Por Cristina Sleiman
Há tempos que se discute sobre a proteção de dados pessoais no âmbito jurídico, quais seriam as regras para coleta, armazenamento, tratamento, manuseio e transmissão de dados. Em agosto deste ano (2018) foi sancionada a lei de Proteção de Dados Pessoais, conhecida como LGPD. Para nós trata-se de um marco legal de grande impacto.
A Lei 13.709/2018 aplica-se à Instituições Privadas e Públicas, sobre dados pessoais coletados digitalmente ou manualmente, por pessoa natural ou pessoa jurídica e apresenta princípios, direitos e também obrigações, objetivando a proteção de direitos fundamentais de liberdade e de privacidade e livre desenvolvimento da personalidade da pessoa, devendo as instituições atentar-se com dedicação para adequação ao novo dispositivo legal.
Na pratica a lei é aplicada a toda e qualquer empresa, independente do ramo de atuação, portanto, as Instituições de ensino, sejam escolas ou universidades também precisam se adequar, sendo que, aquela que ainda não iniciou este processo, já encontra-se em atraso.
O Art. 3 da Lei apresenta as hipóteses de sua incidência, especificando o tratamento realizado em território nacional, atividade de tratamento que tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional e por fim quando os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
Importante Ressaltar que para fins da Lei, considera-se dado pessoal, informação relacionada a pessoa natural identificada ou identificável e dado pessoal sensível seriam aqueles de origem racial ou étnica, opinião política, convicção religiosa, filiação a sindicato ou a organização de caráter religioso filosófico ou político, dado referente à saúde ou a vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
O titular é a pessoa natural a quem se refere os dados e o controlador é a pessoa natural ou jurídica a quem compete as decisões referente ao tratamento de dados pessoais.
O tratamento de dados pessoais deverá observar a boa fé e princípios como da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e a responsabilização e prestação de contas.
As hipóteses para tratamento de dados pessoais estão elencadas no art. 7 da Lei, entre eles destaca-se a hipótese de consentimento pelo celular, cumprimento de obrigação legal ou regulatória pelo controlador, execução de contratos, também para o exercício regular de direitos em processo judicial, entre outros.
É importante destacar que diferente do que muitas práticas atuais, a LGPD formaliza a ideia de que o titular tem autonomia sobre o tratamento a ser aplicado aos seus próprios dados, no entanto, esta autonomia não é absoluta, uma vez que existe hipóteses excludentes do consentimento e que permitem o tratamento desses dados, como por exemplo, no caso de obrigação legal.
Além disso, a hipótese de execução de contrato é comumente aplicável a diversas situações, uma vez que para executar os serviços contratados diversos dados podem ser necessários, no entanto, ressalta-se neste momento o princípio da necessidade, cuja estabelece que devem ser coletados apenas os dados necessários para a finalidade informada ao titular.
Portanto, é fácil perceber a complexidade do processo de adequação, bem como a manutenção de um programa de privacidade.
No que concerne o consentimento, merece especial atenção o parágrafo 5º do art. 7º, cuja determina que se deve obter consentimento específico do titular para fins de compartilhamento de dados pessoais com outros controladores, sendo que toda autorização deverá ser específica para cada finalidade e as autorizações genéricas serão nulas.
Nos casos de mudança de finalidade no tratamento de dados pessoais, considerando as autorizações anteriormente concedidas, deverá o controlador (neste caso a Instituição de ensino) informar ao titular dos dados, de forma que este poderá revogar o consentimento anteriormente fornecido.
O tratamento de dados sensíveis é bem semelhante ao que deve ser dedicado aos dados pessoais.
Para as escolas de ensino fundamental e médio, é preciso atentar-se à seção III, art. 14 da respectiva Lei, cuja é dedicada ao tratamento de dados pessoais de crianças e adolescentes e por sua vez exige consentimento específico e em destaque por pelo menos um dos pais ou pelo responsável legal.
E neste sentido temos um impasse e particularmente, um deslise da Lei, cuja tem gerado muita discussão uma vez que se há uma obrigação legal para o tratamento, não haveria o que se falar em consentimento.
