Proteção de dados pessoais nas extensões universitárias: adequações e boas práticas
1 de novembro de 2022, 20h08
Introdução
Podem as extensões universitárias tratarem dados pessoais de alunos, professores, coordenadores e público externo sem seguirem os princípios e as diretrizes normativas da Lei Geral de Proteção de Dados Pessoais (LGPD)? Partindo deste questionamento e no momento em que a proteção de dados pessoais se consolida como um direito fundamental no ordenamento jurídico brasileiro, torna-se imprescindível discutir os reflexos desta legislação em diferentes âmbitos de aplicação, inclusive nos projetos de extensão.
Logo, a indissociabilidade entre ensino, pesquisa e extensão tem previsão constitucional, devendo as universidades e Instituições de Ensino Superior (IES) efetivarem este princípio fundamental para estimular a aproximação entre a universidade e a sociedade, de modo a atender questões da sociedade contemporânea. Desse modo, esse tripé rege a missão e dever institucional das universidades brasileiras, sendo os projetos de extensão ação curricular de caráter educativo, social e cultural, científico e/ou tecnológico essencial no processo de ensino-aprendizagem e contribuição à coletividade.
Tendo em vista este contexto, este artigo, propõe-se a discorrer acerca dos impactos da Lei nº 13.709/2018 na extensão universitária, de modo a evidenciar seu escopo de aplicação. Neste sentido, apresenta, em primeiro lugar, o panorama da proteção de dados no arcabouço jurídico brasileiro e as possibilidades de tratamento de dados nos projetos de extensão.
Em segundo lugar, relata iniciativas de boas práticas em educação para proteção de dados e alerta para a necessidade de construção de plano de adequação para redução de risco de divulgação de informações, garantindo maior segurança jurídica a alunos, coordenadores e público externo de extensões universitárias.
1. Proteção de dados pessoais no ordenamento jurídico brasileiro
A Constituição da República Federativa do Brasil de 1988 já listava a inviolabilidade e a confidencialidade dos dados do cidadão como uma das garantias constitucionais, com base no inciso XII do artigo 5º Nesta ótica, o Marco Civil da Internet, instituído pela Lei nº 12.965/2014, também garantiu ao usuário a inviolabilidade de sua privacidade e possibilitou indenização por danos materiais ou morais decorrentes de sua violação [1], além do sigilo do fluxo de comunicações privadas armazenadas, bem como o direito de não fornecer dados pessoais a terceiros sem autorização expressa.
Sob influência da regulação europeia, especialmente do General Data Protection Regulation (GDPR), a legislação brasileira passou por inovação legislativa em relação à proteção de dados, por meio da entrada em vigor da Lei nº 13.709/2018. Esse diploma normativo alterou a lei do Marco Civil da Internet, tornando-se o mais recente instituto jurídico brasileiro de proteção de dados pessoais, e estabeleceu direitos, obrigações e regras para a coleta, processamento e compartilhamento de dados de cidadãos por empresas e pelo Poder Público [2]. No contexto da cultura do algoritmo, tal legislação representou um avanço no ordenamento jurídico pátrio para ampliar a importância da segurança digital e da privacidade como questões relevantes para a sociedade, apesar de boa parte de seu conteúdo ser importação da lei europeia.
No que se refere ao meio acadêmico, em seu conteúdo normativo, o artigo 4º da LGPD dispensou a aplicação da lei ao tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos, jornalísticos e artísticos, acadêmicos e de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais (BRASIL, 2018).
Recentemente, foi sancionada a Emenda Constitucional nº 115, de 10 de fevereiro de 2022, que alterou a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais. Dessa forma, acresceu o inciso LXXIX ao artigo 5º, CF, tornando o direito à proteção dos dados pessoais fundamental [3]. Fortalece, portanto, o pressuposto material de concretização de direitos fundamentais.
Para Silva (2005, p. 171) [4], um direito fundamental é aquele atinente a situações jurídicas "sem as quais a pessoa humana não se realiza, não convive e, às vezes, nem mesmo sobrevive". Nesse sentido, é importante entender como a insegurança jurídica no tratamento de dados pessoais pode afetar esse direito fundamental no âmbito do ensino superior, potencializando a vulnerabilidade de estudantes, professores e público-alvo, principalmente quando estes são crianças ou adolescentes. É necessário, portanto, que adequações sejam realizadas para gerenciar riscos e perigos que os cercam no armazenamento, tratamento e divulgação de dados dos titulares, inclusive no âmbito dos projetos de extensão.
