A Lei n. 13.709, de 14 de agosto de 2018, denominada Lei Geral de Proteção de Dados Pessoais – LGPD representa um marco histórico na regulação e dispõe sobre o tratamento de dados pessoais, no Brasil, tanto em meios físicos quanto em meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Estão expressamente estabelecidos na LGPD os seguintes fundamentos:
I – o respeito à privacidade;
II – a autodeterminação informativa;
III – a liberdade de expressão, de informação, de comunicação e de opinião;
IV – a inviolabilidade da intimidade, da honra e da imagem;
V – o desenvolvimento econômico e tecnológico e a inovação;
VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
A LGPD é aplicável a qualquer operação de tratamento realizada por pessoal natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país no qual estejam localizados os dados, desde que a operação de tratamento de dados seja realizada no Brasil; a atividade de tratamento tenha por objetivo a oferta de bens ou serviços ou manejo de dados de indivíduos localizados no país; ou, ainda, que os dados pessoais objeto do tratamento tenham sido coletados em território nacional.
Estão excluídos da lei alguns meios de tratamento de dados, a exemplo daqueles realizados para fins exclusivamente jornalísticos, artísticos e acadêmicos, além de informações relacionadas exclusivamente à segurança do Estado e a atividades de investigação e repressão de infrações penais.
A LGPD está dividida em 10 capítulos e 65 artigos.
O capítulo I é dedicado às disposições gerais, em que são encontrados os princípios que fundamentam a proteção de dados pessoais (art. 2º), o âmbito de aplicação territorial da lei (art. 3º) e conceitos básicos (art. 5º).
Entre os conceitos apresentados pela LGPD, destaca-se o de dados pessoais, que são informações relacionadas à pessoa natural identificada ou identificável (art. 5º, I).
Assim, a LGPD protege não só a informação que identifica uma pessoa natural, como também aquela que, cruzada com outras, permite a identificação da pessoa natural.
O art. 4º, inciso II, alínea “a” diz que a Lei não se aplica ao tratamento de dados pessoais realizado para fins exclusivamente acadêmicos, aplicando-se a esta hipótese os artigos 7º e 11 da Lei.
Há, ainda, os dados pessoais sensíveis, que são dados pessoais “sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural” (art. 5º, I).
Titular dos dados, por sua vez, é pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (art. 5º, V).
Já o tratamento é qualquer ação que se faça com os dados pessoais ou dados pessoais sensíveis. A LGPD aponta como tratamento “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” (art. 5º, X).
No capítulo II são apresentados os requisitos para o tratamento de dados pessoais, dados pessoais sensíveis, dados pessoais de criança e de adolescente, e as hipóteses de término do tratamento de dados.
Os direitos dos titulares são apresentados no capítulo III, com a descrição dos prazos e formas para o atendimento das requisições dos titulares.
O capítulo IV é dedicado ao tratamento de dados pessoais pelo Poder Público e a sua responsabilização em caso de infração à LGPD.
O capítulo V trata da transferência internacional de dados, e o capítulo VI se ocupa dos agentes de tratamento de dados pessoais, da responsabilidade dos agentes e do ressarcimento de danos.
Os agentes de tratamento de dados pessoais são três: o controlador, o operador e o encarregado pelo tratamento de dados pessoais.
Conforme os conceitos apresentados pela própria LGPD, o controlador é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais” (art. 5º, VI), enquanto o operador é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador” (art. 5º, VII).
O encarregado pelo tratamento de dados pessoais, por seu turno, é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
O capítulo VII cuida da segurança e das boas práticas a serem adotadas no tratamento de dados pessoais, enquanto o capítulo VIII trata da fiscalização da proteção de dados pessoais, com destaque para o rol de sanções administrativas que podem ser aplicadas pela ANPD.A Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal, integrante da Presidência da República, e o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade são especificados no capítulo IX.
Por fim, o capítulo X é dedicado às disposições finais e transitórias.
Com o aumento do fluxo de informações de dados pessoais e o crescimento da utilização deles pelos setores públicos ou privados, provocam o surgimento de vários legislação pelo mundo visando a proteção de dados pessoais.
