O tratamento de dados pessoais é uma atividade muito comum em Instituições de Ensino Superior (IES). Por isso, adotar procedimentos para se adequarem às disposições da Lei Geral de Proteção de Dados (LGPD) é essencial.
Em termos gerais, as IES precisam revisitar a forma como coletam, processam e armazenam os dados pessoais e adotar medidas suficientes para garantir a segurança e a transparência na utilização desses dados.
A seguir, você poderá descobrir mais sobre a LGPD, suas implicações e como ela impacta as instituições de ensino. Confira!
O que é a LGPD?
A Lei Geral de Proteção de Dados (LGPD) ou Lei nº 13.709, sancionada no Brasil em 14 de agosto de 2018, é um regulamento que visa a proteger os direitos de privacidade de dados de todas as pessoas físicas (ou titulares de dados), independentemente da cidadania, que estejam em território brasileiro, incluindo turistas.
Também impõe várias regras e restrições às organizações que realizam tratamento de dados pessoais, mesmo que não tenham sede no Brasil.
Essencialmente, a lei dá aos titulares de dados mais direitos fundamentais e autonomia sobre como seus dados são armazenados e usados por empresas e instituições, tornando os processos mais transparentes.
De acordo com esse novo regulamento, os indivíduos têm todo o direito de se opor ao processamento de seus dados e também podem exigir, a qualquer momento, que eles sejam corrigidos, restringidos ou mesmo excluídos por instituições.
De acordo com a LGPD, as organizações públicas e privadas precisam seguir 10 princípios que devem nortear o tratamento de dados pessoais. São eles: propósito, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilidade.
Resumindo, os 10 princípios da LGPD dizem que as empresas devem tomar medidas de segurança para proteger os dados pessoais, solicitar apenas os dados que realmente precisam para propósito específico e, em última instância, ser transparentes, deixando claras suas intenções e objetivos.
Quando entra em vigor?
As disposições gerais da LGPD entraram em vigor em 18 de setembro de 2020. No entanto, por força da Lei 14.010/20, as sanções entram em vigor somente a partir de 1º de agosto de 2021.
Isso significa que as organizações, incluindo as IES, precisam seguir as disposições básicas, como solicitar consentimento para tratamento de dados, informar a finalidade para a qual os dados serão utilizados e garantir todos os diretos dos titulares previstos na lei.
É importante salientar que, embora as sanções previstas na lei ainda não estejam em vigor, as organizações podem ser processadas pelos titulares de dados em caso de não cumprimento das disposições gerais.
Quais são as penalidades?
A LGPD estabelece várias obrigações e princípios relativos ao tratamento de dados pessoais. Um ponto relevante refere-se à Autoridade Nacional de Proteção de Dados (ANDP), que terá a função de implementar e fiscalizar o cumprimento da lei, bem como impor sanções administrativas pelas infrações cometidas envolvendo o disposto na lei, conforme descrito a seguir:
- Suspensão parcial do funcionamento do banco de dados por até 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- Proibição parcial ou total de envolvimento em atividades relacionadas a tratamento de dados pessoais.
- Divulgação pública da infração após investigação adequada e confirmação de sua ocorrência.
- Multas de até 2% do faturamento bruto da empresa, limitadas a R$ 50 milhões por infração.
- Bloqueio dos dados pessoais envolvidos na infração até a regularização da situação.
- Multa diária por descumprimento, cumulativamente até o limite de R$ 50 milhões.
- Aviso, com indicação de um prazo para a tomada de medidas corretivas.
- Suspensão do tratamento dos dados pessoais envolvidos na infração.
- Eliminação dos dados pessoais envolvidos na infração.
Essas penalidades só entrarão em vigor em agosto de 2021 e serão aplicadas diretamente pela ANPD.
E o tratamento de dados: o que significa?
O tratamento de dados pode ser entendido como qualquer procedimento que envolva o uso de dados, tais como coleta, classificação, processamento, armazenamento, compartilhamento, transferência, eliminação, etc.
Nesse sentido, a LGPD estabelece que existem três funções principais que são o controlador, o operador e o oficial.
