SONILENE MENDES CORDEIRO ^[1]

(coautora)

GISELA CARVALHO DE FREITAS ^[2]

RODRIGO ARAÚJO SARAIVA^[3]

(orientadores)

RESUMO: A lei 13.709/2018, denominada Lei Geral de Proteção de Dados (LPGD), é uma norma em processo de construção há algum tempo no Brasil. Surgiu para dar mais transparência e participação às pessoas no tratamento de seus dados pessoais. Visa a proteção das informações buscando a salvaguarda da intimidade e da privacidade, garantida a todo cidadão pela Constituição Federal de 1988. Frisa-se que, a LGPD buscou parâmetros na lei europeia de proteção de dados (GDPR) para a definição de dados, determinando assim, rigorosamente aspectos em relação à responsabilidade das empresas no tratamento de dados pessoais. O presente artigo se baseia no método de abordagem dedutiva, utilizando-se de pesquisa bibliográfica que teve como base a pesquisa de livros, artigos científicos, doutrinas e legislação comparada. Concluiu-se que a lei estabelece diretrizes jurídicas, para haver uma conformidade técnica, sendo esse um ponto essencial para que as instituições de ensino possam compreender o que significa cada elemento apresentado de forma ampla, como direito fundamental.

Palavras-chave: Instituições de Ensino; LGPD; GDPR; Direito Fundamental.

ABSTRACT: The Law, 13.709/2018, named the General Data Protection Law, is a standard rule in the building process time in Brazil. The LGPD emerged to give more transparency and participation to people in the treatment of their personal data. It aims for data protection and seeks to safeguard the intimacy and privacy guaranteed to every citizen by the Federal Constitution of 1988. It relevant to point that the LGPD sought parameters in the European Data Protection Law (GDPR) for the definition of data, thus determining rigorous aspects in relation to the responsibility of the companies in the treatment of personal data. This article is based on the deductive approach method, using bibliographic research and will be a base for the research of books, scientific articles, doctrines, and comparative legislation. In short, the work concluded that the law establishes legal guidelines, to have technical compliance, which is an essential point for educational institutions to understand what each element presented broadly as a fundamental right means.

Keywords: Educational Institutions; LGPD; GDPR; Fundamental Right

Sumário: 1. Introdução – 2. A análise constitucional da proteção de dados como direito fundamental. 3. Fontes formais gerais referentes à proteção de dados no Brasil; 3.1 Código de defesa do consumidor; 3.2 Lei Carolina Dieckmann; 3.3 Marco civil da internet. 4.  Lei geral de proteção de dados – LGPD; 4.1 Principais diferenças entre a LGPD e GDPR. 5. LGPD nas Instituições de Ensino; 5.1 As Instituições de Ensino possuem obrigação no cumprimento da LGPD; 5.2 Medidas a serem observadas na implementação da LGPD nas Instituições de Ensino. 6. Considerações finais. 7. Referências.

1 INTRODUÇÃO

É cediço observar que o mundo contemporâneo apresenta demandas que inquietam a população, devido à massificação da cultura cibernética, que vem alargando consideravelmente, o espaço para negociações, interações e informações, na rede de computadores.

Nesse universo virtual, os dados pessoais da população são postos em evidência, visto que as informações são utilizadas de forma desmedida, sem a devida preocupação de como esses dados serão processados, tratados e descartados, o que pode causar prejuízo, insegurança e vulnerabilidade dos internautas em relação a crimes cibernéticos e ataque de hackers.

Diante do exposto, o foco discursivo da pesquisa norteou-se pelas inquietações referentes à necessidade da proteção de dados pessoais, como direito fundamental, e sua efetivação por parte das instituições de ensino, pois essa proteção diz respeito a um direito fundamental garantido pela Constituição Federal, no art. 5º, LXXIX (BRASIL, 1988).

Com o objetivo de identificar os meios adequados para essa averiguação, buscou-se revisar a bibliografia dos Direito Constitucional e Civil, fazendo abordagem através do direito comparado, que se dedica a averiguação de semelhanças e diferenças referentes aos sistemas jurídicos brasileiro e europeu. Enfocando a efetivação da LGPD nas instituições de ensino, foram realizadas pesquisas nas principais fontes formais gerais do Direito sobre a proteção de dados no Brasil, analisando a Lei de Proteção de Dados (LGPD) e tecendo um paralelo com a General Data Protection Regulation (GDPR), o Regulamento Geral sobre a Proteção de Dados Europeu.

Para tanto, foram observados os principais impactos gerados pela efetivação da Lei de Proteção de Dados (LGPD) nas instituições de Ensino, a partir da observância da legislação que vem gerando uma transformação global, levando-se em consideração as principais diretrizes para a implementação de normas, regulamentos e a conscientização das instituições de ensino, dos seus alunos, colaboradores e terceiros.

Buscou-se com isso ampliar a discussão sobre a importância de uma maior segurança com relação aos dados pessoais, no tocante a sua coleta, utilização, acesso, transferência, modificação, análise, armazenamento e eliminação, para evitar que essa coleta seja realizada de maneira equivocada, excessiva, abusiva e lesiva aos direitos dos titulares dos dados, conforme a regulamentação da Lei Geral de Proteção de Dados.

Esse debate se faz necessário devido à grande relevância do tema para a sociedade, visto que as informações pessoais estão sendo passadas e acessadas a todo momento e as pessoas ficam expostas e indefesas na rede de computadores o tempo todo e, desta forma, subtende-se que as instituições de ensino possuem ampla necessidade de disposição de dados pessoais. Desta maneira, as instituições de ensino precisam se adequar para que haja a realização de um tratamento de dados com muita responsabilidade e transparência, devendo ser implementada uma política efetiva de proteção de dados, conforme a legislação vigente.

