A Lei Geral de Proteção de Dados (LGPD) regulamenta como os dados pessoais dos usuários e clientes são tratados pelas empresas públicas e privadas. O seu principal objetivo é proteger essas informações.
A Lei foi aprovada em 2018 e sancionada mais recentemente, começando a valer no dia 18 de setembro 2020. A partir de sua vigência, a coleta e tratamento de dados pessoais passaram a contar com regras mais específicas e bem definidas.
Esse foi um avanço para garantir uma maior proteção aos titulares dos dados pessoais, mas representa uma série de novas obrigações para qualquer organização que realize operações com estes dados, incluindo as instituições de educação superior (IES).
Pensando nisso, preparamos o presente texto. Nosso intuito, aqui, é apresentar uma série de conceitos fundamentais trazidos pela LGPD na prática, além de apresentar orientações práticas para adequar-se à nova lei.
Caso sua instituição consiga lidar bem com a nova legislação, é possível não apenas evitar eventuais sanções que ela prevê, mas ir muito além. Construindo uma boa política de tratamento e proteção de dados, sua IES dá o primeiro passo em direção à inovação tecnológica que pode alavancar seus resultados acadêmicos e financeiros.
Tenha uma boa leitura!
O que é a LGPD?
A Lei Geral de Proteção de Dados (LGPD), também conhecida como a Lei nº 13.709, de 14 de agosto de 2018, é uma das principais normas brasileiras que regulamenta o tratamento de dados pessoais.
As regras estabelecidas por essa lei procuram responder a uma série de perguntas que já fazem parte de nossa rotina. A título de exemplo, podemos mencionar:
- O que as empresas podem fazer com meus dados pessoais?
- O que acontece quando ocorre um vazamento de dados?
- Quem é o órgão responsável por fiscalizar o tratamento de dados?
Para entender melhor o escopo e objetivo da LGPD, vamos observar seu primeiro artigo:
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios.
Como podemos observar da norma acima, a LGPD vem também para assegurar alguns direitos fundamentais protegidos pela Constituição Federal de 1988. Esse é mais um aspecto de sua importância.
Leia também: Saiba o que é e como usar Learning Analytics em sua IES
Quais são os princípios da LGPD?
A LGPD possui 10 princípios, criados com a finalidade de direcionar as normas de proteção de dados de acordo com parâmetros internacionais. Ensinar esses princípios e explicá-los à equipe da sua IES, até que sejam internalizados, tornará a adequação mais leve e intuitiva.
Conheça os 10 princípios da LGPD:
- Finalidade;
- Adequação;
- Necessidade;
- Livre acesso;
- Qualidade;
- Transparência;
- Segurança;
- Prevenção;
- Não discriminação;
- Responsabilização.
1. Finalidade
Todos os tratamentos de dados devem ser feitos única e exclusivamente para finalidades específicas, legítimas e explicitamente informadas ao titular dos dados.
2. Adequação
O tratamento dos dados deve ser adequado às finalidades que foram informadas ao titular.
3. Necessidade
O tratamento de dados deve ser feito na mínima medida possível, dentro do necessário para atingir os propósitos autorizados pelo titular. Portanto, os dados usados devem ser estritamente necessários e proporcionais.
4. Livre acesso
Deve ser gratuito e fácil acessar todos os dados armazenados, assim como as informações pertinentes sobre de que forma e por quanto tempo eles foram ou serão tratados.
5. Qualidade
Aos titulares deve ser garantido o correto cumprimento do objetivo do tratamento dos dados, por meio da garantia da qualidade destes dados. Portanto, os dados devem ser exatos, claros, relevantes e atualizados.
6. Transparência
Os titulares precisam dispor de informação clara, correta e acessível sobre o tratamento de seus dados.
7. Segurança
É muito importante que todos os dados pessoais tratados pela IES sejam protegidos contra acessos não autorizados, acidentais, incidentais, ilegítimos ou ilícitos.
8. Prevenção
Devem ser adotadas providências que garantam a redução do risco de danos advindos dos tratamento de dados.
9. Não Discriminação
É vedada a utilização dos dados pessoais para fins discriminatórios.