O controlador tem a responsabilidade de determinar todas as políticas relevantes e aplicáveis sobre o tratamento de dados e também é responsável por criar as diretrizes que o operador deve executar. Ambos os papéis são chamados coletivamente de “agentes de tratamento”.
Em um caso prático, uma IES que coleta dados de seus alunos para fins administrativos ou marketing é considerada controladora. Caso esses dados sejam armazenados ou processadas na nuvem, o provedor de serviços é considerado um operador.
O oficial deve tentar criar uma lacuna entre o controlador, o titular ou sujeito dos dados e a autoridade governamental.
Qual a diferença entre dados pessoais e dados sensíveis?
No cerne de qualquer lei de proteção de dados está a definição atribuída a cada termo chave. Entre as mais importantes delas está a definição de «dados pessoais» e «dados sensíveis».
De acordo com o texto da LGPD, os dados pessoais são definidos de forma ampla, na medida em que abrangem qualquer informação relativa a qualquer pessoa física identificada ou identificável.
O principal atributo desta definição é que inclui dados identificáveis. Assim, a definição não apenas abrange dados que podem realmente identificar um indivíduo de forma independente, como nome ou número de documento, por exemplo, mas também inclui quaisquer dados que combinados a outros possam levar à identificação de uma pessoa.
Dado o rápido desenvolvimento de big data, sob esta definição de dados pessoais, efetivamente uma grande variedade de informações, como endereço, preferências e hábitos podem ser categorizados como dados pessoais.
A LGPD também inclui disposições adicionais especificamente aplicáveis a dados pessoais sensíveis que são considerados particularmente suscetíveis a práticas discriminatórias.
De acordo com o LGPD, quando relacionado a uma pessoa física, essa definição abarca dados pessoais relativos à origem racial ou étnica, crença religiosa, opinião política, associação sindical ou religiosa, filosófica ou política, saúde ou vida sexual e dados genéticos ou biométricos.
Dada a natureza delicada desses dados, eles só podem ser processados em circunstâncias limitadas enumeradas no Artigo 11 da lei.
O que muda para as IES no tratamento de dados?
O impacto da LGPD no ensino superior será profundo. De acordo com as novas regras, as IES se tornarão mais responsáveis pelos dados que possuem.
Como tal, elas precisam ter registros organizados de quais dados pessoais existem, bem como documentação explicando por que foram mantidos, como foram coletados, quem tem acesso a eles e quando serão removidos ou tornados anônimos.
Assim, é mais importante do que nunca que as IES garantam a adoção de medidas para manter as informações pessoais seguras. Em suma, os dados pessoais devem ser protegidos desde o início de seu ciclo de vida.
Sob o novo regulamento, o controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de qualquer incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Além disso, o consentimento para tratamento de dados pessoais precisa ser redefinido e refinado.
As IES agora devem ser capazes de evidenciar que o consentimento para usar as informações foi dado livremente, de forma inequívoca, para finalidade específica e previamente informada.
Assim, algumas práticas comuns em IES, como uso de rede Wi-Fi pública para coletar dados para fins de marketing, precisam ser revistas e adaptadas para garantir o cumprimento da lei.
Finalmente, o acesso a dados pessoais precisa ser restrito a colaboradores que realmente precisam dessas informações, como medida preventiva para evitar vazamentos.
Por isso, é fortemente recomendável que as IES invistam em iniciativas de digitalização de processos que garantam o acesso a dados pessoais mediante ao uso de credenciais (login e senha) para evitar que pessoas não autorizadas possam visualizar, editar, copiar ou compartilhar os dados pessoais.
Finalmente, quando utilizada soluções terceirizadas, como serviços em nuvem, é fundamental verificar junto ao prestador de serviços adota padrões de segurança suficientes para garantir a segurança de todos os dados.
Agora você já sabe um pouco mais sobre tratamento de dados sob as disposições da LGPD e como essa lei impacta as IES. Aproveite a oportunidade e descubra como gerir seus documentos digitais de forma eficaz!