Encarregado de Proteção de Dados Pessoais (DPO)
Profª Jandira da Silva e Souza
Nomeada pela Portaria nº 68.038, de 15/01/2021, publicada no BSUFF nº11,de 18/01/2021
Contato: jandiramotta@id.uff.br
Grupo de trabalho
LGPD - Portaria No 68.126 de 9 de fevereiro de 2021 - Portaria que institui o Grupo de Trabalho para estabelecer procedimentos para cumprimento da LGPD.
Documentos produzidos pelo GT:
Canal de Atendimento às demandas da LGPD na UFF
Os titulares dos dados pessoais podem abrir demanda junto ao Serviço de Informação ao Cidadão – SIC:
https://falabr.cgu.gov.br/
LGPD - Lei Geral de Proteção de Dados
A Lei Geral de Proteção de Dados Pessoais (LGPD – Lei n° 13.709/2018) foi promulgada para proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. Essa Lei versa sobre o tratamento de dados pessoais, dispostos em meio físico ou digital, feito por pessoa física ou jurídica de direito público ou privado e engloba um amplo conjunto de operações efetuadas em meios manuais ou digitais.
Considera-se tratamento de dados qualquer atividade que utilize um dado pessoal na execução da sua operação, como, por exemplo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
No caso do setor público, a principal finalidade do tratamento está relacionada à execução de políticas públicas, devidamente previstas em lei, regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres. O tratamento para cumprimento de obrigação legal ou regulatória pela Instituição, também é uma ação regular no serviço público. Nessas situações, o consentimento do uso do titular de dados é dispensado.
As Instituições costumam coletar dados quando da efetivação das matrículas, ato por meio do qual alunos prestam informações e apresentam seus documentos pessoais. Ao longo de sua trajetória na Instituição, diversas outras informações passam por Secretarias Acadêmicas, pelas Bibliotecas e outras áreas institucionais de apoio estudantil tais como contratos de financiamento do aluno com programas públicos ou privados de bolsa, sobre seu rendimento escolar, e até informações bancárias.
Todas as informações sobre o rendimento do aluno são registradas em seu histórico. O histórico escolar é documento pessoal e pode ser requerido pelo aluno a qualquer instante, seja para consulta, para comprovação ou transferência de IES.
Há também a coleta de dados dos servidores, técnicos administrativos e professores, para questões relativas a concursos, contratações, projetos de pesquisa pessoal e desenvolvimento profissional. A coleta de dados de servidores também está sob ao abrigo da LGPD.
Estas questões são ponto focal para a revisão e/ou adequação dos modelos atuais de tratamento de dados para convergência às exigências da LGPD.
Ao longo dos vínculos, acadêmico e funcional, são inúmeros os dados coletados. As instituições, por isso, precisam se adaptar, revendo e/ ou readequando seus processos de coleta, de tráfego e de armazenamento de dados, bem como nomeando os agentes responsáveis que a lei determina, o Encarregado de Tratamento de Dados Pessoais e os Operadores, que são os servidores que realizam o tratamento de dados pessoais.
A LGPD traz novas demandas de desenvolvimento para os setores de tecnologia da informação e de segurança da informação, que são um dos principais atores na revisão dos meios de coleta, armazenamento e disponibilização de dados pessoais.
A UFF precisará definir um plano de adequação, com a finalidade de articular projetos e ações a serem implantadas pela Administração da UFF, com vistas a cumprir as disposições da LGPD.
O acompanhamento jurídico será necessário para consolidação dessas fases e acompanhamento do projeto de adequação da instituição ao cumprimento da LGPD, sendo um interlocutor entre as áreas, as práticas e sua conformidade com a lei, bem como orientando a produção dos documentos oficiais necessários à validação de cada fase do processo, a exemplo de termos de uso, contratos e convênios com parceiros, e outros.