Essa discussão teve como amparo metodológico a pesquisa bibliográfica, em livros consagrados sobre a temática LGPD, estudando o direito à proteção de dados como direito fundamental, artigos sobre a efetivação da LGPD nas instituições de ensino, com uma abordagem dedutiva.

O método de abordagem dedutiva direciona-se ao que é racional, tratando-se da única forma de obter conhecimento real, utilizando uma cadeia descendente de raciocínio, da análise geral para a análise especial, chegando então à conclusão.

O trabalho no primeiro momento abordou a análise constitucional referente à proteção de dados como direito fundamental, no segundo momento apresentou as fontes formais do direito, referentes à proteção de dados no Brasil, o terceiro momento explanou sobre o ponto principal da pesquisa que é a Lei de Proteção de Dados (LGPD), tecendo um paralelo com a General Data Protection Regulation (GDPR), lei de proteção de dados europeia, por fim, irá discorrer a respeito da LGPD nas instituições de ensino, levando-se em conta o cumprimento das obrigações impostas pela lei de proteção de dados e as medidas que devem ser observadas para a sua devida efetivação.

2 A ANÁLISE CONSTITUCIONAL DA PROTEÇÃO DE DADOS COMO DIREITO FUNDAMENTAL

O conhecimento e a informação caracterizam de forma predominante todas as formas de desenvolvimento humano, agregando valores econômicos, sociais, culturais e políticos, entre outros. Diante deste contexto, é coerente afirmar que os dados pessoais estabelecem um importante aspecto relacionado à privacidade e à personalidade dos indivíduos.

O fluxo de informações vem aumentando dia após dia, acompanhando o novo contexto da sociedade contemporânea, resultado de diversas mudanças ocorridas durante séculos, no tocante à aceleração do progresso científico e tecnológico, como aponta Doneda (2011, p. 92): “O que hoje a destaca de seu significado histórico é uma maior desenvoltura na sua manipulação, desde a coleta e tratamento até a comunicação da informação”.

A coleta de dados pessoais, por sua vez, vem sendo realizada com muita frequência, por meio da utilização abundante de serviços e bens oferecidos na internet, desta forma, as pessoas têm seus comportamentos e hábitos monitorados constantemente, através da rede de computadores, de modo que, esses dados uma vez capturados na rede, poderão ser fornecidos por alguém a qualquer comprador interessado.

De acordo com Finkelstein e Finkelstein (2019, p. 284): “é notório que desde o advento da internet, a coleta de dados invadiu sobremaneira a privacidade das pessoas”. No mesmo sentido assevera Bezerra e Waltz:

“...o fluxo e o armazenamento de comunicações e informações pessoais na rede abrem brechas à vigilância estatal indevida, uso impróprio de dados de clientes por empresas, ataque de hackers a data centers e a dispositivos pessoais, vazamento de informações sigilosas por pessoas mal-intencionadas a fim de denegrir a imagem de terceiros, entre outros (BEZERRA; WALTZ, 2014. p. 162)”. 

Dessa maneira, o comprador dos dados pessoais expostos na rede se arma pelo conhecimento adquirido, entra na competição pela atenção do consumidor, oferecendo um fluxo constante de conteúdos que serão construídos e vistos, podendo assim, colocar em risco sua privacidade pessoal. Pois conforme explícito Novakoski e Naspolini (2020, p. 159) “o risco de lesão a direitos no tráfego de dados pessoais é uma realidade, como evidenciam as corriqueiras notícias de vazamento de informações pessoais sensíveis” informações pessoais sensíveis estão relacionadas à origem étnica ou racial, política, religiosa, saúde e vida sexual, entre outros.

Nesse cenário, cabe ressaltar que existem muitos riscos em razão do aumento do uso de dados pessoais de forma incorreta por terceiros, visto que ameaçam dois direitos fundamentais: o direito à privacidade e o direito à personalidade.

Riscos que envolvem a violação à privacidade e à personalidade dos cidadãos na sociedade da informação crescem exponencialmente, como a possibilidade de uso indevido dos dados pessoais, cadastro e classificação dos indivíduos, propagandas de marketing invasivas, publicidade comportamental, vigilância estatal, utilização indevida da Big Data, coleta de dados através da Internet das coisas, entre outros. (FINKELSTEIN; FINKELSTEIN, 2019, p. 285).

Visando garantir a proteção relacionada à intimidade e à vida privada, a Constituição Federal de 1988 aborda a temática em seu artigo 5º, X, tutelando também sobre o sigilo das correspondências e das comunicações telegráficas em seu inciso XII, in verbis:

Art. 5º- Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes:

(...)

X - São invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação.

(...)

XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal (BRASIL, 1988).

Pode-se afirmar que, há tempos, já havia uma preocupação por parte do legislador a respeito do tema. A redação do artigo 5º, incisos X e XII da Constituição Federal evidenciou a relevância da matéria relacionada ao direito à intimidade, sendo que a mesma temática também é abordada pelo Código Civil, intitulada, direitos da personalidade. A matéria está diretamente relacionada à proteção da vida, honra, liberdade, privacidade e intimidade, desse modo, conclui-se então que, há uma conexão exponencial ao princípio da dignidade da pessoa humana, disposto no artigo 1º, inciso III da Carta Magna, que alude a salvaguarda das demandas necessárias à vida digna do cidadão.