10. Responsabilização
As IES, assim como qualquer órgão ou empresa, podem ser responsabilizadas e cobradas pela implementação da LGPD. Portanto, elas devem estar aptas a provar que estão adotando medidas próprias para o cumprimento das normas.
Como a LGPD pode impactar sua IES?
As instituições de educação superior, assim como qualquer organização, pública ou privada, lidam diariamente com dados pessoais. Não só dos alunos, mas de professores, coordenadores e de todas as pessoas que integram o funcionamento da IES.
Matrículas de alunos, contratação de funcionários e pesquisas realizadas pela instituição são alguns exemplos de processos que envolvem coleta, armazenamento e tratamento de dados pessoais. Até a edição da LGPD, não existia um regulamento muito nítido para nos orientar e executá-los da maneira correta.
Agora, existem uma série de regras para garantir a proteção destes dados. Não se pode coletar dados pessoais de forma indiscriminada, e muito menos compartilhá-los com terceiros ou efetuar seu tratamento sem que sejam observadas as diretrizes da LGPD na prática.
Por isso, é imprescindível que sua IES realize sua adequação à Lei Geral de Proteção de Dados. Isso significa que todos os processos devem ser adaptados para obedecer à nova norma e evitar, assim, quaisquer problemas jurídicos, como aplicação de sanções.
Para realizar a adequação à LGPD na prática, é fundamental contar com uma equipe especializada de profissionais do Direito. No entanto, o primeiro passo é se informar melhor sobre os conceitos apresentados pela lei.
Por isso, vamos apresentar, a seguir, quatro definições básicas sobre proteção de dados:
- Dados pessoais;
- Dados pessoais sensíveis;
- Consentimento;
- Tratamento de dados.
O que são dados pessoais?
Dados pessoais são informações relacionadas à pessoa natural identificada ou identificável, nos termos do art. 5º, inciso I da LGPD. Em outras palavras, são informações que identificam alguém, ou que possibilitam sua identificação.
Vamos explicar melhor este conceito a partir de um exemplo clássico: o CPF.
O Cadastro de Pessoas Físicas, como indica seu nome, é o dado responsável por registrar as pessoas naturais no Brasil. Como existe um único CPF para cada pessoa, ele é um dado que efetivamente as identifica, e por isso é considerado um dado pessoal.
Quando falamos de outras espécies de dados, como o nome, essa situação fica um pouco diferente. Isso porque existem os chamados homônimos: é bem comum que duas pessoas diferentes tenham o mesmo nome.
Assim, cabe indagar: o nome é considerado dado pessoal?
Depende do contexto. Com os recursos tecnológicos que existem atualmente, é possível usar programas de computador para relacionar e analisar dados. Assim, se o nome for conjugado com outras informações eventualmente disponíveis, como nome da mãe e data de nascimento, pode ser possível identificar alguém a partir desse tratamento de dados.
O que são dados pessoais sensíveis?
Os dados pessoais sensíveis, por sua vez, são uma espécie de dados pessoais. Eles informam, por natureza, características delicadas sobre as pessoas, que podem acarretar situações ilícitas de disrminação. Por isso, recebem uma proteção maior pela lei.
Confira, abaixo, a definição contida na LGPD, em seu art. 5º, inciso II:
“II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;”
Você pode observar, no trecho acima, que a legislação traz uma verdadeira lista de dados pessoais sensíveis. Importa ressaltar que se trata de uma lista aberta (rol exemplificativo). Ou seja, o inciso não exaure os tipos de dados pessoais sensíveis.
Confira, abaixo, alguns exemplos:
- Prontuário médico e informações declarados no plano de saúde;
- Impressão digital;
- Fichas de cadastro em organizações religiosas, dentre outros.
Veja também: entrevista com especialista sobre a aplicação da LGPD no âmbito das IES
O que é tratamento de dados?
Agora que já sabemos o que são dados pessoais e dados pessoais sensíveis, vamos definir seu tratamento. O conceito é encontrado também no art. 5º da LGPD, em seu inciso X:
“X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;”
Como é possível perceber, uma série de operações é compreendida enquanto tratamento de dados. É uma definição importantíssima nos tempos atuais, em vista de nosso contexto tecnológico.
