É qualquer informação relacionada a pessoa natural identificada ou identificável. (Art. 5º, inciso I).

Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. (Art. 5º, inciso II).

Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (Art. 5, inciso X). 

O mais importante nesse momento é deixar claro aos titulares o que está sendo feito com seus dados pessoais e não fazer nenhum tipo de tratamento (ver pergunta anterior) que extrapole esse objetivo, sem autorização dos mesmos. Em um formulário de coleta na web, por exemplo, procure deixar clara a finalidade de cada informação, ou conjunto de informações, que estão sendo coletadas.

Além disso, deve-se ter o cuidado de não compartilhar os dados pessoais aos quais você tem acesso com ninguém, de dentro ou fora da instituição. E por compartilhamento, entende-se: conceder acesso a bancos de dados, enviar e-mails com dados pessoais para qualquer pessoa, tramitar documentos físicos (papel) ou deixá-los acessíveis sem procedimentos de segurança, entre quaisquer outras medidas que você mesmo possa identificar no seu dia-a-dia para proteger os dados com os quais você tem contato.

Lembre-se, estamos falando de uma mudança de cultura em toda a instituição e o cuidado com os dados pessoais é responsabilidade de cada um. 63% dos vazamentos de dados são causados por erro humano, então, fique atento!

Eventualmente, a equipe de adequação da LGPD entrará em contato para melhor orientá-lo sobre as boas práticas a serem adotadas.

É importante deixar o mínimo de dados expostos, seja em websites, seja em murais físicos. Se há uma lista da turma com as notas dos estudantes que esteja pública, coloque o número de matrícula, ao invés de nome ou CPF, por exemplo.

Se há vídeos em que os estudantes estejam expostos, uma alternativa é solicitar seu consentimento por escrito antes de publicá-lo. Contudo, lembre-se de que você deverá manter um arquivo desses consentimentos e de que eles poderão ser revogados pelos estudantes a qualquer momento, então uma alternativa melhor talvez fosse fazer um tratamento na imagem de maneira que aquele estudante não possa ser identificado(a).

Lembre-se, nada deve ser feito com os dados dos estudantes sem seus consentimentos. Na dúvida, procure sempre procurar anonimizar os dados com os quais você lida e nunca compartilhá-los com terceiros, seja de dentro ou de fora da instituição.

A LGPD não se aplica para fins acadêmicos (Art. 4º, inciso II, alínea b), com exceção dos artigos 7 e 11. Observe o que dizem os artigos:

“Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;”

“Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

Ou seja, não há problema em coletar esses dados para fins de pesquisa, desde que eles sejam anonimizados. E lembre-se de não compartilhá-los com terceiros. Se você lidera uma equipe de pesquisa, oriente os membros dessa equipe para terem o mesmo cuidado.

O Capítulo III da LGPD trata dos direitos do titular. O Art. 18, inciso VI, diz que um desses direitos é a solicitação da eliminação de seus dados. Contudo, no inciso II do parágrafo 4º desse mesmo artigo, atente para o fato de que o controlador (no caso, a FACELI), pode indicar as razões de fato ou de direito que impeçam a execução dessa solicitação. Além disso, diz o Art. 16:

“Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:

I – cumprimento de obrigação legal ou regulatória pelo controlador;”

No caso das instituições, o impedimento da eliminação se dá através das seguintes bases legais:

– Lei 8159/1991, Art. 1: É dever do Poder Público a gestão documental e a proteção especial a documentos de arquivos, como instrumento de apoio à administração, à cultura, ao desenvolvimento científico e como elementos de prova e informação.

– Portaria MEC 1224/2013, que institui normas sobre a manutenção e guarda do Acervo Acadêmico das Instituições de Educação Superior (IES) pertencentes ao sistema federal de ensino. A lei define prazos de guarda de 100 anos e em alguns casos, até mesmo guarda permanente.

– Portaria MEC 315/2018, Art. 38: As IES e suas mantenedoras, integrantes do sistema federal de ensino, ficam obrigadas a manter, sob sua custódia, os documentos referentes às informações acadêmicas, conforme especificações contidas no Código de Classificação de Documentos de Arquivo Relativos às Atividades-Fim das Instituições Federais de Ensino Superior e na Tabela de Temporalidade e Destinação de Documentos de Arquivo Relativos às Atividades-Fim das Instituições Federais de Ensino Superior, aprovados pela Portaria AN/MJ nº 92, de 23 de setembro de 2011, e suas eventuais alterações.