O Brasil possuía uma série de normas sobre o assunto, em dispositivos diversos (Constituição Federal, Código de Defesa do Consumidor, Código Civil, Lei de Acesso à Informação, Lei do Cadastro Positivo e Marco Civil da Internet.
A Lei 13.709/2918 que criou a LGPD – Lei Geral de Proteção de Dados Pessoais alterou o cenário, dispondo sobre o tratamento de dados pessoais inclusive nos meios digitais, por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural.
A LGPD traz princípios que disciplinam a proteção de dados pessoais, define as bases legais para justificar o tratamento de dados, a fiscalização e a responsabilização dos envolvidos no tratamento de dados pessoais etc.
A LGPD, em síntese, inaugura nova cultura de privacidade e proteção de dados no país, o que demanda a conscientização de toda a sociedade acerca da importância dos dados pessoais e os seus reflexos em direitos fundamentais como a liberdade, a privacidade e o livre desenvolvimento da personalidade da pessoa natural.
1. A LGPD se aplica às Instituições de Ensino Superior?
As IES são obrigadas a manter, sob sua custódia, o acervo acadêmico, ou seja, o conjunto de documentos produzidos e recebidos, referentes à vida acadêmica dos estudantes e necessários para comprovar seus estudos. A Lei LDGP em relação ao tratamento de dados pessoais de acadêmicos, aplica-se os artigos 7º e 11 da LGPD.
As IES lidam com inúmeros dados pessoais, tanto de alunos, colaboradores, fiadores, pais ou responsáveis de alunos, professores, como também de empresas terceirizadas, parceiros comerciais, consumidores e não consumidores, por isso estão sujeitas à aplicação da LGPD.
A LGPD é uma lei transversal, atinge diversos agentes econômicos como setor privado, público e terceiro setor. Entre os setores reguladores, a IES está situada no setor acadêmico como Instituição de Ensino Privado (IES), trazendo a LGPD uma série de particularidades ao tratamento de dados pessoais realizados em sua estrutura (artigo 7º e 11 da LGPD).
Portaria 315 MEC de 04 de abril de 2018, art. 37 e seguintes.
2. A IES necessita do consentimento do aluno IES para o tratamento de dados pessoais?
A IES não precisa de consentimento do aluno nos casos previstos no art. 7º, incisos II a X. Entretanto, as IES necessitam identificar a norma específica que demonstre com clareza a sua obrigação, então poderão fazer o tratamento de dados necessário sem o consentimento do aluno.
O primeiro exemplo, para o cumprimento de obrigação legal. No contrato de prestação de serviços educacionais (previsão legal, Código Civil e Código de Defesa do Consumidor). Os dados do aluno serão compartilhados e, após ler os termos e aceitar as condições fixadas, assinará por si ou com o representante legal, além de testemunhas e fiador. Assinado o contrato e efetuada a matrícula, nasce o vínculo do estudante com a IES, possibilitando-a identificar a pessoa, o endereço domiciliar para envio de correspondências, construir histórico escolar, enviar boletos de cobrança, controlar entrada e saída de alunos na IES, efetuar empréstimos de livros, etc.
Segundo exemplo, o tratamento de dados por cumprimento de obrigação regulatória. A IES deve atender às obrigações legais específicas previstas nas normas editadas pelo MEC (Portaria 315 de 4 de abril de 2018) que cuida da particularidade do tratamento de dados do setor educacional, como a obrigatoriedade da custódia de todos os documentos referentes do acervo acadêmico, bem como sobre a guarda (permanente ou provisória) de documentos contidas no Código de Classificação de Documentos relativos à atividades-fim das IES, na tabela de temporalidade (Portaria AN/MJ 92 de 23 de setembro de 2011) .
Artigos 37 e seguintes, sobre o acervo acadêmico. https://www.in.gov.br/web/dou/-/portaria-n-315-de-4-de-abril-de-2018-9177556 e http://www.siga.arquivonacional.gov.br/images/codigos_tabelas/portaria_n0922011_tabela_de_temporalidade_e_destinao.pdf
Terceiro exemplo, quando a administração pública necessita do tratamento e uso de dados dos alunos para a execução de políticas públicas, como o ENADE , de inscrição obrigatória, que avalia o rendimento dos concluintes dos cursos de graduação em relação aos conteúdos programáticos previstos nas diretrizes curriculares dos cursos, o desenvolvimento de competências e habilidades necessárias ao aprofundamento da formação geral e profissional e o nível de atualização dos estudantes com relação à realidade brasileira e mundial.
