LGPD – Lei Geral de Proteção de Dados

Encarregado de Tratamento de Dados Pessoais

Cristina Giovanelli Biancardi
Nomeada pela Portaria  nº 28 de 23 de março de 2023, publicada no site da Fundação Faceli.

Grupo de trabalho

LGPD – Portaria nº 14 de 16 de 02 de 2023 – Portaria que institui o Grupo de Trabalho para estabelecer procedimentos para cumprimento da LGPD.

Canal de Atendimento às demandas da LGPD na FACELI

Os titulares dos dados pessoais podem abrir demanda junto ao e-mail:  lgpd@faceli.edu.br

Perguntas Frequentes (FAQ)

É qualquer informação relacionada a pessoa natural identificada ou identificável. (Art. 5º, inciso I).

Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. (Art. 5º, inciso II).

O mais importante nesse momento é deixar claro aos titulares o que está sendo feito com seus dados pessoais e não fazer nenhum tipo de tratamento (ver pergunta 3) que extrapole esse objetivo, sem autorização dos mesmos. Em um formulário de coleta na web, por exemplo, procure deixar clara a finalidade de cada informação, ou conjunto de informações, que estão sendo coletadas.
Além disso, deve-se ter o cuidado de não compartilhar os dados pessoais aos quais você tem acesso com ninguém, de dentro ou fora da universidade. E por compartilhamento, entende-se: conceder acesso a bancos de dados, enviar e-mails com dados pessoais para qualquer pessoa, tramitar documentos físicos (papel) ou deixá-los acessíveis sem procedimentos de segurança, entre quaisquer outras medidas que você mesmo possa identificar no seu dia-a-dia para proteger os dados com os quais você tem contato.
Lembre-se, estamos falando de uma mudança de cultura em toda a universidade e o cuidado com os dados pessoais é responsabilidade de cada um. 63% dos vazamentos de dados são causados por erro humano, então, fique atento!
Eventualmente, a equipe de adequação da LGPD entrará em contato para melhor orientá-lo sobre as boas práticas a serem adotadas.

Dados pessoais de indivíduos naturais identificados ou identificáveis, coletados em solo Brasileiro. Se a pessoa não puder ser identificada através de uma determinada informação, este dado não estará abrangido pelos termos da LGPD.

A LGPD não se aplica para fins acadêmicos (Art. 4º, inciso II, alínea b), com exceção dos artigos 7 e 11. Observe o que dizem os artigos:

“Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;”

“Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

Ou seja, não há problema em coletar esses dados para fins de pesquisa, desde que eles sejam anonimizados. E lembre-se de não compartilhá-los com terceiros. Se você lidera uma equipe de pesquisa, oriente os membros dessa equipe para terem o mesmo cuidado.

O Capítulo III da LGPD trata dos direitos do titular. O Art. 18, inciso VI, diz que um desses direitos é a solicitação da eliminação de seus dados. Contudo, no inciso II do parágrafo 4º desse mesmo artigo, atente para o fato de que o controlador (no caso, a UFPR), pode indicar as razões de fato ou de direito que impeçam a execução dessa solicitação. Além disso, diz o Art. 16:

“Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:

I – cumprimento de obrigação legal ou regulatória pelo controlador;”

No caso das universidades, o impedimento da eliminação se dá através das seguintes bases legais:

– Lei 8159/1991, Art. 1: É dever do Poder Público a gestão documental e a proteção especial a documentos de arquivos, como instrumento de apoio à administração, à cultura, ao desenvolvimento científico e como elementos de prova e informação.

– Portaria MEC 1224/2013, que institui normas sobre a manutenção e guarda do Acervo Acadêmico das Instituições de Educação Superior (IES) pertencentes ao sistema federal de ensino. Observe que a tabela no Anexo I desta portaria define prazos de guarda de 100 anos e em alguns casos, até mesmo guarda permanente.