No decorrer da história da humanidade, as pessoas foram adquirindo uma consciência de que as normas, necessariamente são regras que uma sociedade precisa seguir, e que elas determinam o que deve ou não ser praticado em determinada circunstância, para que assim, possam ser assegurados os direitos e garantias da população, dentre essas normas destaca-se os Direitos Humanos, um conjunto de diretrizes que dispõe sobre justiça, igualdade e liberdade, nesse sentido, é importante demonstrar a evolução de tais garantias:

Declaração dos Direitos do Homem e do Cidadão, de 1789, a Declaração Universal dos Direitos do Homem, de 1948 (art. 12), a 9ª Conferência Internacional Americana de 1948 (art. 5º), a Convenção Europeia dos Direitos do Homem de 1950 (art. 8º), a Convenção Panamericana dos Direitos do Homem de 1959, a Conferência Nórdica sobre o Direito à Intimidade, de 1967, além de outros documentos internacionais. Vale ressaltar que a matéria é objeto tanto da Constituição Federal de 1988 quanto do Código Civil brasileiro de 2002 (arts. 11 ao 21), o que provocou o seu tratamento mais aprofundado e amplo pela doutrina nacional. Ainda, a Constituição Federal de 1988, à semelhança do texto constitucional de 1967, com a redação. dada pela Emenda Constitucional 1/1969, atribui às figuras da intimidade e da vida privada tipificação diversa. (HIRATA, 2017, p. 3).

O Princípio da Dignidade da pessoa humana é tido como um pilar em um Estado Democrático, servindo de base para garantia de direitos de todos os países regidos pela democracia no mundo. Ademais esse princípio está contido na Constituição Federal, o que viabiliza a garantia e a concretização de direitos com justiça e equidade no ordenamento jurídico brasileiro.

Nesta esteira, em 10 de fevereiro de 2022, foi promulgada a Emenda Constitucional nº 115 que introduz no rol dos direitos e garantias fundamentais assegurados pelo artigo 5º da Carta Magna, o inciso LXXIX, consolidando o direito à proteção de dados pessoais.

Essa emenda tem origem na Proposta de Emenda à Constituição (PEC) 17/2019, que além de assegurar a proteção dos dados pessoais e digitais, assentou a competência privativa da União para legislar sobre a matéria. A PEC 115/2022 trouxe também alterações para o artigo 21 da CF/88, acrescentando o inciso XXVI, que fixa a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais.

Assim, com o intuito de promoção à dignidade da pessoa humana e à proteção do cidadão diante do poder estatal, foram criados os direitos fundamentais. Seguramente um marco importante contido na Constituição Federal de 1988, tendo como características básicas a imprescritibilidade, irrenunciabilidade, efetividade, universalidade e complementaridade dos direitos assegurados.

Por oportuno, vale destacar que, no artigo 5º da CF, existem setenta e nove incisos dispondo sobre os direitos e as garantias fundamentais dos brasileiros. Tais direitos não podem ser violados em nenhum momento, exceto, em casos excepcionais de estado de sítio e guerra declarada, desta maneira, fora essas situações, esses direitos não podem ser desrespeitados.

Desse modo, nota-se que, atualmente existe uma atenção intensificada em relação à vulnerabilidade do cidadão mediante o tratamento de dados no Brasil, e que devido à importância e relevância da matéria, foi constituída norma como regra materialmente constitucional, alçando a categoria de direito fundamental.

3 FONTES FORMAIS GERAIS REFERENTES À PROTEÇÃO DE DADOS NO BRASIL

Preferencialmente cabe ressaltar que fontes formais do direito são tidas como fontes primárias do direito e são o meio pelo qual este se manifesta. Pode-se dividir as fontes formais do direito em fontes formais imediatas, as quais se referem às normas legais, pois possuem fatos que por si só, são fatos geradores do direito como, por exemplo, as normas legais, já as fontes formais mediatas se relacionam diretamente com os costumes, a jurisprudência, doutrinas e os princípios gerais do direito.

Por oportuno, destaca-se que as fontes do direito são muito importantes, pois além de serem utilizadas para a normatização do direito, também são utilizadas para se fazer a análise da norma, quando esta é aplicada pelo intérprete ao caso concreto, há a possibilidade de uso mediante análise em que haja formação de lacunas em um determinado processo que precisam ser supridas. As fontes do direito então servirão de embasamento, gerando garantias de que haverá a devida aplicação do direito, ainda que a lei seja omissa, evitando assim, a suspensão do respaldo jurídico.

Como exemplo das principais fontes formais imediatas, acerca das normas introduzidas no ordenamento jurídico brasileiro para a garantia de proteção aos dados pessoais, criadas anteriormente à Lei de Proteção de Dados (LGPD) tem-se o Código de Defesa do Consumidor (CDC), a Lei Carolina Dieckmann e o Marco Civil da Internet.

3.1 Código de Defesa do Consumidor

Com a criação da lei 8.078/90, o Código de Defesa do Consumidor, acentuou-se a busca pela defesa dos consumidores, levando-se em consideração a sua vulnerabilidade mediante à tamanha desigualdade na relação de consumo, no intuito de proteger a parte mais frágil da relação consumerista, visando um equilíbrio contratual entre as partes.

Nas relações consumeristas as partes têm o dever de agir conforme os valores que prezam pela ética e pela moral, na formação e execução de contratos consumeristas, obedecendo assim, ao princípio da boa-fé objetiva, basilar no direito do consumidor, através do qual é imputada a ideia de que haja cooperação, respeito e fidelidade entre os contratos convencionados entre as partes.

E, como preleciona Monteiro “O Código de Defesa do Consumidor (Lei 8.078/90, ou CDC), é uma regulação setorial que se aplica às relações de consumo, sejam elas online ou off-line, e estabelece a transparência e a boa-fé como princípios que orientam essas relações” (MONTEIRO, 2018, p. 7).

No tocante às informações dos consumidores, foi criada no CDC uma seção específica, para tratar a respeito de cadastros e banco de dados das pessoas, e, com efeito as empresas ficam obrigadas a se submeter aos dispositivos do art. 43, §1º ao §6º, in verbis:

Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes.

§ 1° Os cadastros e dados de consumidores devem ser objetivos, claros, verdadeiros e em linguagem de fácil compreensão, não podendo conter informações negativas referentes a período superior a cinco anos.

§ 2° A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele.

