa no contexto de proteção de dados pessoais. Disponível em: < https://www.conjur.com.br/2019-out-20/suzana-mendonca-autodeterminacao-informativa-protecao-dados> Acesso em 11 jan. 2020
LEONARDI, Marcel. Tutela e privacidade na internet. São Paulo: Saraiva, 2012.
RODRIGUES JR, Otávio Luiz. Direito Civil contemporâneo: estatuto epistemológico, constituição e direitos fundamentais. 2. ed. rev. atual. e ampl. Rio de Janeiro: Forense Universitária, 2019.
SARLET, Ingo Wolfgang. MARINONI, Luiz Guilherme. MITIDIERO, Daniel. Curso de Direito Constitucional. São Paulo: Saraiva, 2018.
SILVA, Luciana Vasco. Direito de Privacidade no Direito Brasileiro e Norte Americano. Revista Eletrônica da Faculdade de Direito de Franca, v. 9, n. 2, p. 158-162, dez. 2014.
THE ECONOMIST. O recurso mais valioso do mundo. By Redação in Tecnologia, 2 jan.
-
Disponível em: https://ofuturodascoisas.com/o-recurso-mais-valioso-do-mundo/.
Acesso em 09 mar. 2020.
UNIÃO EUROPEIA. Regulamento Geral de Proteção de Dados. Disponível em: https://gdpr-info.eu/. Acesso em 04 dez. 2020.
[1] Justamente, o que previa a prorrogação da vacância da LGPD.
[2] LEONARDI, Marcel. Tutela e privacidade na internet. São Paulo: Saraiva, 2012
[3] MENDONÇA, Suzana. A autodeterminação informativa no contexto de proteção de dados pessoais. Disponível em: < https://www.conjur.com.br/2019-out-20/suzana-mendonca-autodeterminacao-informativa-protecao-dados> Acesso em 11 jan. 2020
[4] SARLET, Ingo Wolfgang. MARINONI, Luiz Guilherme. MITIDIERO, Daniel. Curso de Direito Constitucional. São Paulo: Saraiva, 2018
[5] ALEXY, Robert. El Concepto y la Validez del Derecho y Otros Ensayos. Barcelona: Gedisa, 1994. p. 123.
[6] Disponível em https://www.enforcementtracker.com/. Acesso em 03 dez. 2020.
[7] BRASIL, Secretaria de Governo Digital do Ministério da Economia. Instrução Normativa nº 117 de 19 de novembro de 2020. Disponível em https://www.in.gov.br/web/dou/-/instrucao-normativa-sgd/me-n-117-de-19-de-novembro-de-2020-289515596. Acesso em 04 dez. 2020.
[8] GIDDENS, Anthony. As conseqüências da modernidade. São Paulo : UNESP, 1991.