A inscrição ao ENADE é obrigatória e a situação de regularidade do estudante é registrada no histórico escolar, ou seja, os dados dos alunos são tratados pela controladora e administração pública e não há nenhuma necessidade de consentimento.
A quarta hipótese, para a realização de estudos por órgão de pesquisa, também é permitido o tratamento de dados sem o consentimento prévio, neste caso, fazendo a ressalva de que deve ser garantida, sempre que possível a anonimização dos dados pessoais, ou seja, transformar dados pessoais em dados anônimos, por via de criptografia, por exemplo. O censo universitário é um estudo para o qual a IES fornece dados de alunos, informa quantos estão matriculados em cada período e quem são eles propriamente ditos e quais participarão do ENADE.
Quinto exemplo, é quando a IES (controladora) celebra termo de compromisso com o educando e com a parte concedente de um estágio, também compartilhará dados independentemente do seu consentimento. O tratamento de dados é necessário para a execução de contrato ou procedimento preliminar relacionado a contrato do qual seja parte o titular, a pedido do titular. Percebe-se o exemplo nas regras do Estágio (Lei 11.788/2008). A IES intermedia a relação do estudante com o concedente de estágio, que pode ser pessoa jurídica de direito privado, órgãos da administração pública direta, autárquica e fundacional de qualquer dos Poderes da União, Estados, DF e Municípios, bem como trabalhadores liberais de nível superior, devidamente registrados em seus respectivos conselhos de fiscalização. Ela cadastra o estudante, identifica as oportunidades de estágio, celebra termo de compromisso com as partes, indica oportunidades de estágio à proposta pedagógica do curso, ajusta suas condições de realização e faz o acompanhamento administrativo, sem contar que encaminha negociação de seguros contra acidentes pessoais dos estagiários.
Também são exemplos de tratamento sem previsão expressa, o envio de comunicado ou notificação para processar pagamentos.
ENADE, de inscrição obrigatória para estudantes ingressantes e concluintes habilitados de cursos de bacharelado e superiores de tecnologia vinculados às áreas de avaliação da edição, permite conhecer a qualidade dos cursos e instituições de educação superior brasileiras. Os resultados do ENADE, aliados às respostas do Questionário do Estudante, são insumos para o cálculo dos INDICADORES DE QUALIDADE DA EDUAÇÃO SUPERIOR https://www.gov.br/inep/pt-br/areas-de-atuacao/pesquisas-estatisticas-e-indicadores/indicadores-de-qualidade-da-educacao-superior
Sexta hipótese em que a IES não precisa obter consentimento para exercício regular de direitos ocorre em processo judicial, administrativo ou arbitral. A hipótese é de fácil compreensão, pois a manutenção de dados pode ser feita para a defesa de seus próprios direitos, como apresentar defesa em processo indenizatório, por exemplo.
Sétimo exemplo que a IES pode utilizar-se de dados sem requerer o consentimento do titular é quando a IES precisa proteger a vida ou incolumidade física do titular ou de terceiro. Por exemplo, a IES firma contrato de seguro contra acidentes pessoais para o aluno que for realizar atividades fora da Faculdade ou venha a participar de uma excursão, atividade de extensão ou pesquisa de campo.
Oitava hipótese, quando a IES necessitar tutelar a saúde do aluno, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária, também o fará sem o consentimento prévio do titular. Imagine a IES contactando um serviço de emergência médica para um aluno que teve um AVC dentro das dependências de ensino. Ou, então, um surto de determinada doença que pode ser necessária a presença do Estado, por meio de autoridades sanitárias dentro da IES e envolver dados pessoais dos matriculados.
A nova hipótese, a lei também determina que não haverá necessidade de consentimento para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. Cabe observar que o texto legal não aponta nenhuma finalidade objetiva em particular relacionada a estes interesses, tornando a exceção flexível e, um pouco redundante. A hipótese legal dependerá de casos concretos para ajustar a interpretação do texto em relação aos interesses legítimos de terceiros.