§ 3° O consumidor, sempre que encontrar inexatidão nos seus dados e cadastros, poderá exigir sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar a alteração aos eventuais destinatários das informações incorretas.

§ 4° Os bancos de dados e cadastros relativos a consumidores, os serviços de proteção ao crédito e congêneres são considerados entidades de caráter público.

§ 5° Consumada a prescrição relativa à cobrança de débitos do consumidor, não serão fornecidas, pelos respectivos Sistemas de Proteção ao Crédito, quaisquer informações que possam impedir ou dificultar novo acesso ao crédito junto aos fornecedores.

§ 6^o Todas as informações de que trata o caput deste artigo devem ser disponibilizadas em formatos acessíveis, inclusive para a pessoa com deficiência, mediante solicitação do consumidor (Incluído pela Lei nº 13.146, de 2015).   (BRASIL, 1990).

Assim, a lei tem como intuito defender o direito de acesso dos clientes aos seus dados pessoais, contidos pelas empresas, podendo o consumidor, em caso de informação incorreta, solicitar a sua correção. Entretanto, virá a constituir uma infração penal o impedimento ou a dificuldade de acesso aos dados dos consumidores, ocasionados pelas empresas, como também a falta de acesso na correção dos dados, caracterizando crime com pena de detenção de seis meses a um ano e multa, conforme o disposto nos artigos 72 e 73 do Código de Defesa do Consumidor.

3.2 Lei Carolina Dieckmann

A lei 12.737/12, que leva o nome da atriz Carolina Dieckmann, foi sancionada pela então presidenta Dilma Rousseff em 30 de novembro de 2012, criada para a tipificação de crimes que até então não existiam em nosso ordenamento jurídico, como os chamados delitos ou crimes informáticos. A atriz Carolina Dieckmann teve os arquivos do seu computador pessoal copiados, numa ação delituosa em que foram extraídas trinta e seis fotos e várias conversas íntimas, de forma que essas informações foram posteriormente lançadas na rede cibernética, causando-lhe ao tempo do ocorrido, grande constrangimento.

A lei supracitada, ocasionou alteração no Código Penal brasileiro, acrescentando os artigos 154-A/CP, que trata sobre invasão em dispositivo informático alheio, podendo estar conectado ou não à rede de computadores para a obtenção, adulteração ou destruição de dados ou informações, sem a devida autorização do usuário, podendo este também fazer instalações de vulnerabilidades para a obtenção de vantagem ilícita. A pena de reclusão será de um a quatro anos de prisão e multa.

Destarte, o artigo 154-B/CP, especifica que este crime dependerá de representação para sua procedência, salvo se cometido contra a administração pública direta ou indireta.

3.3 Marco Civil da Internet

A Lei 12.965/14, intitulada de Marco Civil da Internet é reconhecida como a primeira lei responsável pela regulação do uso da internet no Brasil, assim, “O PLC 21/2014, aprovado em 22 de abril de 2014, foi redigido para dar maior peso à questão da privacidade e foi uma das prioridades do governo brasileiro no ano de 2013” (BEZERRA; WALTZ, 2014, p. 161).

O Marco Civil da Internet, rege diretrizes direcionadas a usuários e fornecedores de serviços cibernéticos, abordando também diversos conceitos como a liberdade de expressão e a neutralidade de rede, visto que na época não se fazia necessária a descrição de serviços cibernéticos quanto à origem ou conteúdo, mediante a circulação de pacotes de dados.

Apontam ainda Bezerra e Waltz que, “Entre os principais eixos temáticos tratados pelo texto, e adotados pelo Marco Civil da Internet, estão a privacidade, a neutralidade e a inimputabilidade da rede (BEZERRA; WALTZ, 2014, p. 161)”. Vale ressaltar no tocante a esses princípios, que se buscava a garantia de direitos como a democratização de forma livre perante condutas abusivas de governos brasileiros ou estrangeiros e empresas que prestavam serviços dessa natureza.

Nessa esteira, a norma fixa instruções de uso de tecnologias em geral no território nacional, englobando a União, Estados, Distrito Federal e Municípios definindo as garantias, e os direitos de cada cidadão mediante à grande evolução tecnológica existente. Sobre a temática colocada, dispõe o art. 3º do Marco Civil da Internet, a respeito dos princípios e garantias:

Art. 3º - A disciplina do uso da internet no Brasil tem os seguintes princípios:

I - Garantia da liberdade de expressão, comunicação e manifestação de pensamento, nos termos da Constituição Federal;

II - Proteção da privacidade;

III - proteção dos dados pessoais, na forma da lei;

IV - Preservação e garantia da neutralidade de rede;

V - Preservação da estabilidade, segurança e funcionalidade da rede, por meio de medidas técnicas compatíveis com os padrões internacionais e pelo estímulo ao uso de boas práticas;

VI - Responsabilização dos agentes de acordo com suas atividades, nos termos da lei;

VII - preservação da natureza participativa da rede;

VIII - liberdade dos modelos de negócios promovidos na internet, desde que não conflitem com os demais princípios estabelecidos nesta Lei. Parágrafo único. Os princípios expressos nesta Lei não excluem outros previstos no ordenamento jurídico pátrio relacionados à matéria ou nos tratados internacionais em que a República Federativa do Brasil seja parte. (BRASIL, 2014).

Levando-se em consideração esses aspectos, pode-se afirmar que o Marco Civil da Internet tem finalidade de restringir o uso da Internet, assegurando direitos básicos referentes à privacidade, garantias e definindo obrigações relacionadas à rede mundial de computadores, para promover a proteção dos dados pessoais dos usuários da internet.