Vamos explicar o porquê dessa importância. Existe, hoje em dia, uma quantidade estratosférica de informações no ambiente virtual, armazenada em grandes bancos de dados — noção também conhecida como Big Data.
Existem, também, programas de computador responsáveis por organizar e interpretar esse volume massivo de dados.
Apesar de haver riscos inerentes ao tratamento indevido de nossos dados, é possível extrair grandes benefícios se a tecnologia for utilizada de maneira correta. Vamos dar dois exemplos de como isso pode acontecer, um na área da saúde e outro na área da educação.
Tratamento de dados médicos
Imagine que os dados médicos de todos os brasileiros foram digitalizados, e estão presentes em um banco de dados governamental seguro. Histórico de doenças, tratamentos e medicamentos utilizados por milhões de pacientes: tudo isso é analisado por um programa de computador.
Por um lado, esse cenário pode causar certo receio. Informações médicas são dados pessoais sensíveis e podem acabar nos prejudicando se caírem nas mãos erradas.
Por outro lado, se os dados forem anonimizados e protegidos, seu tratamento pode representar um desenvolvimento sem precedentes na medicina.
Softwares são capazes de processar um volume de informação que um único médico, ou mesmo uma comunidade de médicos, seria incapaz de analisar durante toda uma vida. A partir desse tratamento, pode ser que a tecnologia descubra origens de doenças e curas que não seriam alcançadas de outra forma.
Tratamento de dados educacionais
De forma semelhante, o tratamento de dados educacionais pode representar um grande desenvolvimento nas IES e em toda a educação brasileira.
Vamos pensar primeiro de forma mais localizada, no interior de sua instituição de educação.
Ao armazenar e tratar os dados de seus alunos, é possível levantar um verdadeiro diagnóstico sobre eventuais problemas, de forma semelhante aos dados médicos. É possível utilizar a tecnologia para cruzar várias informações, como desempenho nas avaliações, frequência nas aulas e acesso aos conteúdos digitais.
Ao confrontar essas informações, a IES consegue identificar a raiz de alguns problemas, como notas baixas nas provas ou taxa de evasão. A partir disso, é possível realizar uma gestão acadêmica mais eficiente.
Pensando de forma mais ampla, em escala nacional, por exemplo, o tratamento de dados pode cruzar ainda mais informações. Conseguimos, assim, trabalhar de forma mais bem orientada para promover o desenvolvimento da educação brasileira.
O que é consentimento segundo a LGPD?
Por fim, o consentimento é outro termo crucial para promover uma boa política de proteção e tratamento de dados. Sua definição consta do art. 5º, inciso XII da LGPD:
“XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;”
Trata-se de uma das bases para evitar abusos relacionados aos dados pessoais, tão frequentes atualmente.
A premissa é simples: para viabilizar o tratamento de dados pessoais, o titular destes dados deve ser informado, de forma simples e precisa, sobre a finalidade específica do tratamento. Somente assim sua manifestação de vontade será válida.
Isso quer dizer que precisamos descomplicar a forma pela qual pedimos autorização dos titulares. A ideia é justamente o contrário dos longos, complexos e ilegíveis termos de consentimento que costumamos encontrar em alguns sites e programas.
Quais são os sujeitos da LGPD na prática?
Além de compreender o escopo de atuação da LGPD, e os termos básicos para seu funcionamento, precisamos também saber, de forma clara, quem são as pessoas a quem ela se relaciona e qual a parte de cada uma nesse processo. Afinal, não adianta entender o que a norma regulamenta sem entendermos quem será ou não atingido por ela.
Neste sentido, existem quatro atores que irão desempenhar papéis dentro dessa relação de uso e proteção de dados, além da própria Autoridade Nacional de Proteção de Dados (ANPD). Para melhor explicar quem é e o que faz cada um, iremos apresentá-los em seguida, em tópicos.
