A responsabilidade das instituições de ensino em relação aos dados pessoais, as mudanças nas rotinas escolares e as aplicações de penalidades em razão da não adequação à Lei Geral de Proteção de Dados Pessoais (LGPD) foram alguns dos destaques da fala do advogado especializado na área de Direito Educacional, consultor e assessor jurídico de escolas particulares de Porto Alegre/RS, Luciano Escobar, no 17º encontro online do SINEPE/RS, da sexta-feira (11).

No dia 26 de agosto, o Senado Federal rejeitou o texto da Medida Provisória que adiava a vigência da Lei Geral de Proteção de Dados Pessoais (LGPD) para o dia 3 de maio de 2021. Com isso, a Lei passa a ter vigência imediata e não há mais justificativa para que as empresas que tratam dados pessoais, o que inclui as instituições de ensino, não busquem adequação às novas regras.

A lei regulamenta o uso de dados pessoais, a fim de garantir proteção e transparência aos titulares desses dados, sejam eles alunos, pais, responsáveis legais ou colaboradores. “Quem não deu atenção a isso até agora, tem um problema importante para resolver”, alertou o advogado.

O processo de adequação poderá auxiliar as escolas no trabalho pedagógico e de gestão, mas exigirá mudanças culturais, organizacionais e de segurança dos dados. Será preciso revisar cada um dos setores e processos da escola, entender os dados pessoais envolvidos, como eles são tratados e armazenados, para então fazer o tratamento de acordo com as permissões legais estabelecidas pela LGPD e garantir o grau de segurança necessário para evitar que ocorram incidentes.

Confira a entrevista com o especialista:

SINEPE/RS – O que muda com a nova lei?

Luciano Escobar – Muda a forma e a responsabilidade de como as empresas se relacionam com os dados daquelas pessoas necessárias ao seu negócio. Mudará a compreensão de que dado pessoal não é um ativo da empresa, mas da própria pessoa, algo ligado à sua intimidade e privacidade e, portanto, que compõe os seus direitos de personalidade. A pessoa tomará consciência de que dados que a identificam ou a tornam identificável são “seus dados pessoais” e, se a ela pertencem, somente podem ser utilizados/tratados, nos estritos limites autorizados pela LGPD.

Numa linguagem mais simples, a partir da vigência da LGPD, todo titular de dados pessoais terá o direito de, no mínimo, ter conhecimento se uma empresa detém algum dado pessoal seu, como o obteve, para que o usa, e qual a justificativa para isso, se o compartilha com outra empresa, bem como quais medidas de segurança são aplicadas para a salvaguarda daquele dado ou conjunto de dados pessoais (caso haja o tratamento justo e lícito daquele dado pessoal), além de uma série de outros direitos estabelecidos na própria Lei.

Caso a empresa não possua uma justificativa justa e lícita (de acordo com a LGPD) para possuir e usar aquele dado pessoal, ela poderá sofrer penalizações tanto na esfera administrativa – advertências, multas, assinatura de termos de compromisso, que poderão ser aplicáveis, inclusive cumulativamente, por PROCON, Ministério Público e ANPD (Autoridade Nacional de Proteção de Dados) –, como na esfera judicial, em ações indenizatórias.

A responsabilidade das empresas não se limita ao tratamento de dados de clientes ou consumidores, mas aos dados de todos os colaboradores e de terceiros necessários ao seu negócio. Assim, é necessário adequar todos os processos dos diversos setores da empresa que direta ou indiretamente tratem dados pessoais, como RH, Financeiro, Contratação de Fornecedores e Prestadores de Serviço, Terceirizados.

O tratamento de dado pessoal é qualquer uma das operações que envolva: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Somente pode ocorrer tratamento de dado pessoal numa das seguintes hipóteses: com o consentimento pelo titular; para o cumprimento de obrigação legal ou regulatória; pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis; realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; quando necessário para a execução de contrato; para o exercício regular de direitos em processo judicial, administrativo ou arbitral; para a proteção da vida ou da incolumidade física do titular ou de terceiro; para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; quando necessário para atender aos interesses legítimos do controlador ou de terceiro e para a proteção do crédito.

SINEPE/RS – O que muda com a nova lei na rotina das escolas?

Luciano Escobar – As escolas precisarão adequar seus processos ao uso justo e lícito de dados pessoais, como toda e qualquer empresa, conforme estabelece a LGPD. Isso significa ajustar os processos de seus diferentes setores – Financeiro, Secretaria, RH, Pedagógico – e aplicar a todos os mecanismos de segurança necessários. Mas a principal mudança em suas rotinas está na consciência de que o tratamento dos dados pessoais de crianças (até 12 anos) precisará do consentimento específico e em destaque de pelo menos um dos pais ou responsável legal.

Isso exigirá da escola o conhecimento de todos os dados pessoais de crianças e adolescentes que possui e o porquê, conhecimento dos parceiros com quem esses dados pessoais são compartilhados (empresas que auxiliam no processo de escolarização e de ensino/aprendizagem por meio de ferramentas próprias), e identificação do nível de adequação à LGPD que eles se encontram. Além disso, pais e responsáveis devem estar cientes dessas informações e consentirem seu uso nas situações em que for necessário. Outra provável mudança na rotina das escolas serão os questionamentos dos pais dos estudantes sobre quais dados pessoais elas possuem e se o seu uso está de acordo com o que a Lei Geral de Proteção de Dados estabelece.