4 LEI GERAL DE PROTEÇÃO DE DADOS – LGPD

O dispositivo nº 13.709, denominado Lei Geral de Proteção de Dados (LGPD), foi publicado no dia 14 de agosto de 2018, entrando parcialmente em vigor em 18 de setembro de 2020, isso porque as sanções da lei, que podem configurar desde advertência, multa, bloqueio e eliminação de dados até a suspensão do funcionamento do banco de dados, entre outras, entraram em vigor somente a partir do dia 01 de agosto de 2021, com intuito de que as empresas tivessem um prazo maior para fazer a adequação sobre os meios de coleta, armazenamento e compartilhamento das informações das pessoas.

A lei geral de proteção de dados entrou em vigor recentemente, por isso a maioria dos brasileiros ainda não conhece a legislação. Deste modo, se faz importante e necessária a conscientização no que diz respeito à cultura organizacional, para o cumprimento da lei.

A LGPD chegou aumentando a transparência de como as organizações devem proceder no processamento dos dados pessoais. Neste sentido, esclarece Finkelstein e Finkelstein:

Os dados pessoais seriam “informação relacionada à pessoa natural identificada ou identificável”, ou seja, podem englobar materiais como nome, endereço, endereço eletrônico, idade, estado civil de indivíduos e diversas outras possibilidades de informações. (FINKELSTEIN; FINKELSTEIN, 2019, p. 296).

O grande benefício da LGPD é agregar mais segurança jurídica às instituições de ensino, empresas e aos indivíduos em todos os aspectos relacionados à informação privada. Inspirada e promovida pelo Regulamento Geral de Proteção de Dados da União Europeia (GDPR), este regulamento integra conceitos e diretrizes que vêm sendo debatidos no continente desde 1995.

De acordo com a LGPD, são definidos como agentes ou atores no tratamento de dados: o titular, pessoa natural a portadora dos dados;  os agentes de tratamento que são o controlador, pessoa natural ou jurídica de direito público ou privado, que possui decisão sobre o tratamento de dados  e o operador dos dados, pessoa física ou jurídica, de direito público ou privado, que fará o controle dos dados em nome do controlador;  o encarregado que é a pessoa indicada tanto pelo controlador com pelo operador e atuará como canal de comunicação entre os titulares e a Autoridade Nacional de Proteção de Dados, que atuará na implementação e fiscalização do cumprimento da lei.

A lei geral sobre a proteção de dados, possui um escopo mais amplo, exigindo para sua aplicação, conhecimentos multidisciplinares na parte técnica, em relação tanto a governança dos dados como a segurança da informação, como também na parte jurídica, apoiando-se em incidentes, através de documentos e com isso busca definir prioridades,  visando proteger dados pessoais, incluindo aqueles que estão em mídia física e digital, desde que seu tratamento seja realizado sempre em determinadas situações a partir de um banco de dados físico. Assim:

Esse modelo está amparado em três características centrais: i) amplo conceito de dado pessoal; ii) necessidade de que qualquer tratamento de dados tenha uma base legal; e iii) legítimo interesse como hipótese autorizativa e necessidade de realização de um teste de balanceamento de interesses (MENDES; DONEDA, 2018, p. 22).

A lei define o conceito de LGPD, a saber: o que são dados pessoais; o que são dados pessoais sensíveis; o que é uma base de dados; quem é o titular dos dados; quem pode ser o controlador responsável pela tomada de decisões sobre os dados; quem é o alterador ou pessoa de controle representativo; a pessoa responsável pela implementação da decisão; a pessoa responsável por monitorar a conformidade da proteção de dados; quais atividades são consideradas legais no processamento e uso de dados.

Ainda sobre os dados, por taxativa previsão da LGPD em seu artigo 4º, as disposições da Lei não se aplicam ao tratamento de dados pessoais nas seguintes situações:

I - Realizado por pessoa natural para fins exclusivamente particulares e não econômicos;

II - Realizado para fins exclusivamente jornalísticos, artístico e acadêmico (aplicando-se a esta última hipótese os arts. 7º e 11 da LGPD);

III - Realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais, ou;

 IV - Provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na LGPD (BRASIL, 2018).

A lei também especifica o que é consentimento e quais são as obrigações legais acerca da revogação. Além disso, explica como a organização deve lidar com cada tipo de dado. Em outras palavras, a LGPD exige que as organizações invistam e reservem uma parte do orçamento para implementar tecnologias, métodos e revisar procedimentos de processamento de dados, ao mesmo tempo, faz com que as empresas possam tratar as informações pessoais como sendo um direito do cidadão, em vez de apenas cumprir a lei.

4.1 Principais diferenças entre a LGPD e GDPR

A lei de proteção de dados europeia (GDPR), implementada em 2018, serviu de modelo para a LGPD, por ser uma lei que trata com muita responsabilidade de temas relacionados à segurança da informação de maneira segura, completa e que determina regras consistentes em ambientes virtuais.

A General Data Protection Regulation (GDPR) objetiva a salvaguarda dos dados pessoais de todos os indivíduos da União Europeia, como também o fortalecimento e proteção da área econômica. A conexão da LGPD com a GDPR é muito importante, a medida em que contribui para que o Brasil possa ter uma lei com objetivo de garantir a proteção de dados pessoais, de forma transparente trazendo princípios, direitos e obrigações que também favorecem o desenvolvimento da economia brasileira.

A GDPR tem cerca de 25 anos de apoio legislativo, por essa razão, aborda cuidadosamente a questão da proteção e segurança dos dados pessoais de forma mais incisiva, diferentemente do ordenamento jurídico brasileiro.

Com relação aos dados pessoais, ambas as leis concordam que estes se referem a toda e qualquer informação pertinente a uma pessoa identificada ou identificável, porém a lei brasileira torna-se mais específica com relação ao tratamento e processamento de dados pessoais, possuindo cerca de 10 casos contidos no artigo 7º/LGPD, onde aborda questões como consentimento do titular, cumprimento de obrigações legal ou regulatória, tratamento e uso compartilhado de dados pela administração pública, entre outros.