2. Tratamento de dados nas extensões universitárias: riscos e possibilidades
Dada sua natureza como ação curricular de caráter educativo, social e cultural, científico e/ou tecnológico, é fato que as extensões universitárias comumente utilizam de dados pessoais em diversos cenários, como em processos seletivos, aplicação de formulários e questionários, armazenamento de dados sensíveis, gerenciamento de e-mails, controle de frequência, organização de eventos, dados de pesquisas, encontros temáticos, emissão de certificados, declarações, mapeamentos e publicações de textos, dentre outros.
Como vimos, apesar da Lei nº 13.709/2018 não se aplicar a atividades de tratamento voltadas exclusivamente para fins acadêmicos (conforme artigo 4º, II, b da lei), como as extensões universitárias, há importantes pontos que os projetos de extensão devem considerar para fazer uso adequado e seguro de dados pessoais dos titulares de dados.
É essencial que as extensões universitárias mapeiem, inicialmente, quais dados merecem e devem ser tratados por alunos, professores e público externo, tendo em vista os princípios da finalidade, adequação e necessidade, e em consonância com a correta base legal. De acordo com a LGPD, artigo 6º, o tratamento de dados deve ocorrer com propósitos legítimos, específicos, explícitos e informados ao titular, com compatibilidade às finalidades informadas, de acordo com o contexto do seu tratamento, e com a limitação ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação a estas.
No caso de tratamento de dados pessoais de crianças e de adolescentes beneficiados pelo projeto de extensão, este deverá ser realizado, se aplicada a legislação, em seu melhor interesse, nos termos do artigo 14 da LGPD e das normas pertinentes, como o Estatuto da Criança e do Adolescente (ECA), observada a sua condição especial no ordenamento jurídico brasileiro e o consentimento dos responsáveis legais em todo o processo extensionista.
Como destacado, esse consentimento é peça-chave na legislação. Entre as ações que os projetos podem desenvolver para tratá-lo estão o preenchimento de Termos de Consentimento Livre e Esclarecido (TCLE), exigindo, assim, que toda pesquisa se processe após consentimento livre e esclarecido dos sujeitos, indivíduos ou grupos que por si e/ou por seus representantes legais manifestem a sua anuência à participação na extensão universitária.
Para além disso, a formação dos membros nos temas pertinentes ao tratamento – principalmente para aqueles de cursos sem formação jurídica – é fundamental para a adequação e uso com responsabilidade dos dados armazenados e processados. Essa fase é caracterizada como processo educativo acerca da privacidade e confidencialidade, em que os envolvidos têm formação acerca do tema que será base para o desenvolvimento de uma cultura voltada à proteção de dados.
Situa-se, ainda, a necessidade de capacitações sistemáticas e específicas de qualificação dos extensionistas e coordenadores sobre a proteção de dados, observando-se o contexto e as finalidades específicas das ações em que se propõem a atuar. Sugere-se a criação de inventário e limpeza de dados, abrangendo desde a coleta à exclusão de dados armazenados em banco de dados pelo projeto de extensão, devendo ser identificadas e descritas cada etapa do tratamento e as formas de descarte.
Em todo o processo de adequação, deve ser realizada avaliação periódica de todos os controles implementados, com destaque para as medidas de segurança. Algumas das ações que podem ser empreendidas nesta fase são: análise da exposição dos dados; avaliação de softwares de gestão de dados; mudança dos sistemas já empregados; etc.
Por fim, é necessário que a governança de privacidade busque a estruturação do plano de atuação da extensão na perspectiva da proteção de dados de todos os envolvidos no campo universitário, desde os alunos e professores ao público beneficiado. Esse processo pode se dar com a criação e publicação de documentos pertinentes à governança de dados, como aviso de privacidade e política de segurança da informação, e treinamentos sobre as práticas, de modo a implementar e acompanhar o desenvolvimento das ações a nível geral.
Tendo em vista a importância do tema, é essencial que as instituições de Ensino Superior, por meio de ações de compliance, auxiliem os projetos a construírem seus planos de adequação, com foco no melhor tratamento dos dados. Cabe, desde logo, incluir a pauta da proteção de dados como foco de estratégia dos programas de atuação e de compliance jurídico-administrativo. Outra alternativa é que esse processo de adequação à LGPD esteja alinhado com as próprias ações de extensão das universidades com atuação e experiência na área, a exemplo das descritas no tópico seguinte.
3. Experiências com educação em proteção de dados em universidades brasileiras
Apesar de pontuais e recentes, há experiências e iniciativas institucionais que atuam no sentido de estimular o tema da proteção de dados pessoais em projetos de instituição de ensino superior, seja na modalidade de grupos e núcleos de pesquisa, na realização de eventos, cursos, oficinas, capacitações e/ou na produção de conteúdo audiovisual educativo.