É provável que no futuro a ANPD – Autoridade Nacional de Proteção de Dados Pessoais se manifeste neste sentido.
Um erro muito comum na identificação das bases legais é no RH, algumas vezes orientados por escritórios de contabilidade e até memo advogados não especializados, se dá pela coleta do consentimento dos colaboradores de forma genérica para fins de contratação e prestação de serviços. Este entendimento está errado, uma vez que na maioria dos casos, aplica-se exigência legal, execução de contrato e exercício regular de direitos. Até mesmo no processo de recrutamento e seleção, uma vez que aqui, temos uma fase pré-contratual.
Percebam que as medidas preventivas para proteção de dados pessoais é prevenção de responsabilidade legal, sendo necessário um plano e ação e adequação imediato para as escolas que ainda não iniciaram este processo.
Destaca-se a necessidade de atualização do contrato de matrícula com clausulas especificas sobre coleta, armazenamento e tratamento de dados pessoais.
Tão importante quanto tudo que foi mencionado até este momento, é a Segurança da Informação. Trata-se de recursos técnicos e administrativos necessários, assim como sensibilização e capacitação para questões comportamentais. Desta feita, se faz essencial estabelecer uma campanha de Sensibilização e capacitação de todos os colaboradores.
À título de informação o art. 46 dispões sobre a segurança e sigilo de dados e traz a obrigação em adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Lembrando que na sociedade digital todos estamos expostos e vulneráveis à incidentes, é primordial que as instituições de ensino, percebam a Segurança da Informação como sustentação do próprio negócio, pois todas as informações, independente de serem dados pessoais, devem passar por um processo de identificação e análise para determinar o nível de proteção a ser aplicado.
No que concerne à Dados Pessoais, será necessário aplicar os preceitos da gestão de risco, cuja está vinculado diretamente à requisitos da LGPD, como por exemplo a elaboração do DPIA /RIPD (Relatório de Impacto à Proteção de Dados Pessoais), documento formal que detalha o tratamento e auxilia na análise para tomada de decisão e mitigação de riscos.
Deverá também ser indicado um encarregado (DPO – Data Protection Officer) pelo tratamento de dados pessoais, cuja terá por função receber reclamações do titular, receber comunicações de autoridades e adotar providencias, orientar os envolvidos como qualquer colaborador, emitir opinião sobre os tratamentos, analisar os DPIAs e demais relatórios existentes, processos, etc. O DPO representa a Instituição no quesito Privacidade. Mas a ANPD está em eminencia de regulamentar a exceção desta função para pequenas e microempresas, o que pode representar uma economia empresarial, mas um risco elevado de não adequação, afinal, a dispensa do DPO não representa isenção de adequação aos demais requisitos da Lei.
O Art. 42 traz o dever de indenizar no caso de dano causado no exercício de atividade de tratamento de dados, o que por sua vez, independente de legislação específica, já ocorria por previsão do próprio Código Civil. Portanto, fique atento, pois além das sanções administrativas que podem chegar à 2% do faturamento do ano anterior (no limite de 50 milhões de reais), a matéria é passível de judicialização.
Por fim, muito embora não seja possível comentar aqui todos os pontos da Lei, cabe esclarecer quem são os agentes de proteção de dados pessoais, mencionados pela Lei, portanto, Controlador e Operador. O primeiro (Controlador) é o agente que tem autonomia no tratamento de dados pessoais, é aquele que decide sobre o tratamento e o segundo (Operador) é o agente que trata os dados em nome do controlador, mas não se aplica aos colaboradores internos e sim aos terceirizados, sejam pessoa física ou jurídica. No caso, as Instituições de Ensino, na maioria dos casos enquadra-se como agente Controlador.
Dra. Cristina Sleiman é advogada, pedagoga, mestre em Sistemas Eletrônicos, defensora da necessidade de educar crianças, jovens e adultos para uso ético seguro e legal dos recursos tecnológicos. Especializada em atendimento em Direito Digital e Privacidade. DPO as a service. Ex-presidente da Comissão Especial de Educação Digital e Ex Vice Presidente da Comissão Especial de Direito Digital e Compliance da OAB SP.