A décima exceção é em relação à proteção do crédito da IES, em conformidade com o Código de Defesa do Consumidor e da Lei do Cadastro Positivo. Esta exceção permite que a IES exerça direito legítimo de consultar serviços de proteção ao crédito antes da matrícula do titular de direitos, bem com incluir o nome do aluno nos serviços mencionados. Tais condutas não podem ser consideradas ilegais, cabendo à IES, na última hipótese, optar pelo meio de cobrança que lhe for mais eficaz, seja o protesto, ação administrativa ou judicial. A IES também pode transferir cobranças de anuidades escolares para escritórios jurídicos especializados.
A décima primeira exceção, é para dados tornados manifestamente públicos pelo titular de direitos.
3. Fora as hipóteses do art. 7º, incisos II a X, a IES necessita do consentimento do aluno para o tratamento de seus dados pessoais?
Sim, nos termos do artigo 7º, inciso I, da LGPD. Quando a IES pretende divulgar para a comunidade geral os alunos aprovados em vestibulares, ENEM ou outros concursos. Neste caso, a divulgação é para fins de Marketing e, quanto a isto, há regras previstas no Código Civil. Neste caso, há necessidade de consentimento do titular do direito, que deve ser informado sobre o uso dos seus dados de maneira clara e precisa.
Considerando que a Faculdade Pan-Americana de Administração e Direito é IES, será depositária de volume de dados pessoais coletados por meio de matrículas, históricos escolares, cadastros de Professores e colaboradores, entre outros determinados pelo órgão regulador, o que o fez criar o COMITÊ GESTOR DE PROTEÇÃO DE DADOS PESSOAIS E SEGURANÇA para cumprir e traçar os objetivos de sua conformidade regulatória frente às leis de proteção de dados, conhecida como LGPD.
4. A IES privada deve estar em conformidade com a LGPD?
Independentemente de ser IES pública ou particular, em suas atividades cotidianas elas lidam com controle de acesso, registros de presença, notas e condições de saúde de alunos, avaliação de desempenho de docentes, alunos e demais profissionais, envolvendo o tratamento de dados pessoais (nome, documento de identificação, informações de contato, etc). Estar em conformidade com a LGPD é realizar de forma adequada a prestação de serviços zelando pelo tratamento de dados dos seus titulares.
5. E se os alunos forem menores na IES?
Os dados de menores e Adolescentes, dada a sua vulnerabilidade, em consonância com a LGPD e o posicionamento internacional sobre o tema, busca balancear o desequilíbrio da relação entre os titulares e o Controlador, impondo obrigações legais mais rígidas para o responsável pelo tratamento de dados de crianças e adolescentes que abrange toda e qualquer operação, como a coleta, o mero acesso, a extração, a produção, o compartilhamento, etc., que envolva informações pessoais dos menores impúberes e púberes (art. 5º, inciso II, c/c art. 14 da LGPD, Decreto 99.710/90, Lei 12.010/2009, Working Party – WP29 ), necessitando do consentimento ao menos de um dos pais ou responsáveis legais.
6. A LGPD favorece a redução de práticas de segurança dentro da IES?
As normas permitem que o titular dos dados tenha autonomia sobre eles. Entretanto, caso seja demonstrado que o uso de biometria ou reconhecimento facial sejam essenciais para o fim de segurança, deve-se respeitar as condições legais para implementação das práticas e o aluno não poderá opor-se de forma gratuita. A IES, verificando ser ineficiente uma forma menos invasiva para atingir os objetivos, pode dar continuidade ao projeto, que estará amparada na defesa de um interesse legítimo.
7. Quais cuidados a IES precisa ter para coletar, usar, compartilhar, armazenar e eliminar dados?
Dados pessoais possuem um ciclo de vida dentro das entidades, iniciando-se com a sua coleta. Na coleta, é importante prestar atenção nas informações que são prestadas aos titulares sobre quais dados estão sendo coletados, qual a finalidade da coleta e o regime de uso e compartilhamento deles.
A informação sobre a coleta de dados pode ocorrer por meio de uma política de privacidade, em uma cláusula contratual, nos formulários de matrícula ou por meio de qualquer aviso na plataforma educacional ou no site.
