Certa vez, o escritor inglês William McFee, que além de escritor também era engenheiro naval no início do século passado, cravou uma frase que seria o norte de um aforismo político considerável: “O mundo não está interessado nos temporais que você encontrou. Ele quer saber se você trouxe o navio.” Amiúde ao seu devido contexto, resta claro que aforismo acima é perfeitamente cabível na implantação da chamada Lei Geral de Proteção de Dados (LGDP), em especial perante as instituições de ensino superior privadas.
Como é cediço, a Lei n.° 13.709, de 14 de agosto de 2018, alterada pela Medida Provisória n.° 869, de 27 de dezembro de 2018, a qual foi convertida na Lei n.° 13.853, de 8 de julho de 2019, que instituiu a chamada Lei Geral de Proteção de Dados (LGPD), estabeleceu um regramento geral para as operações de tratamento de dados pessoais, seja por meio físico ou digital, realizadas por intermédio de pessoas jurídicas e naturais.
A LGPD objetiva mitigar os riscos relacionados ao tratamento indevido e/ou abusivo de dados e, ao mesmo tempo, viabilizar que novos negócios e tecnologias sejam desenvolvidos em um ambiente de segurança jurídica, com base em importantes fundamentos, tais como: respeito à privacidade; à autodeterminação informativa; à liberdade de expressão, de informação, de comunicação e de opinião; à inviolabilidade da intimidade, da honra e da imagem; ao desenvolvimento econômico e tecnológico e a inovação; à livre iniciativa, livre concorrência e defesa do consumidor e aos direitos humanos liberdade e dignidade das pessoas.
A aplicação da LGPD impactará em todas as organizações nacionais ou estrangeiras que ofertam produtos e/ou serviços para o mercado nacional ou que monitorem o comportamento de titulares de dados localizados no Brasil, independentemente de sua nacionalidade ou local de residência. Considerando a sua amplitude, resta evidente que a LGPD também impactará de maneira contundente nas instituições de ensino superior em razão dos serviços que estas prestam, pois as IES são detentoras de dados importantes de alunos e docentes, além de dados acadêmicos que possuem tratamento diferenciado.
De maneira geral, a LGPD possui um escopo amplo, dentre os quais: estabelecer requisitos claros para o tratamento de dados pessoais, inclusive com acesso facilitado para aqueles que são titulares dos dados; estabelecer requisitos mais rígidos para o tratamento de dados pessoais tidos como sensíveis; estabelecer requisitos para o tratamento de dados pessoais de crianças e adolescentes; estabelecer regras para o término do tratamento de dados; descrever todos os direitos do titular dos dados; disciplinar regras para o tratamento de dados pelo poder público; estabelecer regras sobre a transferência internacional de dados; disciplinar a responsabilidade sobre o exercício de atividade de tratamento de dados pessoais e regras de ressarcimento de danos; sugerir a adoção de medidas de segurança, sigilo de dados, boas práticas e governança no tratamento dos dados; e, estabelecer a fiscalização e sanções administrativas, as quais podem ser mitigadas com a adoção de boas práticas de mitigação e integridade.
A Lei Geral de Proteção de Dados atribui ao titular de dados pessoais o direito de obter informações claras, adequadas e ostensivas a respeito do tratamento de seus dados. Importa esclarecer que tratamento de dados engloba a coleta, produção, recepção, classificação, utilização, o acesso, a reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados pessoais. De acordo com a lei, as informações sobre o tratamento de dados pessoais devem ser claras, objetivas, facilmente compreensíveis e acessíveis ao titular durante todo o período em que o tratamento ocorre.
Amiúde à clara extensão da LGPD, sendo certa que sua abrangência inclui as pessoas jurídicas de todos os segmentos econômicos no país, no que tange às instituições de ensino superior há uma exceção explícita na lei, qual seja: a mesma não se aplica ao tratamento de dados pessoais realizados para fins exclusivamente acadêmicos, nos termos previstos no art. 4º, II, b, da LGPD, com importante alteração dada pela MPV n.° 869, de 2018, mormente convertida na Lei n.° 13.853, de 8 de julho de 2019.
Sendo assim, é imprescindível que, no decorrer da implantação da LGPD às suas respectivas realidades, as instituições de ensino superior façam uma análise sobre a conformidade dos dados pessoais que sejam meramente acadêmicos e os outros dados pessoais de cunho diverso. Essa análise implicará na economia de tempo e de recursos incidentes sobre as operações de tratamento de dados pessoais que as instituições de ensino inevitavelmente terão que realizar.
Os dados pessoais de alunos e docentes, não necessariamente vinculados às atividades acadêmicas, teriam duas implicações diretas para as instituições de ensino superior: uma de ordem consumerista e outra de ordem trabalhista. A não conformidade no tratamento de dados pessoais dos alunos, dados esses não necessariamente acadêmicos, poderia implicar em uma demanda de ordem consumerista, uma vez que haveria a necessidade de um consentimento expresso do titular do dado (o aluno) para que esse dado pudesse ser exposto ou não. Da mesma forma, a não conformidade no tratamento de dados pessoais dos docentes, dados esses não acadêmicos, poderia implicar em uma demanda de ordem trabalhista, uma vez que também haveria a necessidade do consentimento expresso do titular do dado (professor) para que esse dado pudesse ser exposto ou não. Essa é uma situação que pode levar a discussões judiciais, sob o ponto de vista consumerista e trabalhista, para um patamar até então desconhecido.