Na estrutura da Universidade, os servidores deverão estar alinhados à política interna de uso e proteção de dados, o que se fará por meio de informes, cursos, treinamentos e simulações, que permitam a todos conhecer o fluxo de informação circulante e as regras de utilização do sistema e dos dados pessoais dos alunos e servidores.
Em síntese, a LGPD, que consolida as boas práticas de coleta e tratamento de dados pessoais, e obriga as instituições a repensarem seus modelos de segurança da informação, torna a relação entre a instituição e os usuários de seus serviços mais transparente, fazendo com que haja, de parte a parte, maior cuidado com as informações pessoais.
Guias operacionais para adequação à LGPD
Capacitação em LGPD na UFF
Foi divulgado no boletim COMUNICA UFF, de 04/11/2021, uma série de cursos on line oferecidos, de forma gratuita, pela Escola Nacional de Administração Pública – ENAP, sobre a Lei Geral de Proteção de Dados - LGPD. São oportunidades para aprofundar o conhecimento sobre o tema ou se atualizar.
Mais detalhes: https://www.uff.br/?q=capacitacao-em-lgpd
Diagnóstico do índice de maturidade sobre a LGPD
Foi disponibilizado, pela SGD/ME, um questionário com o intuito de fornecer aos órgãos públicos, as informações necessárias para um diagnóstico do estágio de adequação à LGPD. Como resultado, esse diagnóstico apresenta um índice de maturidade, que possibilitará aos órgãos e entidades direcionar esforços e priorizar as ações necessárias para conformidade em relação à LGPD.
O questionário abordou as dimensões de governança, conformidade legal e respeito aos princípios, transparência e direitos do titular, rastreabilidade, adequação de contratos e de relações com parceiros, segurança da informação e violações de dados.
O que são dados pessoais?
São quaisquer informações relacionadas a pessoa natural identificada ou identificável. São exemplos de dados pessoais: nome, endereço, e-mail, identidade, CPF, dados de localização (função de dados de localização em telefones ou GPS), endereço de IP (protocolo de internet); testemunhos de conexão (cookies), etc.
O que são dados sensíveis?
São aqueles que, se expostos ou compartilhados, podem causar impacto para a vida pessoal e/ou profissional.
São os dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
O que é tratamento de dados pessoais?
É qualquer operação realizada com dados pessoais, tais como: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
O que são dados anônimos e dados anonimizados?
Dados anônimos são os dados pessoais cujo Titular não pode ser identificado.
Os dados anonimizados são aqueles identificados que, a partir da utilização de meios técnicos pelos agentes de tratamento de dados, passam a ser anônimos, ou seja, não passíveis de associação a um indivíduo, direta ou indiretamente.
Por não permitirem a identificação do seu respectivo Titular, os dados anonimizados não ficam sujeitos à aplicação da LGPD, exceto quando houver reversão do processo de anonimização ao qual tais dados foram submetidos.
Em quais casos de tratamento de dados pessoais, a LGPD não será aplicada?
São os casos em que o tratamento de dados pessoais for feito:
- por uma pessoa física, para fins particulares, e não comerciais;
- para fins exclusivamente jornalísticos, artísticos e acadêmicos;
- pelo Poder Público - no caso de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais.
Podem não estar sujeitos a aplicação da LGPD os dados provenientes e destinados a outros países, que apenas transitem pelo território nacional, sem que aqui seja realizada qualquer operação de tratamento e desde que o país de origem tenha nível de proteção similar ao previsto na LGPD.
Como devem proceder os servidores técnico administrativos que lidam com dados pessoais?
Os servidores devem evitar qualquer tipo de tratamento dos dados pessoais que extrapole o objetivo da coleta desses dados, sem autorização dos titulares. Em um formulário de coleta na web, por exemplo, deve estar clara a finalidade de cada informação, ou conjunto de informações, que estão sendo coletadas.
Não se deve compartilhar os dados pessoais aos quais se têm acesso com ninguém, de dentro ou fora da universidade, a menos que fundamental para execução do serviço a ser prestado. Por compartilhamento, entende-se: conceder acesso a bancos de dados, enviar e-mails com dados pessoais para qualquer pessoa, tramitar documentos físicos ou deixá-los acessíveis sem procedimentos de segurança.