Titular dos dados
É a pessoa a quem os dados se referem, geralmente, serão os clientes nas relações comerciais, mas pode se tratar de outras pessoas, como sócios, funcionários, parceiros, etc. Por regra, as informações dessas pessoas devem ser coletadas após uma confirmação de consentimento, que garante que seus dados podem ser utilizados.
Mesmo após o tratamento de seus dados, o titular tem uma série de direitos quanto a eles. São os seguintes:
- Confirmação da existência de tratamento;
- Acesso aos dados;
- Ajuste dos dados desatualizados, incompletos ou inexatos;
- Exclusão dos dados desnecessários, em excesso ou tratados sem observar a lei;
- Transferência dos dados a outro fornecedor de serviço ou produto;
- Eliminação dos dados consentidos;
- Informação sobre as entidades com quem seus dados foram compartilhados;
- Informação sobre poder não disponibilizar seus dados.
Controlador
O controlador é a pessoa natural ou jurídica, de direito público ou privado, que detém os dados do titular e decide de que forma irá utilizá-los. Na maioria dos casos, o controlador será representado pelas empresas que trabalham com o uso de informações de seus clientes para vender produtos, estabelecer melhores estratégias de marketing, etc.
Operador
O operador também pode ser pessoa natural ou jurídica, de direito privado ou público, que trabalha fazendo o tratamento dos dados. Aqui estarão as empresas especializadas com a ciência dos dados e demais métodos tecnológicos para aperfeiçoar essa tarefa.
Esses operadores precisam, além de compreender sobre a ciência dos dados, se atentar, agora, com a LGPD para realizar todas as suas funções em conformidade com a lei. Ele trabalha fazendo, quanto aos dados:
- coleta;
- mineração;
- modulação;
- análise;
- apresentação.
Encarregado
O encarregado será uma pessoa escolhida pelo controlador para gerir as tarefas práticas relacionadas à observância da LGPD no uso dos dados. Ele deverá coordenar as atividades que buscam deixar a empresa em regularidade com a norma, assim como manter comunicação com os titulares dos dados e a ANPD.
Por sua vez, o que é a ANPD?
A Autoridade Nacional de Proteção de Dados é uma agência reguladora que precisou ser criada para garantir que a LGPD fosse observada e respeitada no Brasil. Afinal, com o surgimento de uma nova lei, que introduz diversas mudanças em práticas corriqueiras para muitas empresas, foi fundamental estabelecer alguém responsável por facilitar esse processo de adequações.
A ANPD surge quase um ano após a LGPD, com a Lei 13.853, de 8 de julho de 2019. Apesar de ter vindo após a norma que regulamenta o tratamento e uso dos dados no país, a agência apareceu antes de sua aplicação, que foi iniciada em 2020.
A natureza jurídica da ANPD ainda é transitória, já existindo, inclusive, projeto de lei para transformá-la em autarquia federal. Ela ainda não tem independência, indo na contramão da maioria dos países que criaram uma agência para proteção dos dados.
O que a ANPD deve fazer?
Suas principais funções são entendidas como fiscalização e aplicação de sanções, entretanto, seu serviço vai além. Confira agora algumas de suas outras tarefas:
- assegurar o uso correto dos dados;
- avaliar petições de titular contra controlador;
- divulgar as normas sobre a proteção de dados para a população;
- procurar instaurar uma cultura de adoção de padrões para que os dados sejam melhor controlados;
- trazer novos regulamentos e procedimentos para possibilitar melhorias na proteção de dados;
- deliberar, de forma administrativa, sobre a interpretação da LGPD, as suas competências e os casos omissos;
- simplificar a forma de receber reclamações, etc.
Leia também: Como realizar o acompanhamento da aprendizagem dos alunos através de dados?
Quais são as sanções previstas na LGPD?
A LGPD prevê, em seu Capítulo VIII, Seção I, uma série de sanções administrativas aplicadas pela Agência Nacional de Proteção de Dados (ANPD) aos agentes de tratamento de dados. Confira a relação destas sanções, previstas no art. 52:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- Multa diária, observado o limite total mencionado acima;
- Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- Eliminação dos dados pessoais a que se refere a infração;
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
Como podemos ver, infringir as normas da LGPD na prática pode ensejar uma série de consequências drásticas às IES.