Parágrafo único. O acervo acadêmico será composto de documentos e informações definidos no Código e na Tabela mencionados no caput, devendo a IES obedecer a prazos de guarda, destinações finais e observações neles previstos.

Não podemos, portanto, excluir os dados de nenhum estudante, mesmo que ele já tenha se desligado da instituição.

Art. 19. da LGPD:

“A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular:

I – em formato simplificado, imediatamente; ou

II – por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.”

Atualmente, a FACELI não está preparada para atender a declaração completa de maneira automatizada, de maneira que precisaríamos dos 15 dias de prazo para atender à solicitação.

Veja a página sobre Direitos do Titular.

A LGPD não proíbe o uso de qualquer tipo de dado pessoal e, muito menos, proíbe práticas de segurança; a lei apenas determina como deve ser feito o tratamento (ex: transparência, base legal, não discriminação etc.), principalmente, indicando princípios a serem seguidos.

Sim. No caso deste dado na FACELI é utilizado exclusivamente para controle de entrada e saída.

A Fundação Faculdade Integrada de Ensino Superior de Linhares – Faceli é um órgão educacional que faz parte do sistema autárquico da administração pública municipal. Como tal, está autorizada a realizar tratamento de dados pessoais, desde que dentro das hipóteses descritas no Art. 7ª, inciso II, e Art. 11, inciso II, alínea “a” da Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD). Essas hipóteses dizem respeito ao cumprimento de obrigação legais ou regulatórias pelo controlador.

Dessa forma, os dados pessoais fornecidos pelos titulares de dados, através de meios de coleta que incluem dados biométricos, podem ser utilizados para atender às finalidades públicas e institucionais da Faceli, enquanto órgão da administração pública indireta.

Estamos em vias de aprovar uma política que defina de que forma devemos tratar os dados pessoais compartilhados para fins de pesquisa e extensão, não só para que a instituiçãotenha uma diretriz que possa ser seguida, mas também para não inviabilizarmos a pesquisa feita no país, sem, no entanto, dirimir proteção de dados pessoais.

Isto posto, ainda que a política ainda não tenha sido aprovada, algumas orientações já podem ser seguidas:

1- Anonimizar a base de dados: procurar entender, junto ao pesquisador, se realmente há necessidade dele ter acesso a dados identificados ou identificáveis, pois na grande maioria das vezes, isso não é necessário e resolve o problema, uma vez que a base de dados anonimizada não precisa seguir as diretrizes estabelecidas pela LGPD.

2- Caso realmente haja necessidade de dados identificados ou identificáveis, o que temos preconizado é que a pesquisa passe, de alguma forma, pelos comitês de ética. Caso o solicitante seja de uma entidade externa, deverá anexar no seu pedido os documentos comprobatórios de que a pesquisa passou pelos seus comitês, ou ainda assinar termos de responsabilidade nos moldes estabelecidos pelos nossos comitês.

3- Em nenhuma hipótese a solicitação deverá partir de pessoa natural: a pesquisa é feita por entidades, ou seja, a solicitação deverá ser formalizada através destas entidades e pelo orientador da pessoa solicitante.

Com relação a esse procedimento, entende que não apenas não há problema na divulgação dos nomes dos alunos, como isso deveria ser encorajado. As bancas de TCCs ou defesas de dissertação ou teses são sessões públicas, ou seja, elas devem ser divulgadas para os interessados. O que não deve ser publicizado é o resultado final da banca, assim como as notas de trabalhos acadêmicos.

Recomenda-se que, em editais de notas divulgados amplamente para turmas e cursos, seja utilizado apenas a matrícula do aluno e não o seu nome completo. O entendimento em realizar a divulgação dessa forma se dá pelo fato de que, em tese, apenas o aluno sabe sua própria matrícula, desta forma, protege-se sua privacidade.

