Direito Digital

Proteção de dados pessoais nas extensões universitárias: adequações e boas práticas

Autores

  • é gestor executivo no Legal Grounds Institute graduando em Direito na Universidade do Estado do Rio Grande do Norte (Uern) pesquisador do Observatório do Direito à Educação na Universidade de São Paulo (USP) membro-pesquisador do Grupo de Estudos e Pesquisa em Direitos Humanos Desenvolvimento e Cotidiano discente colaborador do Núcleo de Pesquisa em Memória Institucional e Direito à Informação e autor de livros e artigos nacionais e internacionais.

    Ver todos os posts
  • é mestre em Direito do Trabalho pela Pontifício Universidade Católica de Minas Gerais (PUC-MG) sócia do Barra Barros e Roxo Advogados advogada nas áreas trabalhista e de privacidade e proteção de dados pessoais professora convidada nos cursos de pós-graduação em Direito e Processo do Trabalho da Universidade Presbiteriana Mackenzie e em cursos de pós-graduação cursos in company e de curta duração e autora de artigos e livros.

    Ver todos os posts

1 de novembro de 2022, 20h08

Introdução
Podem as extensões universitárias tratarem dados pessoais de alunos, professores, coordenadores e público externo sem seguirem os princípios e as diretrizes normativas da Lei Geral de Proteção de Dados Pessoais (LGPD)? Partindo deste questionamento e no momento em que a proteção de dados pessoais se consolida como um direito fundamental no ordenamento jurídico brasileiro, torna-se imprescindível discutir os reflexos desta legislação em diferentes âmbitos de aplicação, inclusive nos projetos de extensão.

ConJur
Logo, a indissociabilidade entre ensino, pesquisa e extensão tem previsão constitucional, devendo as universidades e Instituições de Ensino Superior (IES) efetivarem este princípio fundamental para estimular a aproximação entre a universidade e a sociedade, de modo a atender questões da sociedade contemporânea. Desse modo, esse tripé rege a missão e dever institucional das universidades brasileiras, sendo os projetos de extensão ação curricular de caráter educativo, social e cultural, científico e/ou tecnológico essencial no processo de ensino-aprendizagem e contribuição à coletividade.

Tendo em vista este contexto, este artigo, propõe-se a discorrer acerca dos impactos da Lei nº 13.709/2018 na extensão universitária, de modo a evidenciar seu escopo de aplicação. Neste sentido, apresenta, em primeiro lugar, o panorama da proteção de dados no arcabouço jurídico brasileiro e as possibilidades de tratamento de dados nos projetos de extensão.

Em segundo lugar, relata iniciativas de boas práticas em educação para proteção de dados e alerta para a necessidade de construção de plano de adequação para redução de risco de divulgação de informações, garantindo maior segurança jurídica a alunos, coordenadores e público externo de extensões universitárias.

1. Proteção de dados pessoais no ordenamento jurídico brasileiro
A Constituição da República Federativa do Brasil de 1988 já listava a inviolabilidade e a confidencialidade dos dados do cidadão como uma das garantias constitucionais, com base no inciso XII do artigo 5º Nesta ótica, o Marco Civil da Internet, instituído pela Lei nº 12.965/2014, também garantiu ao usuário a inviolabilidade de sua privacidade e possibilitou indenização por danos materiais ou morais decorrentes de sua violação [1], além do sigilo do fluxo de comunicações privadas armazenadas, bem como o direito de não fornecer dados pessoais a terceiros sem autorização expressa.

Sob influência da regulação europeia, especialmente do General Data Protection Regulation (GDPR), a legislação brasileira passou por inovação legislativa em relação à proteção de dados, por meio da entrada em vigor da Lei nº 13.709/2018. Esse diploma normativo alterou a lei do Marco Civil da Internet, tornando-se o mais recente instituto jurídico brasileiro de proteção de dados pessoais, e estabeleceu direitos, obrigações e regras para a coleta, processamento e compartilhamento de dados de cidadãos por empresas e pelo Poder Público [2]. No contexto da cultura do algoritmo, tal legislação representou um avanço no ordenamento jurídico pátrio para ampliar a importância da segurança digital e da privacidade como questões relevantes para a sociedade, apesar de boa parte de seu conteúdo ser importação da lei europeia.

No que se refere ao meio acadêmico, em seu conteúdo normativo, o artigo 4º da LGPD dispensou a aplicação da lei ao tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos, jornalísticos e artísticos, acadêmicos e de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais (BRASIL, 2018).