A escola que encerrou o ano de 2019 sem qualquer providência que demonstrasse um mínimo de preocupação com a adequação à LGPD está com um grande problema, porque o mercado cobrará isso, já que hoje a adequação é um diferencial competitivo. É preciso entender que a LGPD não é um problema em si, mas a oportunidade de uma mudança cultural e estrutural, para melhorar o funcionamento das próprias escolas, que poderão maximizar seu potencial organizacional e pedagógico.

Será possível rever o modo de pensar a respeito da forma de utilização e de disponibilização dos dados pessoais tratados por uma escola ao olhar para dentro de cada um dos seus processos, identificar os dados pessoais neles existentes e qual o tratamento aplicado a cada um (lembrando que possuir um dado pessoal já é uma das hipóteses de tratamento). A partir disso, alinhar esses processos sob o aspecto legal e ajustá-los às hipóteses previstas na LGPDP que autorizam o seu tratamento. É necessário dar atenção ao aspecto da segurança dos dados pessoais, ou seja, verificar as adequações não só às normas regulamentadoras (ISOS), com ajuste dos controles devidos para proteger o dado pessoal de uso indevido ou desautorizado, mas principalmente, reeducando colaboradores e parceiros a respeito.

SINEPE/RS – Quais dados e informações dos alunos devem ser protegidos, a partir da nova lei?

Luciano Escobar – Essa é uma pergunta importante. Todos os dados e informações dos alunos devem ser protegidos, já que se trata de uma questão de compromisso e dever legal à luz de outras normas como o próprio Estatuto da Criança e do Adolescente, o Código de Defesa do Consumidor e o Código Civil. O simples fato de se estar diante de dados e informações de crianças e adolescentes já impõe o dever de guarda e sigilo.

Porém, somente a partir do momento em que os dados e informações começarem a ser mapeados será possível dizer quais deles devem ser protegidos, de que forma e em que nível. A respeito do que seja dado pessoal, é preciso ter claro que a LGPD adota um conceito expansionista, definindo-o como aquele que torna a pessoa identificada ou identificável. E a expressão “identificável” abre um universo de possibilidades, porque não exige a certeza acerca da pessoa, mas a possibilidade/probabilidade de ser a pessoa.

Um exemplo clássico é o número de matrícula. Ele por si só, jogado ao vento, não tem a possibilidade de identificar um aluno, é o que se poderia chamar de dado anônimo. Mas se esse número de matrícula for vinculado corretamente a determinada escola, ele possibilitará a identificação de um único aluno, e passa, então, a se tornar um dado pessoal. Isso sem contar e-mails, números de telefones celulares, endereços residenciais, religião, raça, dados de saúde (estes três últimos classificados como dados sensíveis). A depender de como os vemos, podem não significar dados pessoais, mas quando aplicamos algum esforço de combinação, podemos chegar à probabilidade muito grande de identificar um aluno.

SINEPE/RS – Quais são os direitos adquiridos pelo cidadão através desta lei?

Luciano Escobar – Basicamente os direitos dos cidadãos (Titulares de Dados) são:

1. Confirmação da existência de tratamento;
2. Acesso aos dados tratados;
3. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados ilicitamente;
4. Correção dos dados incompletos, inexatos ou imprecisos;
5. Eliminação dos dados pessoais;
6. Portabilidade dos dados;
7. Informação das entidades com as quais o controlador realizou ou realiza uso compartilhado dos dados;
8. Revogação do consentimento a qualquer tempo, quando a base legal de tratamento for o consentimento;
9. Reclamação à Autoridade Nacional;
10. Oposição ao tratamento, se irregular.

SINEPE/RS – Quem será responsável pela fiscalização da lei? Foi criado algum órgão?

Luciano Escobar – A fiscalização da Lei será exercida pela Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal, integrante da Presidência da República, cuja natureza jurídica é transitória e poderá ser transformada pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República.

A ANPD já foi criada, o que significa dizer que já existe a sua estruturação jurídica, mas seus cargos ainda não foram nomeados e preenchidos. No entanto, apesar da existência da ANPD e de sua função regulatória e fiscalizatória, nada impedirá que outros órgãos públicos – como o Ministério Público e o Procon – fiscalizem o cumprimento das disposições da LGPDP no âmbito de suas competências. O que significa dizer que poderá ocorrer para uma mesma infração diversos procedimentos administrativos e judiciais aplicadospor todos estes órgãos.

SINEPE/RS – Em relação às crianças, quem responde pelo fornecimento dos dados?

Luciano Escobar – A responsabilidade pelo fornecimento dos dados de crianças é dos seus responsáveis legais, ao menos um deles (pais ou outro responsável legal). Ao fornecerem os dados, o seu consentimento deverá ser específico e em destaque para que possa haver qualquer espécie de tratamento, salvo quando a coleta de dados pessoais de crianças for necessária para contatar os seus responsáveis ou para sua proteção. Além disso, os controladores, neste caso, a escola, deverão manter pública a informação sobre os tipos de dados coletados (que lhes foram fornecidos), a forma de sua utilização e os procedimentos para o exercício dos titulares dos dados pessoais.