ARTICLE 29 WORKING PARTY, UE. Guidelines on consent under Regulation 2016/679. Nov. 2017. Disponível em: . Acesso em: 18 mar. 2020. p. 26.
No uso de dados pessoais, a IES visa manter estrita compatibilidade com as finalidades informadas no momento da sua coleta. Uso de dados pessoais de maneira que vai além da finalidade informada (e sem qualquer base legal que a justifique) é considerado uso indevido de dados e pode gerar responsabilidade.
A IES se preocupa com a dinâmica de credencial de acesso, restringindo colaboradores que possam ter acesso a tais dados, bem como qualificando-as para a compreensão da conformidade da LGPD ao acesso de dados dos titulares, visando prevenir incidentes de segurança, como o vazamento de dados.
A IES pode compartilhar dados pessoais de estudantes, professores e colaboradores, a exemplo de cursos de idiomas, empresas que confeccionam carteiras de estudantes, convênios médicos, folha de pagamento?
O compartilhamento de dados pode ocorrer entre entidades públicas para fins de execução de políticas públicas educacionais, previstas na LGPD e entidades privadas. Entretanto, não é necessário detalhar exatamente com qual empresa o dado poderá ser compartilhado, mas sugere-se constar na política de privacidade ou qualquer outro termo contratual celebrado com o titular que a área de atuação dessas empresas e a finalidade do compartilhamento seja indicado. Exemplo, a folha de pagamento de professores e colaboradores poderá ocorrer o compartilhamento de dados com terceiros para a finalidade de processamento dos pagamentos devidos, que será incluído no contrato de trabalho/prestação de serviços.
8. É necessário autorização dos pais quando as IES necessitam compartilhar dados com órgãos públicos para título de avaliação e implementação de políticas públicas?
Quando as IES necessitarem compartilhar dados pessoais de alunos com órgãos públicos para fins de implementação de políticas públicas (como exemplo política assistencial no setor educacional, política ao transporte escolar, política de representatividade, etc.), o consentimento do aluno e dos pais ou representantes legais dos alunos menores não será necessário. A LGPD apresenta hipóteses autorizativas para o tratamento de dados pessoais de modo que o consentimento só será necessário quando não estiver nas hipóteses permissivas da LGPD.
9. Como deve ser realizada a fiscalização dos dados coletados por plataformas e aplicativos educacionais?
A LGPD não é lei voltada apenas para a internet, mas alcança também o tratamento de dados ocorrido dentro e fora da rede. Assim, durante o período da pandemia da Covid-19, com a mediação eletrônica do ensino-aprendizagem, uma série de novos dados passaram a ser coletados e usados, como IP de conexão, imagem de webcams, etc. O gestor da IES deve conhecer os termos de privacidade e as condições de uso das plataformas educacionais que venha a utilizar para que possa decidir pela adoção de ferramentas úteis na dinâmica do aprendizado de forma a manter íntegra a proteção de dados de alunos, docentes e colaboradores.
10. Se o acadêmico mudar de IES, pode solicitar que seus dados sejam apagados?
A exclusão de dados faz parte do ciclo de vida dos dados. Entretanto, tal questão está sujeita a regulação do MEC prevista na tabela de temporalidade e destinação de documentos de arquivo relacionados às atividades-fim das IES, sobre os casos de transferências (voluntárias ou ex officio).
11. Quais as regras sobre armazenamento de dados?
O armazenamento de dados traz questionamentos próprios. Muitas IES utilizam serviços em nuvem que hospedam dados no exterior. Na política de privacidade e nos contratos deve constar que os dados pessoais podem vir a ser hospedados no exterior. Uma revisão dos padrões de segurança de armazenamento de dados também é importante em tempos em que ocorrem vazamentos de dados noticiados.
http://www.siga.arquivonacional.gov.br/images/codigos_tabelas/portaria_n0922011_tabela_de_temporalidade_e_destinao.pdf
12. Os dados dos alunos podem ser apagados?
Quanto ao descarte de dados, é preciso saber até quando o dado pessoal que compõe o acervo acadêmico precisa ser armazenado e quando ele já cumpriu sua finalidade.