Cabe ressaltar que a aplicação de sanções deve ser precedida de processo administrativo que garanta a oportunidade de ampla defesa, nos termos do §1º do art. 52, que também estabelece uma série de critérios que devem ser observados na ocasião:
- a gravidade e a natureza das infrações e dos direitos pessoais afetados;
- a boa-fé do infrator;
- a vantagem auferida ou pretendida pelo infrator;
- a condição econômica do infrator;
- a reincidência;
- o grau do dano;
- a cooperação do infrator;
- a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 da LGPD;
- a adoção de política de boas práticas e governança;
- a pronta adoção de medidas corretivas;
- e a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Quais etapas da LGPD já entraram em funcionamento?
O processo de implementação completa, e de fato da LGPD, tem levado algum tempo para ocorrer. Isso é bem justificável, uma vez que a lei traz uma nova cultura quanto ao tratamento e uso de dados, estabelecendo novos limites e responsabilidades.
Por entender isso, a própria norma deixou um período de tempo para que cada etapa pudesse ser aplicada, dando a oportunidade para que as empresas pudessem realmente aprender, se adaptar e criar novas práticas. É importante relembrar que, durante a implantação da LGPD, aconteceram os piores momentos da pandemia de coronavírus, que mudou drasticamente o funcionamento de vários negócios, principalmente o comércio.
Deste modo, algumas fases foram estabelecidas para que a lei de fato funcionasse. Vamos agora fazer uma breve análise sobre essas etapas:
1 – Debate sobre a proteção dos dados
Apesar desta não ter sido uma etapa criada pela lei, e sim um momento anterior e determinante para que ela tenha acontecido, é fundamental falar sobre as movimentações em favor de uma melhor proteção de dados. Os debates se iniciam com muita relação com o Marco Civil da Internet, inclusive com a LGPD substituindo o dispositivo.
A proteção de dados era um assunto latente em todo o mundo, tendo a norma brasileira chegado após a mais famosa e relevante, criada pela União Européia. Outro fator importante para seu surgimento foi o crescimento do Direito Digital, que tem cada vez mais colocado luz nas relações humanas em ambiente virtual.
2 – Publicação da LGPD
A LGPD sai do papel como Lei 13.709, de 14 de agosto de 2018, alguns meses depois do Regulamento Geral de Proteção de Dados da União Europeia (RGPD), que entrou em vigor em 25 de maio de 2018.
Apesar da publicação ter sido em 2018, ela só entraria em vigor dois anos depois. Essa escolha foi feita para dar um tempo maior para que as pessoas conhecessem, compreendessem e pudessem se adaptar à nova realidade trazida pela LGPD.
3 – Criação da ANPD
A agência que fiscaliza e deve garantir o bom funcionamento da LGPD só foi criada no ano de 2019. É importante levar em consideração que, apesar de ter vindo depois da publicação da lei, o órgão feito para garanti-la surgiu antes dela entrar em vigor, devido ao prazo de dois anos.
Além de criar a ANPD, a lei 13.853, de 8 de julho de 2019, também trouxe outras determinações para a proteção de dados. Com a criação da norma, era esperado que a autoridade resolvesse várias questões que se mantinham em aberto.
4 – A LGPD finalmente entra em vigor
Passado o tempo para que as empresas pudessem se preparar para as novas regras, a LGPD entrou em vigor, no dia 18 de setembro de 2020. A partir desta data, as atuações quanto ao uso de dados precisavam ser feitas em decorrência do determinado no “novo” dispositivo.
Entretanto, a história da lei não terminou com sua entrada em vigor, uma nova fase ainda iria surgir. Para garantir que as normas fossem realmente cumpridas, foi necessário chegarmos na etapa de fiscalização e penalização ao descumprimento de suas determinações.
Em qual estágio está a aplicação da LGPD?
Apesar da norma ter entrado em vigor em setembro de 2020, para que o governo de fato começasse a fiscalização para garantir o uso correto dos dados, demorou mais um ano. As punições para o uso incorreto dos dados, que fogem do que é previsto pela LGPD, teve início apenas em 1º de agosto de 2021.