O artigo 7º da LGPD, aborda também que podem ser realizadas análises de dados por órgãos e agências de pesquisas, os dados também podem ser utilizados para o exercício regular de direitos em processos judiciais, administrativos ou arbitrais e a salvaguarda de crédito e da saúde. No entanto, a lei europeia dispõe sobre a temática em seu artigo 6º com apenas seis possibilidades a serem abordadas que são: interesse público, legítimo e vital; consentimento do titular e execução de contrato ou conciliação.

Os “dados sensíveis” por sua vez, estão definidos pela LGPD no art. 11º, devendo ser processados pelas empresas somente através de estrito consentimento do titular ou proprietário das informações, de forma detalhada, destacando a finalidade específica, de modo que em seu artigo 9º a GDPR torna-se mais incisiva e abrangente que a lei brasileira, estabelecendo termos como: dados genéticos, de saúde e biométricos.

Outra diferença a ser destacada é a relação de vínculo entre operador e controlador, pois a lei europeia exige a formalização através de contrato ou ato jurídico válido, dispondo das matérias contidas no contrato; esse vínculo não é exigido na LGPD, o operador deve apenas ser instruído pelo controlador a respeito do tratamento dos dados a ser realizado.

É direito dos proprietários das informações o controle dos seus próprios dados, podendo solicitar portabilidade, correção e até exclusão a qualquer momento, estas determinações estão dispostas em ambas as leis.

No quesito sanções há de se observar que a lei brasileira em seu artigo 52º, multa em dois por cento na receita da empresa equivalente ao ano anterior, sendo esta multa limitada a R$ 50.000.000,00 (cinquenta milhões), o valor da multa na GDPR fica limitada a EUR 20 milhões ou até quatro por cento levando-se em conta o volume de negócios da empresa no ano anterior.

Tanto a LGPD quanto a GDPR discorrem sobre a transparência, que faz com que as instituições busquem constantemente adotar mecanismos de controles internos para garantir a segurança dos dados depositados dentro da instituição, isso consequentemente possui controles mais adequados, oportunizando principalmente um planejamento mais elaborado acerca do tratamento de dados.

5 A LGPD NAS INSTITUIÇÕES DE ENSINO

Com o desenvolvimento tecnológico, o acervo de informações contidas em papel, tornou-se cada vez menos utilizado, intensificando-se durante a pandemia por COVID 19, assim, muitas atividades sofreram alterações em sua rotina diária, uma das áreas mais atingida foi a da educação, causando a exploração de uma série de novas tecnologias e formas didáticas de ensino, gerando assim novos dados, com conexão e imagens de webcam e a utilização de vários aplicativos, conforme apontado:

É de notória percepção que, programas e aplicativos como Zoom, Cloud, Meeting e Google Meet tornaram-se as principais ferramentas no ensino remoto, consecutivamente ganhando espaço o WhatsApp, Hangouts, Skype, Telegram, Quiz e Google Forms, para a aplicação de questionários, de forma que promova a contribuição às atividades propostas pelos professores (NETO; QUINTINO; CORREA, 2021, p. 2).

Cabe salientar que, muitas instituições de ensino, acharam-se despreparadas diante de um momento tão sério de calamidade pública, e precisaram implantar um ensino remoto emergencial, fazendo toda uma adequação referente aos métodos de ensino para os alunos.

Em escolas da rede pública de ensino, onde existiam alunos carentes, alguns estados e cidades precisaram investir em políticas públicas, buscando oferecer condições a esses alunos e professores, para que fosse possível a adesão às aulas on-line, como entrega de aparelhos celulares e chips com plano mensal de internet para que pudessem assistir às aulas remotas.

Diante de tamanhas transformações, necessárias nas instituições de ensino, a insegurança digital ficou evidenciada, colocando em perigo a privacidade de professores, alunos e até familiares, pois muitas escolas encontravam-se desprotegidas e diante disso sofreram terríveis ataques de hackers durante as aulas remotas, ficando evidente a necessidade da efetivação de uma segurança digital, trazida pela lei de proteção de dados (LGPD).

A LGPD por meio de uma gestão de governança de dados, é uma lei que veio para proteger os dados pessoais, o que sugere que seus preceitos básicos devem ser cumpridos pelas instituições de ensino, sendo necessário para isso possuir transparência no tratamento.

Os dados pessoais têm um ciclo de vida na instituição educacional, a partir da coleta, é importante prestar atenção às informações que estão sendo fornecidas pelo titular, com relação ao tipo de dado coletado, qual a finalidade da coleta e o sistema de uso e compartilhamento utilizados, de modo que, as informações sobre esta coleta, podem aparecer por meio de políticas de privacidade, termos de contrato, formulários de registro ou qualquer aviso em plataformas educacionais ou sites, sendo que seu uso indevido pode acarretar em responsabilidades jurídicas para a instituição de ensino.

É essencial que as instituições de ensino, respeitem os princípios enunciados no artigo 6º da LGPD, no tocante ao princípio da necessidade, segundo o qual somente poderão ser coletados dados que forem essenciais para o contrato de ensino, os dados excessivos e desnecessários devem ser excluídos dos antigos modelos de contrato. De acordo com as diretrizes concernentes a LGPD, as Instituições de Ensino, como controladores que são, irão apenas processar os dados se esse processamento for baseado em uma das bases jurídicas listadas pela LGPD.

As instituições de ensino têm algumas particularidades, um dos pontos é que elas frequentemente tratam dados de crianças e adolescentes, conforme aponta Garcia:

A lei exige o consentimento do responsável legal, papel geralmente exercido pelos pais, quando se trata de dados de menores de 18 anos. considerando tal público e seu interesse em jogos, a lei endereça um parágrafo para deixar restrita a captura de dados nestes casos, assim como solicita que se trabalhem elementos além dos meramente textuais com intuito de oferecer melhor experiência e entendimento das crianças e adolescente ao fornecer seus dados (GARCIA, 2020, p. 20).