A IES é a responsável pelo acervo acadêmico, cabendo manter, sob sua custódia todos os documentos referentes às informações acadêmicas, nos termos da Portaria 315, MEC (artigo 38 e seguintes). As informações sobre a guarda permanente (regra) ou não (exceções) do acervo acadêmico é regulada pelo Código de Classificação de Documentos relativos à atividade fim da IES, conforme tabela de temporalidade e destinação de documentos de arquivo relativos às atividades-fim das IES. Pela norma, entende-se que os dados obedecem a regra de guarda permanente. As exceções (dados descartados, apagados, anonimizados) estão reguladas pela norma.
13. Os dados dos alunos devem ser tratados (protegidos), de que forma?
A LGPD não diferencia a forma como os dados pessoais de alunos são tratados, se em formato físico ou eletrônico, muito menos se é realizado em formato automatizado. Os dados pessoais guardados em arquivo morto também são protegidos e regulados pela nova norma e, por normas específicas do MEC.
14. Quais os riscos da IES não cumprir com a LGDP?
As sanções podem envolver advertência e publicização da infração, depois de apuração e confirmação, assim como bloqueio e eliminação de dados pessoais envolvidos na infração, suspensão parcial do banco de dados. Pode ainda ocorrer a suspensão das atividades de tratamento dos dados pessoais e a proibição parcial ou total do exercício das atividades relacionadas ao tratamento de dados, mais multa diária e simples, de até 2% do faturamento. Pode haver, além das sanções administrativas, demandas judiciais oriundas da desconformidade com a LPGD podendo acarretar danos reputacionais às IES, prejudicando suas parcerias comerciais e a confiança da IES. A ANPD – Autoridade Nacional de Proteção de Dados, é o órgão oriundo da LGPD responsável pela fiscalização do cumprimento da lei.
Considera-se acervo acadêmico o conjunto de documentos produzidos e recebidos por IES públicas ou privadas, pertencentes ao sistema federal de ensino, referentes à vida acadêmica dos estudantes e necessários para comprovar seus estudos, nos termos do Art. 37 da Portaria 315 de 4 de abril de 2018 MEC.
http://www.siga.arquivonacional.gov.br/images/codigos_tabelas/portaria_n0922011_tabela_de_temporalidade_e_destinao.pdf
O titular de dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição (art. 18 LGPD):
✔ Confirmação da existência de tratamento;
✔ Acesso aos dados;
✔ correção de dados incompletos, inexatos ou desatualizados;
✔ anonimização, bloqueio, eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGDP;
✔ portabilidade de dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
✔ eliminação dos dados tratados com o consentimento do titular;
✔ informação das entidades públicas e privadas com as quais o controlador realizou o uso compartilhado de dados;
✔ informação sobre a possibilidade de não fornecer o consentimento e sobre as consequências da negativa;
✔ revogação do consentimento (art. 8º, § 5º, LGPD);
✔ peticionar em relação aos seus dados contra o controlador perante a autoridade nacional;
✔ oposição ao tratamento relacionado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na LGPD.
COMITÊ GESTOR DE PROTEÇÃO DE DADOS PESSOAIS E SEGURANÇA:
Endereço: Av. Mal. Floriano Peixoto, 886, Centro – CEP 80.010-130 -Curitiba – Pr.
Fone: (41)3501-7455
Fale conosco: secretaria@fapad.edu.br
O Comitê Gestor de Proteção de Dados Pessoais e Segurança – CGPDPS – foi instituído pela Faculdade Pan-Americana de Administração em Direito pela Portaria 004/2021, para o cumprimento da Lei 13.709/2018 – Lei Geral de Proteção de Dados Pessoais – LGPD e regulações do MEC.
É formado por equipe multidisciplinar de Professores e colaboradores que acumulam suas atividades ordinárias com aquelas do CGPDPS e está vinculado ao IPETT – Instituto Pan-Americano de Ensino e Treinamento Telepresencial, Mantenedor da Faculdade Pan-Americana de Administração e Direito.
O CGPDPS é responsável pela avaliação dos mecanismos de tratamento e proteção dos dados existentes e pela proposição de ações voltadas ao seu aperfeiçoamento. As suas ações são sustentadas por grupo de trabalho técnico com atribuições específicas.
O CGPDPS é o responsável pela análise e resposta aos pedidos dos titulares de dados.