Como fica facilmente perceptível, a norma ainda está recente, e sua aplicação de fato está ainda mais. Por mais que a fiscalização tenha começado no segundo semestre do ano passado, ela ainda precisa entrar no cotidiano das empresas e das pessoas, com práticas realmente atuantes.
Como será a fiscalização da LGPD na prática?
Para fazer com que a norma realmente seja respeitada, é sempre fundamental que os órgãos responsáveis realizem controle sobre as pessoas que as determinações devem alcançar. Isso acontece com qualquer lei que seja implementada, afinal, se não houver fiscalização e punição, não há de se esperar que elas sejam cumpridas apenas em razão do bom senso.
Neste sentido, apesar de ainda estar recente e determinando seus caminhos administrativos, a ANPD já possui seus mecanismos para alcançar o sucesso da LGPD. Citaremos em seguida as principais medidas para que a nova norma seja cumprida:
Determinação de responsabilidade dos agentes regulados
Antes mesmo de chegar às ações tomadas pela ANPD, é importante ressaltar o que ela já determina que os agentes regulados façam. Afinal, essa também é uma forma de certificar que as normas sejam respeitadas.
Pensando nisso, foram elencados 6 deveres para esses agentes:
- Entregar cópias dos documentos, independente da mídia, para que as atividades de tratamento de dados pessoais sejam avaliadas. Essas informações devem ser prestadas de acordo com o determinado pela ANPD.
- Permitir que a ANPD acesse as instalações, equipamentos, aplicativos, facilidades, sistemas, ferramentas e recursos tecnológicos, documentos, dados e informações que sejam úteis para a avaliação de seu uso de dados.
- Levar ao conhecimento da ANPD o sistema utilizado para o seu tratamento de dados, assim como sua rastreabilidade, atualização e substituição, sempre disponibilizando os dados destes instrumentos.
- Submeter-se a auditorias realizadas ou determinadas pela ANPD.
- Guardar os documentos físicos e digitais pelo tempo determinado pelos prazos estabelecidos pela lei e por regulamentação específica, assim como durante a tramitação de processos administrativos que os requeira.
- Indicar um representante para dar suporte ao trabalho da ANPD, sempre que for requerido, que tenha conhecimento e autonomia para indicar os dados e informações necessários.
Uso de medidas preventivas
Como medidas preventivas, a Resolução da ANPD nº 1, de 28 de outubro de 2021, estabelece quatro ações que crescem em grau de intervenção. São elas:
- Divulgação de informações: nada melhor que iniciar o trabalho de implementação de uma nova lei com a democratização da informação. A ideia aqui é que o site da ANPD traga dados setoriais agregados e de desempenho, além da taxa de resolução de pedidos dos titulares.
- Aviso: também uma tarefa simples, na qual o controlador ou o operador deve ser notificado sobre alguma situação em desconformidade com a lei e se preparar para corrigi-la.
- Solicitação de regularização ou informe: Neste ponto, irá entrar os casos em que modificações devam ser feitas de acordo com um prazo certo, mas que não precisem contar com um plano de conformidade.
- Plano de conformidade: a última medida preventiva é utilizada para casos mais graves. Quando for necessário um plano de conformidade, deve vir indicado o objetivo, o prazo para sua conclusão, as ações para que a situação seja sanada, os critérios para acompanhamento e a trajetória de alcance dos resultados esperados.
Implementação de atividades repressivas
Se depois de todas as medidas tomadas anteriormente, os problemas com o tratamento e o uso de dados pessoais não forem solucionados, a ANPD precisará implementar as atividades repressivas. As sanções cabíveis já foram indicadas neste texto e, por isso, não iremos elencá-las aqui mais uma vez.
Entretanto, é bom lembrar que essas sanções são tomadas em último caso. Até chegar aqui, as empresas já terão passado por diversas fases para se adequar: monitoramento, orientação e prevenção.
De qual forma a LGPD irá modificar o cotidiano?
Como falado, a LGPD veio para realmente mudar as práticas relacionadas ao tratamento de dados pessoais das empresas. Se fez necessário um uso mais ético e respeitoso com a privacidade e liberdade das pessoas.