Não. Deixar de chamar o aluno em sala de aula não faria sentido, pois aí trata-se de uma atividade inerente à realização das atividades acadêmicas e não há como o docente ter certeza da presença de seus alunos, para controle de frequência, sem a identificação pessoal dos mesmos, ou mesmo para interação dos alunos para as atividades acadêmicas.

Tratando-se de processo administrativo interno, é natural que os atores envolvidos devem possuir todas as informações necessárias para execução desse processo, seja o professor, a secretaria, a coordenação, o departamento ou quem se fizer necessário nesse processo. Há que se entender a diferença entre proteger a privacidade do indivíduo (o cerne da LGPD) e a execução de procedimentos operacionais necessários para o dia a dia da instituição. Não é objetivo da LGPD, de maneira alguma, causar dificuldades nos trâmites operacionais, desde que:

a) O fluxo de dados pessoais fique restrito às pessoas que precisem ter acesso a esses dados para execução destes trâmites;

b) Não esteja sendo solicitado ao titular de dados pessoais (no caso, os alunos) nenhuma informação desproporcional ao mínimo necessário para execução daquela operação de tratamento.

Este é um artigo que sempre causa certa confusão em seu entendimento. Para diminuir essa confusão, cabe uma consulta ao Guia da ANPD sobre o assunto. Nesse sentido, é importante salientar dois aspectos destacados através desse guia:

a) Como a própria LGPD diz neste artigo, devem ser observados os artigos Art. 7º e o Art. 11º da LGPD, ou seja, ainda que para fins acadêmicos, devem ser levadas em conta quais são as hipóteses para tratamento de dados pessoais e tratamento de dados pessoais sensíveis.

b) Por “não se aplica a fins acadêmicos”, entende-se: operações com dados pessoais diretamente vinculadas à liberdade de expor e disseminar o conhecimento, mediante, por exemplo, o debate de ideias e de opiniões, a publicação de resultados de pesquisas e o compartilhamento de dados e de metodologias entre pares.

Não faria sentido restringir acesso a dados pessoais neste âmbito, justamente porque se isso fosse feito, estaria impedindo a realização da atividade acadêmica. Contudo, cabe lembrar que, na Instituição, nem todas as atividades de tratamento de dados pessoais são acadêmicas. A FACELI ainda é uma Controladora de dados pessoais e está sujeita, sim, à aplicação da LGPD em todas as suas esferas.

Este princípio está intrinsicamente ligado à questão da transparência sobre o que a instituição pública está realizando, mas não sobre os detalhes do processo em si. Por exemplo, é preciso dar transparência em licitações, mas não em todas as etapas do processo licitatório. Da mesma forma, é preciso dar transparência ao Processo Seletivo e seus resultados, mas não a cada atividade realizada pelos alunos dentro da Instituição. Cabe ainda destacar que a própria Lei de Acesso à Informação destaca, em seu art. 6º:

Cabe aos órgãos e entidades do poder público, (…) assegurar a:

(…)

III – proteção da informação sigilosa e da informação pessoal, observada sua disponibilidade, autenticidade, integridade e eventual restrição de acesso.

No que concerne o ato administrativo, as atividades estatais devem, como fator precípuo, objetivar o bem comum e o interesse da coletividade, sendo que todas as suas ações devem ser pautadas no Princípio Constitucional da Publicidade insculpido no caput do Art. 37 da Magna Carta.

Deve-se cumprir o preceito constitucional como corolário de validade e eficácia de qualquer ato administrativo. Contudo, o advento da LGPD faz com que os órgãos públicos sopesem a razoabilidade e o limite da publicização dos dados de pessoas naturais que estejam inseridas no bojo de seus atos.

A impossibilidade de se incluir na publicidade de um ato a identificação de dados pessoais, quais sejam, nome, RG, CPF, carteira profissional, residência, estado civil, filiação partidária, idade, sexo dentre outros, não torna o ato inválido ou ineficaz se por outra forma puder ser realizado o seu controle social.

Nesta senda, os dados que devem ser acessíveis em cada um dos atos, a Lei de Acesso à Informação, são dados referentes ao interesse público, não cabendo aqui, então o acesso a dados pessoais de pessoas naturais sob o pretexto de fiscalização da atuação estatal.