SINEPE/RS – Segundo a lei, cada empresa ou entidade que responde judicialmente deve possuir um “encarregado”. Qual a função desta pessoa?

Luciano Escobar – A LGPDP define a figura do “encarregado”, que na Europa é chamado de DPO (Data Protection Officer), como aquele que tem a função de aceitar as reclamações e comunicações dos titulares de dados pessoais, prestar esclarecimentos e receber comunicações da autoridade nacional, adotando providências, caso necessário; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Pela própria LGPD, a ANPD poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, bem como dispensar a necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. Então, ainda não se pode afirmar que toda a empresa deverá ter um encarregado, no que diz respeito ao cumprimento de um requisito legal. Contudo, em nossa opinião, a figura do encarregado é indispensável ao processo de adequação de uma empresa, como líder e referencial desse projeto. Importante destacar que a identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.

SINEPE/RS – Após a lei entrar em vigor, empresas e demais entidades precisam de permissão para continuar acessando os dados pessoais dos usuários?

Luciano Escobar – Nem sempre. Permissão me remete à ideia de consentimento, que é uma das possibilidades legais para tratamento de dados. Então, todo aquele tratamento de dado que conforme a Lei exige o consentimento, será preciso ter a “permissão” ou renovação do consentimento para que o uso daquele dado continue sendo considerado lícito. Aqueles dados em que o consentimento (ou a permissão) não são a sua permissão legal de tratamento poderão continuar sendo utilizados (ou acessados), mas isso não significará que as empresas não precisarão dar conhecimento aos titulares desses dados do tratamento que realizam. É neste momento que se separará as boas das más empresas. Aquelas que obtiveram os dados de forma lícita e as que se apropriam de dados pessoais de forma indevida/ilegal.

De outro lado, os dados já tratados, anteriormente à vigência da LGPD, e que precisam ser adequados a ela, são comumente chamados de legado, e que particularmente gosto de chamar de “O Monstro do Armário”.

A LGPD determina a necessidade de adequação das empresas àquilo que ela estabelece, especialmente no que diz respeito à licitude do tratamento de dados e à segurança dada a esse tratamento, sob o aspecto da proteção dos dados pessoais, contra seu uso indevido (seja sob a hipótese de vazamento, captura, sequestro, ou falha de segurança). O legado, então, é composto de todos os dados antigos (ou anteriores à LGPD) mantidos pela empresa, o que exige o levantamento e a análise para que se verifique quais dados poderão ser armazenados e quais deverão ser eliminados. Os dados que não serão mais tratados, deverão ser eliminados, na medida que isso for possível (MEDIANTE REGISTRO DOCUMENTAL).

Serão dois tipos de grupos de dados pessoais, os que precisam de consentimento e os que podem ser mantidos dentro de alguma das exceções de consentimento, ou seja, de acordo com as outras nove possibilidades de tratamento.

SINEPE/RS – Qual é a polêmica que envolve a vigência da medida?

Luciano Escobar – A Lei Geral de Proteção de Dados Pessoais estava pronta para sua vigência plena em 16 de agosto de 2020. Mas em 1º de abril, a MP n.º 959 adiou sua vigência para 3 de maio de 2021. Como uma MP tem vida curta, apenas 60 dias, o texto precisa ser aprovado dentro desse período pelo Senado Federal e pela Câmara dos Deputados, para então ser encaminhado com ou sem modificações ao Presidente da República, que o sanciona ou veta. Sancionado o texto, ele passa a ser lei e aquilo que a MP modifica passa a ser definitivo.

Nesse processo de tramitação e aprovação de uma MP, a “última palavra” é do Senado Federal, que, neste caso, em 26/08/2020 entendeu não ser mais pertinente adiar a vigência da LGPD, enão aprovou o texto da Medida Provisória. Para alguns juristas, essa situação fez com que os efeitos da MP cessassem imediatamente e a LGPD passasse a ter vigência plena retroativa, desde 16/08/2020; e para outros, os efeitos da MP se mantêm até a sanção presidencial, o que deve ocorrer aproximadamente até 17/09/2020, para então a LGPD passar a ter sua vigência plena.

Essa é uma discussão jurídico-legislativa, muito técnica, que não interfere no que de fato importa: todas as pessoas jurídicas e físicas que tratam ou coletam dados pessoais no território nacional ou ainda com a finalidade de oferecer bem ou serviço, deveriam ter se adequado à LGPD até a data limite de 16/08/2020, pois esse pequeno período de prorrogação não é tempo suficiente para fazer aquilo que a própria lei conferia o prazo de dois anos: a adequação às possibilidades legais de tratamento de dados pessoais.

 

Acompanhe os principais conteúdos da educação também nas redes sociais. Assine nossa newsletter (formulário no rodapé da página) e se inscreva na TV SINEPE/RS no Youtube.