✔ avaliar os mecanismos de tratamento e proteção de dados existentes e propor políticas, estratégias e metas para a conformidade da Faculdade Pan-Americana de Administração e Direito com a LGPD e regulações MEC;
✔ formular princípios e diretrizes para a gestão de dados pessoais e propor sua regulamentação;
✔ capacitar colaboradores que recebem, manipulam e armazenam documentos com dados pessoais;
✔ desenvolver políticas internas de privacidade e proteção de dados pessoais e de segurança;
✔ conscientizar e divulgar a LGPD junto aos colaboradores, professores e tutores, bem como adequar contratos com prestadores de serviços;
✔ divulgar e sensibilizar a comunidade acadêmica para garantir boas práticas em conformidade com a LGPD e regulações Ministério da Educação;
✔ promover o intercâmbio de informações sobre a proteção de dados pessoais com outros órgãos;
✔ estabelecer protocolo de conformidade ao marco legal de proteção de dados por meio de interpretação das normas ante os fatos específicos aplicáveis às IES e levantamento dos fluxos e processos que contribuem para a subsunção dos fatos às normas;
✔ elaborar o relatório de impacto à proteção de dados pessoais – RIDPD;
✔ supervisionar a execução dos planos, dos projetos e ações aprovados para viabilizar a implantação das diretrizes previstas na Lei 13.709 de 14 de agosto de 2018.
✔ Lei 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados
http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm
✔ Lei 13.853, de 8 de julho de 2019 (altera a Lei 13.709)
✔ http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1
✔ https://www.gov.br/mec/pt-br/acesso-a-informacao/lgpd
✔ Portaria 04/2021 – Institui o CGPDPS no âmbito da Fapad
✔ ISO 27701 – Segurança da Informação e Privacidade
✔ Portarias 315 e 330 do Ministério da Educação
✔ Portaria AN/MJ 92, de 23 de setembro de 2011;
✔ http://www.siga.arquivonacional.gov.br/images/codigos_tabelas/portaria_n0922011_tabela_de_temporalidade_e_destinao.pdf
✔ Decreto n. 8.777, de 11 de maio de 2016 (Política de Dados Abertos do Governo Federal)
✔ Lei n. 12.965, de 23 de abril de 2014 (Marco Civil da Internet)
✔ Resolução BACEN n. 4.658 (Política de segurança digital para instituições financeiras)
✔ Decreto n. 7.962, de 15 de março de 2013 (Comércio eletrônico)
✔ Lei n. 12737, de 30 de novembro de 2012 (Tipificação criminal para delitos de informática)
✔ Lei n. 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação)
✔ Lei n. 12.414, de 9 de junho de 2011 (Consulta de cadastro positivo para fins de crédito)
✔ Decreto n. 6.523, de 31 de julho de 2008 (Serviço de Atenção ao Consumidor)
✔ Decreto n. 6.425, de 4 de abril de 2008 (Censo anual de educação)
✔ Decreto n. 6.135, de 26 de junho de 2007 (Cadastro de programas sociais e intercâmbio de dados entre órgãos do Estado)
✔ Resolução n. 1.821/2007 do CFM (Digitalização e guarda de prontuários médicos)
✔ Lei Complementar n. 105, de 10 de janeiro de 2001 (Sigilo das operações das instituições financeirasLei n. 9.983, de 14 de julho de 2000 (Alteração e criação de dados falsos em sistemas da administração pública)
✔ Lei n. 9.296, de 24 de julho de 1996 (Interceptações telefônicas)
✔ Lei n. 9.472, de 16 de julho de 1997 (Lei Geral de Telecomunicações)
✔ Lei n. 8.069, de 13 de julho de 1990 (Estatuto da Criança e do Adolescente)
✔ https://www.gov.br/mec/pt-br/acesso-a-informacao/lgpd
✔ Lei Europeia :
https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex%3A32016R0679
Agente de tratamento: controlador e operador.
Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação direta ou indireta) a um indivíduo.
Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei LGPD em todo o território nacional.
Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou vários locais, em suporte eletrônico ou físico.
Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante a guarda do dado pessoal ou banco de dados.