– Portaria MEC 315/2018, Art. 38: As IES e suas mantenedoras, integrantes do sistema federal de ensino, ficam obrigadas a manter, sob sua custódia, os documentos referentes às informações acadêmicas, conforme especificações contidas no Código de Classificação de Documentos de Arquivo Relativos às Atividades-Fim das Instituições Federais de Ensino Superior e na Tabela de Temporalidade e Destinação de Documentos de Arquivo Relativos às Atividades-Fim das Instituições Federais de Ensino Superior, aprovados pela Portaria AN/MJ nº 92, de 23 de setembro de 2011, e suas eventuais alterações.

Parágrafo único. O acervo acadêmico será composto de documentos e informações definidos no Código e na Tabela mencionados no caput, devendo a IES obedecer a prazos de guarda, destinações finais e observações neles previstos.
Não podemos, portanto, excluir os dados de nenhum estudante, mesmo que ele já tenha se desligado da universidade.

Assim como o conceito amplo dos dados pessoais, a LGPD apresenta um conceito aberto e um rol exemplificativo das ações que são consideradas como tratamento de dados pessoais. Tratamento refere-se a toda operação realizada com dados pessoais desde o momento da coleta até a eliminação e incluem: produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

A seguir elencamos as hipóteses de tratamento de dados pessoais:

HIPÓTESE DE TRATAMENTO

DISPOSITIVO LEGAL

REQUER CONSENTIMENTO DO TITULAR?
Hipótese 1: Mediante consentimento do titular LGPD, art. 7º, inciso I Sim
Hipótese 2: Para o cumprimento de obrigação legal ou regulatória LGPD, art. 7º, inciso II Não
Hipótese 3: Para a execução de políticas públicas LGPD, art. 7º, inciso III Não
Hipótese 4: Para a realização de estudos e pesquisas LGPD, art. 7º, inciso IV Não
Hipótese 5: Para a execução ou preparação de contrato LGPD, art. 7º, inciso V  *
Hipótese 6: Para o exercício de direitos em processo judicial, administrativo ou arbitral LGPD, art. 7º, inciso VI Não
Hipótese 7: Para a proteção da vida ou da incolumidade física do titular ou de terceiro LGPD, art. 7º, inciso VII Não
Hipótese 8: Para a tutela da saúde do titular LGPD, art. 7º, inciso VIII Não
Hipótese 9: Para atender interesses legítimos do controlador ou de terceiro LGPD, art. 7º, inciso IX Não
Hipótese 10: Para proteção do crédito LGPD, art. 7º, inciso X Não

*Termos de consentimento definidos no contrato ou decorrentes da autonomia da vontade.

A descarecterização de um dado tem haver com a sua pseudonimização, isto é, tratamento prévio por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro (LEI Nº 13.709, DE 14 DE AGOSTO DE 2018). Exemplo, de pesudominização de um nº de CPF: ***.123.456-**.

Sim, mas desde que seja assegurado o disposto no art. § 4º do, Art. 12 da LGPD:
§ 4º Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.
Algumas ferramentas podem ser utilizadas para a realização de tarjamento, todavia, certifique-se que o procedimento não apresenta falhas. Uma das mais frequentes é a possibilidade de selecionar o dado tarjado, copiando-o e colando-o em outro arquivo, possibilitando, assim, a identificação do dado pessoal.

O número da matrícula identifica a relação do usuário com a FACELI, na condição de discente. Todavia, embora se enquadre na definição de dado pessoal, à luz da LGPD, não possui repercussões para além da vida acadêmica do discente, não havendo razões para que esse dado seja restringido do acesso de terceiro. Assim, quando se proceder com a publicação de algum documento interno ou externo, recomenda-se a publicação do nome do discente seguido da sua matrícula, e não RG, CPF, ou algum outro dado pessoal ou sensível do aluno. Se houver a decisão por publicar estes dados, os mesmos deverão ser descaracterizados.