Como devem proceder os professores que lidam com dados pessoais?
É importante deixar o mínimo de dados expostos, seja em websites, seja em murais físicos. Se há uma lista da turma com as notas dos estudantes que esteja pública, deve ser colocado o número de matrícula, ao invés de nome ou CPF, por exemplo.
Se há vídeos em que os estudantes estejam expostos, uma alternativa é solicitar consentimento por escrito antes de publicá-los. É fundamental manter um arquivo desses consentimentos e entender que eles poderão ser revogados pelos estudantes a qualquer momento. Não há problema em coletar dados para fins de pesquisa, desde que eles sejam anonimizados e que não sejam compartilhados com terceiros.
É importante considerar que a LGPD não se aplica para fins acadêmicos (Art. 4º, inciso II, alínea b), com exceção dos artigos 7 e 11. Observe o que dizem os artigos:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
É permitido pela LGPD, o uso compartilhado de dados entre órgãos da Administração Pública?
Sim. Entretanto, o uso compartilhado de dados pessoais pelo Poder Público deve atender as finalidades especificas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, como por exemplo informações ao INSS, e-social, fiscalizações, etc.
Os titulares podem, sem motivação, se opor ao tratamento de seus dados pela Administração Pública?
Não. A oposição ao tratamento de dados não poderá ser imotivada, já que só poderá ser exercida em caso de descumprimento ao determinado na LGPD.
Além disso a LGPD determina a continuação do tratamento quando necessária a proteção do interesse público, mesmo após o recebimento de comunicação expressa do Titular.
Os titulares podem solicitar a exclusão de seus dados pessoais?
O Capítulo III da LGPD trata dos direitos do titular. O Art. 18, inciso VI, diz que um desses direitos é a solicitação da eliminação de seus dados.
Contudo, no inciso II do parágrafo 4º desse mesmo artigo, está disposto que a Universidade, pode indicar as razões de fato ou de direito que impeçam a execução dessa solicitação.
Está previsto no Art. 16 que os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, porém é autorizada a conservação quando necessária para o cumprimento de obrigações legais ou regulatórias pela Universidade.
O impedimento da eliminação se dá através das seguintes bases legais:
– Lei 8159/1991, Art. 1: É dever do Poder Público a gestão documental e a proteção especial a documentos de arquivos, como instrumento de apoio à administração, à cultura, ao desenvolvimento científico e como elementos de prova e informação.
– Portaria MEC 1224/2013, que institui normas sobre a manutenção e guarda do Acervo Acadêmico das Instituições de Educação Superior (IES) pertencentes ao sistema federal de ensino. Observe que a tabela no Anexo I desta portaria define prazos de guarda de 100 anos e em alguns casos, até mesmo guarda permanente.
– Portaria MEC 315/2018, Art. 38: As IES e suas mantenedoras, integrantes do sistema federal de ensino, ficam obrigadas a manter, sob sua custódia, os documentos referentes às informações acadêmicas, conforme especificações contidas no Código de Classificação de Documentos de Arquivo Relativos às Atividades-Fim das Instituições Federais de Ensino Superior e na Tabela de Temporalidade e Destinação de Documentos de Arquivo Relativos às Atividades-Fim das Instituições Federais de Ensino Superior, aprovados pela Portaria AN/MJ nº 92, de 23 de setembro de 2011, e suas eventuais alterações.
Parágrafo único. O acervo acadêmico será composto de documentos e informações definidos no Código e na Tabela mencionados no caput, devendo a IES obedecer a prazos de guarda, destinações finais e observações neles previstos.
Os titulares podem solicitar o histórico de uso de seus dados pessoais?
O Art. 19. da LGPD garante esse direito:
A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular:
I – em formato simplificado, imediatamente; ou
II – por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.