O Núcleo de Proteção de Dados, da Faculdade de Direito da Universidade de São Paulo (USP), é um projeto de cultura e extensão que tem por objetivo promover o estudo sobre a proteção de dados pessoais com base na agenda regulatória da Autoridade Nacional de Proteção de Dados (ANPD), com atuação extensionista na intersecção entre Direito e Tecnologia. Nesse sentido, considera que a educação e a troca de conhecimento nos temas de proteção de dados pessoais se faz fundamental na universidade, pois proporciona expandir a prática para fora das salas de aula [5].
Na Universidade do Estado do Rio Grande do Norte (UERN), o projeto de extensão Apex Empreendedorismo e Soluções Jurídicas promove capacitações a alunos e comunidade nos temas da LGPD. Por meio do Conselho Apex de Proteção de Dados (Conex), o projeto atua com formações em um contexto no qual há falta de recursos humanos qualificados e pouco conhecimento básico, inclusive em cursos jurídicos e de informática. O objetivo do Conex é, então, promover conscientização, capacitação e proteção, de modo a fornecer ações de excelência e dedicação exclusiva dos extensionistas ao tema [6].
O projeto "Governança da privacidade e proteção de dados pessoais à luz da LGPD" trata-se de uma extensão que objetiva apresentar à comunidade acadêmica e comunidade geral as possibilidades e perspectivas da proteção de dados, na Uni Araguaia [7]. Já na Universidade Federal de Santa Catarina, um projeto de extensão desenvolveu um curso de Auxiliar de Data Protection Officer (DPO-X) com o objetivo de capacitar jovens para operarem como auxiliares de proteção de dados pessoais [8].
Percebe-se que, de forma incipiente, porém importante, o tema tem sido difundido nas instituições de ensino superior.
Considerações finais
No geral, as práticas extensionistas descritas buscam desenvolver ações de extensão e contribuir no processo de inclusão digital e no exercício da cidadania digital. Por isso, considera-se necessário o fortalecimento de uma cultura institucional pautada na autodeterminação informativa e na educação para proteção de dados em universidades e instituições de ensino, de modo a qualificar os envolvidos no processo extensionista no tema. Ainda, é essencial que esses atores atuem de forma conjunta, por meio de ações de compliance, e auxiliem os projetos a construírem seus planos de adequação. Cabe, isso posto, incluir a pauta da proteção de dados como ponto de estratégia nos programas de gestão e adequação das universidades.
A partir desta primeira iniciativa, vislumbramos como sugestão o desenvolvimento de material prático-instrucional, por parte das IES, na forma de cartilhas informativas e oficinas de adequação para projetos de extensão, com foco em boas práticas em proteção de dados no âmbito da indissociabilidade entre ensino, pesquisa e extensão, discorrendo, também, sobre as responsabilidades no tratamento de dados, os incidentes de segurança e os compromissos às normas de proteção de dados pessoais.
Portanto, as extensões universitárias devem atuar com responsabilidade ao tratarem dados pessoais de alunos, professores, coordenadores e público externo de suas ações, essencialmente quando crianças e adolescentes. Apesar da lei dispensar esse tratamento para fins exclusivamente acadêmicos, entende-se que seguir os princípios e as diretrizes normativas é uma forma de efetivar o direito fundamental à proteção de dados pessoais numa cultura cada vez mais pautada por algoritmos e dados em larga escala.
[1] BRASIL. Câmara dos Deputados. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Brasília (DF).
[2] BRASIL. Câmara dos Deputados. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília.
[3] BRASIL. Constituição (1988). Emenda Constitucional nº 115, de 10 de fevereiro de 2022. Altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais… Brasília, 2022.
[4] SILVA, José Afonso. Curso de Direito Constitucional positivo. 25ª ed. São Paulo: Malheiros Editores, 2005.
[5] UNIVERSIDADE DE SÃO PAULO. Núcleo de Proteção de Dados (NDP-TechLab) – Edital 2022. Disponível em: https://bityli.com/KRlVmv. Acesso em: 25 jul. 2022.
[6] APEX EMPREENDEDORISMO E SOLUÇÕES JURÍDICAS. Assessoria jurídica em proteção de dados. Conselho Apex de Proteção de Dados, 2022.
[7] UNIARAGUAIA. Governança da privacidade e proteção de dados pessoais à luz da LGPD – Lei Geral de Proteção de Dados, 17 de abril de 2021. Disponível em: https://bityli.com/VIWsMv. Acesso em: 25 jul. 2022.
[8] UFSC. Jovens de Mont Serrat aprendem sobre lei de proteção de dados em curso de extensão da UFSC. Notícias da UFSC, publicado em 2/9/2021. Disponível em: https://bityli.com/fcLaJu. Acesso em: 25 jul. 2022.
Encontrou um erro? Avise nossa equipe!