Recentemente, foi sancionada a Emenda Constitucional nº 115, de 10 de fevereiro de 2022, que alterou a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais. Dessa forma, acresceu o inciso LXXIX ao artigo 5º, CF, tornando o direito à proteção dos dados pessoais fundamental [3]. Fortalece, portanto, o pressuposto material de concretização de direitos fundamentais.

Para Silva (2005, p. 171) [4], um direito fundamental é aquele atinente a situações jurídicas "sem as quais a pessoa humana não se realiza, não convive e, às vezes, nem mesmo sobrevive". Nesse sentido, é importante entender como a insegurança jurídica no tratamento de dados pessoais pode afetar esse direito fundamental no âmbito do ensino superior, potencializando a vulnerabilidade de estudantes, professores e público-alvo, principalmente quando estes são crianças ou adolescentes. É necessário, portanto, que adequações sejam realizadas para gerenciar riscos e perigos que os cercam no armazenamento, tratamento e divulgação de dados dos titulares, inclusive no âmbito dos projetos de extensão.

2. Tratamento de dados nas extensões universitárias: riscos e possibilidades
Dada sua natureza como ação curricular de caráter educativo, social e cultural, científico e/ou tecnológico, é fato que as extensões universitárias comumente utilizam de dados pessoais em diversos cenários, como em processos seletivos, aplicação de formulários e questionários, armazenamento de dados sensíveis, gerenciamento de e-mails, controle de frequência, organização de eventos, dados de pesquisas, encontros temáticos, emissão de certificados, declarações, mapeamentos e publicações de textos, dentre outros.

Como vimos, apesar da Lei nº 13.709/2018 não se aplicar a atividades de tratamento voltadas exclusivamente para fins acadêmicos (conforme artigo 4º, II, b da lei), como as extensões universitárias, há importantes pontos que os projetos de extensão devem considerar para fazer uso adequado e seguro de dados pessoais dos titulares de dados.

É essencial que as extensões universitárias mapeiem, inicialmente, quais dados merecem e devem ser tratados por alunos, professores e público externo, tendo em vista os princípios da finalidade, adequação e necessidade, e em consonância com a correta base legal. De acordo com a LGPD, artigo 6º, o tratamento de dados deve ocorrer com propósitos legítimos, específicos, explícitos e informados ao titular, com compatibilidade às finalidades informadas, de acordo com o contexto do seu tratamento, e com a limitação ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação a estas.

No caso de tratamento de dados pessoais de crianças e de adolescentes beneficiados pelo projeto de extensão, este deverá ser realizado, se aplicada a legislação, em seu melhor interesse, nos termos do artigo 14 da LGPD e das normas pertinentes, como o Estatuto da Criança e do Adolescente (ECA), observada a sua condição especial no ordenamento jurídico brasileiro e o consentimento dos responsáveis legais em todo o processo extensionista.

Como destacado, esse consentimento é peça-chave na legislação. Entre as ações que os projetos podem desenvolver para tratá-lo estão o preenchimento de Termos de Consentimento Livre e Esclarecido (TCLE), exigindo, assim, que toda pesquisa se processe após consentimento livre e esclarecido dos sujeitos, indivíduos ou grupos que por si e/ou por seus representantes legais manifestem a sua anuência à participação na extensão universitária.

Para além disso, a formação dos membros nos temas pertinentes ao tratamento – principalmente para aqueles de cursos sem formação jurídica – é fundamental para a adequação e uso com responsabilidade dos dados armazenados e processados. Essa fase é caracterizada como processo educativo acerca da privacidade e confidencialidade, em que os envolvidos têm formação acerca do tema que será base para o desenvolvimento de uma cultura voltada à proteção de dados.

Situa-se, ainda, a necessidade de capacitações sistemáticas e específicas de qualificação dos extensionistas e coordenadores sobre a proteção de dados, observando-se o contexto e as finalidades específicas das ações em que se propõem a atuar. Sugere-se a criação de inventário e limpeza de dados, abrangendo desde a coleta à exclusão de dados armazenados em banco de dados pelo projeto de extensão, devendo ser identificadas e descritas cada etapa do tratamento e as formas de descarte.

Em todo o processo de adequação, deve ser realizada avaliação periódica de todos os controles implementados, com destaque para as medidas de segurança. Algumas das ações que podem ser empreendidas nesta fase são: análise da exposição dos dados; avaliação de softwares de gestão de dados; mudança dos sistemas já empregados; etc.

Por fim, é necessário que a governança de privacidade busque a estruturação do plano de atuação da extensão na perspectiva da proteção de dados de todos os envolvidos no campo universitário, desde os alunos e professores ao público beneficiado. Esse processo pode se dar com a criação e publicação de documentos pertinentes à governança de dados, como aviso de privacidade e política de segurança da informação, e treinamentos sobre as práticas, de modo a implementar e acompanhar o desenvolvimento das ações a nível geral.

