Artigo escrito por Patricia Peck Pinheiro, advogada especialista em Direito Digital, Propriedade Intelectual, Proteção de Dados e Cibersegurança
Na era digital, onde a informação é um dos ativos mais valiosos de que dispomos, a proteção de dados é mais que uma prioridade. Não por acaso, surgem em diversos países do mundo novas leis para regulamentar o uso e o tratamento desses bens. Um dos principais exemplos é o General Data Protection Regulation (GDPR), resolução em vigor desde 2018, na União Europeia, e propulsora da criação da Lei Geral de Proteção de Dados (LGPD) no Brasil.
Essas legislações são meios de aprimorar a governança dos dados pessoais pelas empresas, órgãos públicos e demais instituições, num conjunto de melhores práticas. Indispensável para garantir a sustentabilidade da sociedade digital. Desta maneira, diversas organizações, do setor público e privado, serão obrigadas a se adequar para atender às diretrizes da LGPD. As alterações partem das hipóteses de tratamento de dados, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade — base no princípio da transparência.
O objetivo é conceder maior controle e poder de gestão ao titular sobre seus próprios dados pessoais. Ou seja, conforme determina o art. 6º, para usuários ou clientes de uma determinada instituição, sempre deve haver ciência, de forma clara, precisa e acessível, sobre os procedimentos pelos quais seus dados pessoais passarão ao serem tratados. Desde as formas de captura pelas quais essas informações entram nas instituições, onde ficam armazenadas, para quais finalidades, quais os controles aplicados, se há compartilhamento com terceiros — mesmo que sejam integrantes do mesmo grupo —, se há internacionalização (comum no uso de serviços de cloud), até como é feita a sua eliminação, que deverá tender a padrões de descarte seguro.
Escolas, universidades e instituições de ensino e pesquisa não ficam de fora e precisarão passar por regulações. Mas, vale destacar: para as instituições de ensino e pesquisa, há as exceções que devem ser consideradas. As ressalvas estão presentes no art. 4º, que esmiuça os casos em que a lei não se aplica no tratamento de dados pessoais. Para fins acadêmicos, o que vale é a hipótese dos art. 7º, IV e art. 11, II, c), que define que o tratamento de dados pessoais, com destaque para informações sensíveis, somente poderá ser realizado para estudos por órgão de pesquisa, mantendo, sempre que possível, o anonimato dos dados pessoais.
Ainda sobre as instituições de ensino, é relevante mencionar o art. 13, II, que trata da responsabilidade pela segurança da informação, no caso de pesquisa de dados em saúde pública, bem como a possibilidade de conservação dos dados pelos órgãos de pesquisa nos termos do art. 16 da LGPD. Segundo o trecho da lei, os dados poderão ser mantidos para a finalidade de estudo por órgãos de pesquisa.
Em decorrência das novas regras trazidas pela LGPD, essas organizações precisam implementar um programa de aderência à legislação, incluindo a confecção de políticas internas, revisão de documentos e treinamentos, em uma jornada para garantir seu compliance.
Qual o caminho para estar dentro da lei?
Especificamente para instituições de ensino e pesquisa, o primeiro passo para se adequar à LGPD é fazer um levantamento para identificar onde estão depositados os dados pessoais e sensíveis de todos os envolvidos: alunos, pais, pesquisadores e colaboradores.
Depois, é hora de verificar se há vulnerabilidade de segurança. Ou seja, se eles podem ser facilmente acessados, violados e vazados. Vale dedicar especial atenção aos procedimentos internos de coleta e tratamento de dados pessoais, especialmente os mais sensíveis, conforme disposição legal. Assim, as áreas de potencial criticidade dentro da operação da instituição são identificadas.
Com as informações em mãos, é preciso fazer uma análise de cenário, riscos e ações necessárias para adequação. Nessa etapa, a instituição avalia como está a aplicação de controles como governança de proteção de dados, gestão de dados pessoais, segurança da informação, gestão de riscos, gestão de dados pessoais em terceiros e gestão de incidentes. Além disso, confere se há transmissão interna, externa e compartilhamento de dados, a quantidade de empresas com que são feitas essas trocas, se há e com quantos países é feita essa transferência internacional, o volume dos dados, entre outros. Tudo para mensurar a gestão de risco e incidentes e garantir uma melhor governança dos dados.