O consentimento dos pais para o armazenamento de dados de crianças e adolescentes é indispensável conforme a LGPD, levando-se em conta que as instituições de ensino também tratam dados pessoais de natureza diversa, de modo que é comum a tratativa de informações referentes a dados médicos de seus alunos. Assim, torna-se essencial que as instituições atuem com mais rigor na criação de controles de segurança para assegurar que não haja violação ou vazamento desses dados.

4.1 As Instituições de Ensino possuem obrigação no cumprimento da LGPD?

As instituições de ensino estão obrigadas ao cumprimento da LGPD, pois a lei trata de um direito fundamental do cidadão, disposto na Constituição Federal em seu artigo 5, inciso LXXIX, dessa maneira todas as instituições, independentemente da dimensão ou área de atuação, devem se adequar jurídica, metodológica e tecnologicamente, submetendo-se aos regramentos da lei de proteção de dados.

Com a intensificação na mudança de metodologia relacionada aos meios de aprendizagem das instituições de ensino, que ocorreram nos últimos dois anos, as instituições tiveram que prezar ainda mais pelas diretrizes da LGPD, para garantir uma maior proteção e transparência no manuseio de dados pessoais de alunos e professores, atentando para perigos como invasões cibernéticas de hackers, como também ameaças e assédios virtuais, para que haja a devida garantia da dignidade da pessoa humana.

O CIEB, Centro de Inovação para a Educação Brasileira descreve: "A mudança para o ensino à distância, em resposta ao fechamento de escolas devido à pandemia da COVID-19, impulsionou ainda mais as discussões sobre a privacidade e a segurança dos dados de estudantes e professores” (CIEB, 2020, p. 7).

A começar pelo preenchimento da ficha de admissão e/ou matrícula até todo o desenrolar da vida acadêmica dos alunos, às instituições de ensino diariamente trabalham com dados pessoais disponibilizados em diversos documentos, como contratos docentes, registros acadêmicos, editais, atestados médicos, contracheques, laudos profissionais como psicólogos, fotos, e assim por diante.

O processo dos dados pessoais vai além da coleta, com efeito, o artigo 5º, X/ LGPD define o processamento de tratamento de dados pessoais, in verbis:

X - Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (BRASIL, 2018).

Instituições de ensino como escolas, secretarias municipais e estaduais de educação, entre outras, por serem controladoras desses dados e responsáveis pelo seu tratamento, por consequência têm obrigação legal de tratá-los seguindo as regras e os princípios estabelecidos pela LGPD (CIEB, 2020, p. 31). A Agência Nacional de Proteção de Dados (ANPD), é o órgão da administração pública responsável pela supervisão, implementação e monitoramento do cumprimento da LGPD.

Por meio da LGPD, as instituições de ensino devem fazer o mapeamento dos dados, para direcionar e alinhar seus preceitos de acordo com as bases legais da LGPD, para tanto, necessário se faz a revisão dos dados já coletados de alunos matriculados ou que possam vir a se matricular na instituição em questão.

Assim, cada IE deverá possuir em seu quadro de funcionários um profissional encarregado pelo tratamento de dados pessoais coletados, com a função de DPO – data protection office, esse profissional vai atuar como canal entre a instituição de ensino, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), para garantir a segurança das informações especialmente aos dados relacionados a crianças e adolescentes.

5.2 Medidas a serem observadas na implementação da LGPD nas Instituições de Ensino

Inicialmente faz-se necessário a realização de análise de diagnóstico de riscos e conformidades dos dados pessoais de todas as pessoas envolvidas, alunos, pais e funcionários, por meio de uma investigação, para determinar onde estão armazenados os dados pessoais que a IE já possui, que podem estar na forma física ou digital. A esse respeito preleciona-se Garcia:

Essa necessidade de cuidado demanda, de toda a Organização, o cumprimento de boas práticas, estruturadas e mantidas por uma governança que se preocupa com normas de segurança, padrões técnicos, obrigações gerais e específicas e de todos os envolvidos, ações educativas, mecanismos de supervisão e fiscalização internos, assim como mapeamento e ações de mitigação de riscos (GARCIA, 2020, p. 23).

Deve também ser feita uma averiguação da finalidade desses dados, para que estão sendo coletados e como deverão ser armazenados de acordo com o tipo, que podem ser dados pessoais e sensíveis, devendo assim, detectar se há falhas de segurança e se essas informações podem ser facilmente acessadas, violadas ou divulgadas.

A instituição de ensino, depois de realizar a verificação das informações contidas em seu sistema, fica legalmente obrigada a classificar os dados armazenados, fazendo a regulação do acesso, bem como a forma de tratamento a ser realizado, de acordo com as regras e os princípios estabelecidos pela LGPD, sob pena de assumir a sua responsabilidade civil perante a justiça e com a Autoridade Nacional de Proteção de Dados (ANPD), independentemente de os dados possuírem fins publicitários.

Neste sentido, acrescenta Garcia “No caso de descumprimento da lei, cabe indenização e multa, sendo que o Operador e Controlador são solidários entre si, ou seja, é possível cobrar de um, de outro ou de ambos” (GARCIA, 2020, p. 22). Ademais, torna-se indispensável a revisão de contratos já existentes e o desenvolvimento de políticas de privacidade, com a obtenção do consentimento do titular dos dados ou de seu responsável legal.

Em seguida, as instituições de ensino devem priorizar as atividades a serem realizadas para a efetivação da LGPD, na forma como regem os dados, colocando o projeto em prática, a começar pela criação de uma equipe responsável pelas ações, que deverá ser composta por consultores de diversos departamentos e empresas especializadas, pois a LGPD é uma normatização híbrida, que resulta no cruzamento de dados e por isso exige conhecimentos multidisciplinares e bastante técnicos, relacionados a administração dos dados e a salvaguarda da informação.