Neste sentido, diversas modificações irão aparecer, sendo as principais:
- obrigar os controladores e operadores a responder os titulares de dados rapidamente, num prazo de 15 dias úteis;
- inserir a figura do encarregado, ou data protection officer (DPO), para supervisionar o processamento de dados;
- trazer um novo órgão para defender o direito da população;
- obrigar as empresas a manter um contato mais qualificado sobre o uso de dados;
- deixar o direito à privacidade, que é fundamental, mais fácil de ser exercido;
- estabelecer que as empresas mantenham relatórios sobre o tratamento e uso de dados, etc.
Quais são as preocupações que a IES deve ter com o armazenamento de dados dos alunos?
As Instituições de Ensino Superior estão usando cada vez mais ferramentas digitais e essa é uma questão para se atentar. Afinal, esse tipo de plataforma envolve empresas terceiras que também acabam recebendo os dados dos alunos.
Pois isso, o primeiro passo para um armazenamento eficiente é mapear todas as atividades que são desenvolvidas no âmbito empresarial e que envolvem o tratamento de dados, como matrículas, consultas, orçamentos e adesão de contratos. Isso te ajudará a identificar empecilhos no processo e a garantir que ele funcione da melhor forma. A prevenção é muito importante!
O especialista em Direito Digital José Faleiros afirma:
“Não adianta mais imaginarmos os processos da coleta de dados por formulários simples (…), se a coleta será de dados cadastrais para uma consulta, para um mailing list, para o que quer que seja, que se apresente dentro da plataforma quais dados serão coletados, qual será a finalidade da coleta, onde estarão armazenados, por quanto tempo estarão armazenados e quais são as técnicas de segurança da informação aplicadas pela instituição de ensino para o resguardo desses titulares”.
Qual a relevância da compliance digital para a IES?
A compliance digital nada mais é que a governança de dados da instituição, ou seja, a gestão das informações e adoção de medidas preventivas para que a IES esteja sempre dentro das regulamentações, como a própria LGPD.
Adotar essas medidas na sua IES é importante e traz diversos benefícios, como::
- previne fraudes;
- evita prejuízos financeiros;
- proporciona um ambiente mais seguro para os alunos, melhorando assim a reputação da instituição;
- consegue fazer com que a IES fique em dia com as regulamentações necessárias
Como adequar a IES à LGPD? Confira 7 passos
Para realizar um bom tratamento de dados e evitar quaisquer problemas, é importante trabalhar desde já na adequação de sua instituição.
Para te auxiliar, preparamos 7 passos para adequar a sua IES à LGP. São eles:
- Tenha um time específico;
- Ofereça treinamentos;
- Faça um mapeamento dos dados utilizados pela sua IES;
- Adapte os processos;
- Atente-se ao consentimento do titular;
- Adote medidas de segurança da informação;
- Estipule um sistema de gerenciamento dos pedidos de acessos aos dados.
Confira as dicas que preparamos para você:
1. Tenha um time específico
O primeiro passo é criar e manter uma estrutura de administração dos dados.
Por ser a principal legislação brasileira sobre proteção e privacidade de dados pessoais, a lei é complexa e possui um emaranhado sistema de disposições.
Neste sentido, a lei, que já está em vigor, exige que as empresas adotem várias políticas para garantir a segurança dos dados de clientes, que nem sempre são simples e de adaptação corriqueira.
Por isso, você precisa ter colaboradores responsáveis pela gestão dessas informações, para manter a privacidade, garantir o armazenamento e que quando solicitados consigam responder a localização e quais dados foram coletados. Afinal, é direito do cliente pedir por essas informações.
2. Ofereça treinamentos
Treinar os colaboradores da IES sobre a nova lei também é importante para se adequar à LGPD na prática. Ofereça cursos e palestras para que eles consigam ficar a par de tudo, entendam quais são os direitos do aluno e saibam quais são os deveres da instituição.
O tratamento de dados é algo complexo e amplo e envolve não só quem trabalha na área de T.I., mas profissionais da secretaria, financeiro e até mesmo os professores.