Essa análise de vulnerabilidades será essencial para criar um plano de ação, com iniciativas que deverão reduzir os riscos mapeados e aprimorar a gestão dos dados pessoais. Bons exemplos dessas ações podem ser treinamentos de equipes sobre Segurança da Informação, procedimentos de legitimação da coleta e gestão do consentimento para tratamento de dados pessoais, gestão de identidades na rede, melhores práticas e ferramentas para controle de acesso.
Também baseado na LGPD, é importante que as instituições criem normas de proteção de dados pessoais para seguirem como política interna. São princípios e delimitações para guiar o fluxo das informações, desde a definição do que é dado pessoal e sensível, quais dados serão coletados, como serão processados e qual para finalidade, as funções dos encarregados responsáveis, até as medidas de segurança e processos para mitigação de riscos.
Após definir essas diretrizes, o banco de dados com informações pessoais que a empresa possuir deverá ser revisado, mesmo que esteja formado por materiais coletados antes da vigência da lei. Para que possam ser usadas, essas informações deverão ser legitimadas e se enquadrarem em uma das hipóteses previstas na LGPD.
Com a lei, empresas e organizações não podem mais guardar dados pessoais indefinidamente, somente enquanto eles forem imprescindíveis para cumprir os objetivos legítimos do tratamento. Dessa forma, é preciso estabelecer prazos para o armazenamento de cada categoria de dados pessoais, difundir o vencimento desse uso entre os colaboradores e fiscalizar seu efetivo cumprimento.
Consoante o princípio da segurança, devem ser utilizadas medidas técnicas e organizacionais efetivas para a proteção dos dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, como a adoção de criptografia para armazenamento e transmissão de dados pessoais e a assinatura de Acordos de Confidencialidade específicos para o processamento de dados pessoais, por parte de todos os colaboradores e terceiros envolvidos na coleta, uso, armazenamento, transferência e eliminação desses dados pessoais.
É importante saber: por ser uma regulamentação híbrida, a LGPD exige conhecimentos multidisciplinares, tanto técnicos, relacionados à governança de dados e de segurança da informação, quanto jurídicos, para definir as prioridades, realizar a atualização documental e apoiar na resposta a incidentes.
Além da LGPD, existem outras leis que orientam a segurança jurídica das atividades em um ambiente de ensino e pesquisa. São elas:
• Código Civil – Lei nº 10.406/2002
• Código de Defesa do Consumidor – Lei nº 8.078/1990
• Constituição da República Federativa do Brasil (CF)
• Marco Civil da Internet – Lei nº 12.965 de 2014
• Regulamentação do Marco Civil da Internet – Decreto nº 8.771 de 2016
• Lei de Informatica – Lei 11.077/04; 10.176/01 e 8248/91
• Consolidação das Leis do Trabalho (CLT) – Decreto-Lei nº 5.452/1943
• Lei de incentivo a pesquisa e desenvolvimento em eficiência energética – Lei 9.991/00
• Lei do Bem – Lei 11.196/05
• Lei de importações de bens destinados à pesquisa científica e tecnológica – Lei 8.010/90
• Lei das Organizações da Sociedade Civil de Interesse Público (OSCIP) – Lei 9.790/99
Mais do que princípios, a LGPD trouxe uma mudança de cultura nas organizações, agregando maior responsabilidade no trato com dados pessoais. Isso porque a utilização ou forma de processamento indevido desses dados pode gerar graves danos às pessoas físicas a quem essas informações pertencem.
Não há outra saída senão se preparar para esse novo cenário, com o cumprimento das definições. Portanto, é muito importante estar em linha com o tratamento e o armazenamento adequados das informações dos titulares, e estar pronto para atender às solicitações deles, caso os solicitem, dentro do prazo de até 15 dias. Até porque quem não estiver alinhado sofrerá advertências e multas pesadas. Além disso, o ambiente educacional e de pesquisa precisa ser exemplo de cumprimento dos direitos humanos e de conformidade com as leis.
Quer saber mais sobre?
A Escola Superior de Redes (ESR) está com turmas abertas para quem quer aprender sobre LGPD na Prática. Anote na agenda: a próxima turma aberta já tem data para começar as aulas à distância, dia 22/6. Ficou interessado? Mais informações e matrículas aqui. Para saber mais sobre esse e outros cursos, acesse o calendário da instituição.