A regra nesse processo de tratamento de dados deve ser a transparência na comunicação, assim, os colaboradores envolvidos no processo de tratamento de dados devem estar cientes a respeito de qualquer modificação no procedimento, para uma maior participação, na prestação de informações para os responsáveis que precisam ser informados a respeito das mudanças que acontecerão, pois se faz necessário a informação da finalidade dos dados da forma mais clara possível.

Destaca-se que a IE deve fazer o monitoramento do processamento de dados, sendo responsável por fazer manutenções do plano de ações, buscando garantir que a instituição esteja zelando pela segurança dos dados e que todas as diretrizes estão sendo seguidas. 

Por fim, vale ressaltar que é de extrema importância o desenvolvimento por parte das instituições de ensino as políticas de privacidade, termo de confidencialidade, cookies, relatórios de impacto, para atender as determinações legais e com isso se resguardar de possíveis processos judiciais.

6 CONSIDERAÇÕES FINAIS

Como apontado pelo estudo, o fato de as IE serem portadoras de informações essenciais insurge em responsabilidade civil e obrigações legais, sendo exigido para isso investimento orçamentário e implementação de tecnologias que previnam práticas delituosas como violação de dados, assédio virtuais, invasão de hackers, atividades suspeitas e quaisquer outras semelhantes.

Portanto, evidencia-se de acordo com os princípios enunciados no artigo 6º da LGPD, a obrigatoriedade das Instituições Educacionais em relação à segurança dos dados pessoais armazenados, no papel não apenas de cumpridora da lei, mas de responsável pela garantia de preservação de um direito constitucional do cidadão, a privacidade de seus dados.

Vale ressaltar que o fato de a Lei Geral de Proteção de Dados ter entrado em vigor recentemente, incide no desconhecimento de sua legislação, pela maioria dos brasileiros, o que favorece a vulnerabilidade digital do cidadão ao mesmo tempo que amplia a importância de se divulgar os direitos garantidos por esta norma.

Pela recente disposição da LGPD e suas obrigações, bem como sua relevância para a matéria, faz-se interessante sugerir futuros estudos sobre os dispositivos de inspeção para o cumprimento dessas obrigações, pela IE, e as medidas coercitivas para possíveis violações dentro desta esfera institucional.

REFERÊNCIAS

BRASIL. Lei nº 8.078, de 11 de setembro de 1990. Código de Defesa do Consumidor. Dispõe sobre a proteção do consumidor e dá outras providências, Brasília, Disponível em: http://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm. Acesso em: 11 de nov. 2021.

BRASIL. Lei nº 12.737, de 30 de novembro de 2012. Lei Carolina Dieckmann, Brasília, Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm. Acesso em: 11 de nov. 2021.

BRASIL. Lei nº 12.965, de 23 de abril de 2014. Lei Marco Civil da Internet, Brasília, Disponível em: http: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm. Acesso em: 12 de nov. 2021.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais: (LGPD). Brasília, Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 05 abr. 2021.

BEZERRA, Arthur C; WALTZ, Igor. Privacidade, Neutralidade e Inimputabilidade da Internet no Brasil: avanços e deficiências no Projeto do Marco Civil. Revista Eptic Online. Sergipe, v.16, n.2, p. 161-175, abr. 2014.

CENTRO DE INOVAÇÃO PARA A EDUCAÇÃO BRASILEIRA. Manual de Proteção de Dados para Gestores e Gestoras Públicas Educacionais. São Paulo: CIEB, 2020.

Constituição (1988). Constituição da República Federativa do Brasil. Brasília, DF: Centro Gráfico, 1988. Brasília, Disponível em: http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 12 nov. 2021.

DONEDA, Danilo. A proteção dos dados pessoais como um direito fundamental. Espaço Jurídico Journal of Law [EJJL], v. 12, n. 2, p. 91-108, 2011.

FINKELSTEIN, Maria Eugenia; FINKELSTEIN, Claudio. Privacidade e lei geral de proteção de dados pessoais. Revista de Direito Brasileira, v. 23, n. 9, p. 284-301, 2019.

GARCIA, Lara Rocha et al. Lei Geral de Proteção de Dados (LGPD): guia de implantação. Editora Blucher, 2020.

HIRATA, Alessandro. Direito à privacidade. Enciclopédia jurídica da PUCSP, tomo II (recurso eletrônico): Direito Administrativo e Constitucional / coord. Vidal Serrano Nunes Jr. [et al.] 1. ed. São Paulo: Pontifícia Universidade Católica de São Paulo, 2017. Disponível em: https://enciclopediajuridica.pucsp.br/verbete/71/edicao-1/direito-a-privacidade. Acesso em: 10 abr. 2022.

MENDES, Laura Schertel; DONEDA, Danilo. Comentário à nova Lei de Proteção de Dados (Lei 13.709/2018), o novo paradigma da proteção de dados no Brasil. Revista de Direito do Consumidor, v. 120, 2018.

MONTEIRO, Renato Leite. Existe um direito à explicação na Lei Geral de Proteção de Dados do Brasil. Artigo estratégico, v. 39, p. 1-14, 2018.

NETO, Jose Nogueira Antunes; DE SOUZA QUINTINO, Amaro Sebastião; CORRÊA, Jackeline Barcelos. A invasão de hackers na gestão educacional: um estudo sobre a preservação de dados no ensino remoto à luz da segurança digital. In: Anais do Encontro Virtual de Documentação em Software Livre e Congresso Internacional de Linguagem e Tecnologia Online. 2021.

NOVAKOSKI, André Luís Mota, NASPOLINI, Samyra Haydêe Dal Farra. Responsabilidade civil na LGPD: problemas e soluções. Conpedi Law Review. Evento virtual, v. 6, n. 1, p. 158–174, jan–dez,2020.