Aliás, diga-se de passagem, a própria LGPD estabelece de maneira explícita que o titular dos dados pessoais tem o direito de peticionar diretamente para a autoridade nacional em caso de descumprimento da norma, podendo exercer tal direito também perante os órgãos de defesa do consumidor. Essa possibilidade pode trazer à tona novas situações relacionadas ao direito do consumidor, o qual granjeará um novo patamar em seus direitos.
Em outras palavras, as instituições de ensino superior serão obrigadas a resguardar o tratamento dos dados de alunos e docentes com base nas perspectivas acima, sendo que as informações sobre o tratamento de dados pessoais devem ser claras, objetivas, facilmente compreensíveis e acessíveis ao titular durante todo o período em que o tratamento ocorrer. Considerando os direitos dos titulares dos dados e a ressalvada dada pela lei em razão dos dados pessoais acadêmicos, a pergunta que se faz é a seguinte: quais seriam os dados pessoais que a instituição de ensino é obrigada a fazer um tratamento específico? Necessariamente, seriam os dados pessoais que estariam atrelados a conteúdos de natureza econômica, social ou enquadrados pela lei como dados pessoais sensíveis.
Os dados pessoais sensíveis, de acordo com a LGPD, são aqueles relacionados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Sendo assim, todos os dados pessoais sensíveis que tenham relações com os dados acadêmicos devem ser objeto de análise para que possam ser apartados e que sejam estabelecidos os tratamentos devidos para que a instituição de ensino não tenha problemas na utilização desses dados.
Dentro desse contexto, a instituição terá que estabelecer procedimentos de integridade sobre como será realizado o tratamento dos dados pessoais de alunos e docentes relacionados com suas atividades, como por exemplo:
- O tratamento de dados pessoais referentes à condição socioeconômica dos beneficiários das políticas públicas federais, como o Fies e Prouni;
- O tratamento de dados pessoais referentes à política de descontos adotada pela IES;
- Criação de mecanismos (tecnológicos) de acesso facilitado de dados;
- Informação aos discentes sobre quais dados ele têm acesso, bem como informar o fim do prazo para tratamento dos respectivos dados; e,
- Criação de mecanismos sobre o consentimento inequívoco para docentes e discentes em relação à utilização dos seus dados pessoais pela instituição, a exemplo da necessidade de autorização expressa para a participação do docente em propaganda institucional.
Os exemplos acima demonstram que as instituições de ensino superior devem fazer importantes adequações às exigências da LGPD, mas ponderando com as exceções previstas em lei. As adequações perpassam também nas exigências regulatórias do Ministério da Educação, a exemplo da Portaria MEC n.° 1.095, de 25 de outubro de 2018, que disciplina a expedição e o registro de diplomas de cursos superiores de graduação. A referida Portaria estabelece, por exemplo, a obrigatoriedade de que as IES mantenham banco de informações de registro de diplomas diretamente nos seus respectivos sítios eletrônicos, os quais poderão ser objeto de consulta pública. Nesse caso, as IES terão que fazer, dentro de seus procedimentos internos, um tratamento específico que discipline o conhecimento do aluno sobre essa divulgação. Tal tratamento também deverá ser objeto de previsão para o chamado “Diploma Digital”, criado por meio da Portaria MEC n.° 330, de 5 de abril de 2018 e regulado pela Portaria MEC n.° 554, de 11 de março de 2019, e que entrará em vigor a partir de 2021.
Como se pode perceber, a LGPD possui uma amplitude considerável perante as instituições de ensino superior, motivo pelo qual é recomendável que as entidades iniciem as adequações à lei por meio de uma análise sistemática de todos os dados que estão ao seu dispor, o mapeamento de todos e a criação de estratégias de tratamento de cada um, levando-se em consideração às exceções previstas em lei. Ato contínuo, será necessário fazer as adequações primeiramente no contrato de prestação de serviço da entidade para resguardar os dados que serão objetos de tratamento específico.
A LGPD é uma realidade inexorável em nosso país e, parafraseando o escritor inglês William McFee citado inicialmente, a referida legislação não está interessada nos temporais que a instituição está passando, ela quer saber se a entidade está com o navio pronto para ser utilizado. Desde a aprovação da LGPD no Brasil, as IES públicas e privadas buscam estabelecer estratégias eficazes para a conformidade. O desafio é equilibrar a conformidade e a proteção da privacidade com a sustentação do próprio negócio e com as inovações. Para a busca de conformidade serão necessárias muitas mudanças operacionais e de processos de trabalho em diversas áreas das instituições de ensino, além de investimentos em capacitação e implementação de novas tecnologias.