3. Faça um mapeamento dos dados utilizados pela sua IES
Um dos primeiros passos para fazer uma adequação da utilização dos dados pela sua IES é entender quais são estes dados. Nesse sentido, é necessário que a IES faça um mapeamento dos dados que já detém e dos que pretende coletar.
Para isso, sempre se pergunte:
- Eu realmente preciso desse dado pessoal?
- Por que eu preciso?
- Como eu lido com os dados que possuo?
- Quais são os fins que pretendo atingir ao coletar estes dados?
- Como informar a finalidade aos titulares de forma clara?
O mapeamento permite identificar as políticas e procedimentos atuais da equipe e, caso necessário, detectar os pontos nos quais são necessárias alterações.
4. Adapte os processos
A LGPD na prática faz com que a IES seja afetada em diversos processos: na captação de alunos, na rematrícula, na gestão de permanência, nas pesquisas feitas, seja de satisfação, seja para obter alguma outra informação.
Por isso, será necessário adaptar esses processos, solicitando a permissão do uso de dados, deixando bem explicado onde eles ficarão armazenados, para quais situações serão utilizados.
É importante fazer isso não só com o aluno que vai entrar, mas também com os atuais, mesmo que para isso seja preciso reformular contratos, formulários, e-mails e processos.
É fundamental garantir que os contratos, formulários, e-mails e processos que envolvem o tratamento de dados possuam cláusulas explícitas sobre a finalidade do tratamento referido. A informação precisa ser transparente e clara.
Além disso, é importante delimitar responsabilidades ao lidar com outros operadores de tratamento de dados, reduzindo o risco das operações.
Colocar a LGPD na prática será um longo processo de reestruturação e adequação tecnológica, jurídica e metodológica da sua IES. É um trabalho necessário e que fará com que a instituição fique dentro da lei, sem sofrer danos.
5. Atente-se ao consentimento do titular
Um dos pontos mais fundamentais da LGPD diz respeito ao consentimento do titular quanto ao uso de seus dados. Desta forma, é fundamental que este seja, também, um ponto de atenção das IES.
Segundo a legislação, o conceito do consentimento, para fins da LGPD, é “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.
Para atender ao requisito do consentimento, é necessário que o consentimento seja esclarecido, direto e explícito. O usuário precisa ter poder de agência ao escolher entregar os dados.
6. Adote medidas de segurança da informação
A prevenção necessária em relação ao uso de dados é requisito expresso da lei para o seu tratamento. É fundamental, portanto, que os riscos de acidentes e vazamento de dados sejam mitigados ao máximo.
Sendo assim, adote medidas de segurança da informação, como exemplos:
- Valer-se da criptografia de dados;
- Promover atualizações periódicas das senhas de todos os agentes;
- Definir barreiras de acesso aos dados por nível, garantindo que só tenha acesso ao dado sensível quem realmente precisa ter;
- Manter antivírus em suas máquinas e sistemas;
- Manter backups atualizados;
- Fazer com que os terceiros para quem os dados precisam ser repassados assinem termos de responsabilização e confidencialidade.
7. Estipule um sistema de gerenciamento dos pedidos de acessos aos dados
Tanto os titulares quanto os órgãos e agências reguladoras têm direito ao amplo acesso dos dados armazenados, para fins de transparência, accountability e fiscalização.
Assim, é natural que existam uma série de pedidos de acesso aos dados. Portanto, estipule um sistema de gerenciamento destas solicitações, para que seja possível verificar se possuem legitimidade e facilitar o fornecimento dos dados sem complicações. Lembre-se que o acesso deve ser facilitado.
Colocar a LGPD na prática será um longo processo de reestruturação e adequação tecnológica, jurídica e metodológica da sua IES. É um trabalho necessário e que fará com que a instituição fique dentro da lei, sem sofrer danos.
Quer saber mais sobre regulamentações para a sua IES? Assista ao Webinar: O sistema regulatório das IES privadas no Brasil!
Esperamos que tenha gostado deste conteúdo sobre LGPD na prática! Que tal aproveitar e conferir este outro texto sobre inovação curricular no ensino superior?