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Dado pessoal: informação relacionada a uma pessoa natural identificada ou identificável (art. 5º, inciso I). Se uma informação permite identificar, direta ou indiretamente um indivíduo que esteja vivo, ela é considerada um dado pessoal: rg, cpf, local de nascimento, telefone, residencial, localização, via GPS, prontuário de saúde, retrato em fotografia, renda, histórico de pagamentos, endereço de IP (protocolo da Internet), cookies, etc.
Dado pessoal de criança (até 12 anos) e adolescente (12 a 18 anos): as informações sobre o tratamento de dados pessoais de crianças e adolescentes devem ser fornecidas de maneira simples, clara, acessível, de forma a proporcionar a informação necessária aos pais ou responsável legal e adequada ao entendimento da criança.
Dados sensíveis: são dados pessoais de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou a vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (art. 5º, inciso II, LGDP)
Decisões unicamente automatizadas são decisões referentes um usuário que foram programadas para funcionar automaticamente, com base em tratamento automatizado de dados pessoais.
Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente de procedimento empregado.
Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, titulares dos dados e Autoridade Nacional de Proteção de Dados (ANPD).
Garantia da segurança da informação (dados): capacidade de sistemas e organizações assegurrem a disponibilidade, integridade, confidencialidade, autenticidade da informação.
ID de Sessão – identificação da sessão de usuários quando é efetudo o acesso aos site/aplicativos
IP – Internet Protocol – conjunto alfanumérico que visa identificar os dispositivos dos usuários na internet
Interoperatibildiade: capacidade de sistemas e organizações oeprarem entre si.
Logs registros de atividades de quaisquer usuários que utilizem os sites/apicativos
Operador: pessoa natural ou jurídica de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Órgão de pesquisa: órgão ou entidade da administração pública (direta ou indireta) ou pessoa jurídica de direito público ou privado sem fins lucrativos legalmente constituída sob as leis brasilerias, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.
Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundametnais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Titular: pessoa natural a quem se referem os dados pessoais que sã objeto de tratamento.
Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.
Tratamento de dados: operação realizada com dados pessoais, como coleta, produção recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (art. 5, X)
Tratamento: toda operação realizada com dados pessoais, como :
– acessso – possibilidade de comunicar-se com um dispositivo, meio de armazenamento, unidade de rede, memória, registro, arquivo, etc. visando receber, fornecer, ou eliminar dados.
– armazenamento – ação ou resultado de manter o u conservar em repositório um dado.
– arquivamento – ato ou efeito de manter registrado um dado embora já tenha perdido a validade ou esgotada a sua vigência.
– avaliação – ato ou efeito de calcular valor sobre um ou mais dados.
– classificação – maneira de ordenar os dados conforme algum critério estabelecido.
– coleta – recolhimento de dados com finalidade específica.
– comunicação – transmitir informações pertinentes a políticas de ação sobre os dados.
– controle – ação ou poder de regular, determinar ou monitorar ações sobre o dado.
– difusão – ato ou efeito de divulgação, propagação, multiplicação dos dados.
– distribuição – ato ou efeito de dispor de dados de acordo com algum critério estabelecido.
– eliminação – ato ou efeito de excluir ou destruir dado do repositório.
– extração – ato de copiar ou retirar dados do repositório em que se encontra.
– modificação – ato ou efeito de alteração do dado.
– processamento – ato ou efeito de processar dados.
– produção – criação de bens e de serviços a partir do tratamento de dados.
– recepção – ato de receber os dados ao final da transmissão.
– reprodução – cópia de dado preexistente obtido por meio de qualquer processo.
– transferência – mudança de dados de uma área de armazenamento para outra, ou para terceiro.
– transmissão – movimentação de dados entre dois pontos por meio de dispositivos elétrios, telegráficos, telefônicos, radielétricos, pneumáticos, etc.
– utilização – ato ou efeito do aproveitamento dos dados.
Sessões – pequenos arquivos armazenados em servidores da IES, que se comunicam com cookies salvos nos seus dispositivos para validar a sessão de uso em sites/aplicativos
Uso compartilhado de dados – comunicação, difusão, transferência internacional, interconexão de dados ou tratamento compartilhado de banco de dados pessoais por órgãos e entidades públicas no cumprimento de suas competências legais ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos ou entre entes privados.
Como posso te ajudar?