Tendo em vista a importância do tema, é essencial que as instituições de Ensino Superior, por meio de ações de compliance, auxiliem os projetos a construírem seus planos de adequação, com foco no melhor tratamento dos dados. Cabe, desde logo, incluir a pauta da proteção de dados como foco de estratégia dos programas de atuação e de compliance jurídico-administrativo. Outra alternativa é que esse processo de adequação à LGPD esteja alinhado com as próprias ações de extensão das universidades com atuação e experiência na área, a exemplo das descritas no tópico seguinte.

3. Experiências com educação em proteção de dados em universidades brasileiras
Apesar de pontuais e recentes, há experiências e iniciativas institucionais que atuam no sentido de estimular o tema da proteção de dados pessoais em projetos de instituição de ensino superior, seja na modalidade de grupos e núcleos de pesquisa, na realização de eventos, cursos, oficinas, capacitações e/ou na produção de conteúdo audiovisual educativo.

O Núcleo de Proteção de Dados, da Faculdade de Direito da Universidade de São Paulo (USP), é um projeto de cultura e extensão que tem por objetivo promover o estudo sobre a proteção de dados pessoais com base na agenda regulatória da Autoridade Nacional de Proteção de Dados (ANPD), com atuação extensionista na intersecção entre Direito e Tecnologia. Nesse sentido, considera que a educação e a troca de conhecimento nos temas de proteção de dados pessoais se faz fundamental na universidade, pois proporciona expandir a prática para fora das salas de aula [5].

Na Universidade do Estado do Rio Grande do Norte (UERN), o projeto de extensão Apex Empreendedorismo e Soluções Jurídicas promove capacitações a alunos e comunidade nos temas da LGPD. Por meio do Conselho Apex de Proteção de Dados (Conex), o projeto atua com formações em um contexto no qual há falta de recursos humanos qualificados e pouco conhecimento básico, inclusive em cursos jurídicos e de informática. O objetivo do Conex é, então, promover conscientização, capacitação e proteção, de modo a fornecer ações de excelência e dedicação exclusiva dos extensionistas ao tema [6].

O projeto "Governança da privacidade e proteção de dados pessoais à luz da LGPD" trata-se de uma extensão que objetiva apresentar à comunidade acadêmica e comunidade geral as possibilidades e perspectivas da proteção de dados, na Uni Araguaia [7]. Já na Universidade Federal de Santa Catarina, um projeto de extensão desenvolveu um curso de Auxiliar de Data Protection Officer (DPO-X) com o objetivo de capacitar jovens para operarem como auxiliares de proteção de dados pessoais [8].

Percebe-se que, de forma incipiente, porém importante, o tema tem sido difundido nas instituições de ensino superior.

Considerações finais
No geral, as práticas extensionistas descritas buscam desenvolver ações de extensão e contribuir no processo de inclusão digital e no exercício da cidadania digital. Por isso, considera-se necessário o fortalecimento de uma cultura institucional pautada na autodeterminação informativa e na educação para proteção de dados em universidades e instituições de ensino, de modo a qualificar os envolvidos no processo extensionista no tema. Ainda, é essencial que esses atores atuem de forma conjunta, por meio de ações de compliance, e auxiliem os projetos a construírem seus planos de adequação. Cabe, isso posto, incluir a pauta da proteção de dados como ponto de estratégia nos programas de gestão e adequação das universidades.

A partir desta primeira iniciativa, vislumbramos como sugestão o desenvolvimento de material prático-instrucional, por parte das IES, na forma de cartilhas informativas e oficinas de adequação para projetos de extensão, com foco em boas práticas em proteção de dados no âmbito da indissociabilidade entre ensino, pesquisa e extensão, discorrendo, também, sobre as responsabilidades no tratamento de dados, os incidentes de segurança e os compromissos às normas de proteção de dados pessoais.

Portanto, as extensões universitárias devem atuar com responsabilidade ao tratarem dados pessoais de alunos, professores, coordenadores e público externo de suas ações, essencialmente quando crianças e adolescentes. Apesar da lei dispensar esse tratamento para fins exclusivamente acadêmicos, entende-se que seguir os princípios e as diretrizes normativas é uma forma de efetivar o direito fundamental à proteção de dados pessoais numa cultura cada vez mais pautada por algoritmos e dados em larga escala.

 


[1] BRASIL. Câmara dos Deputados. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Brasília (DF).

[2] BRASIL. Câmara dos Deputados. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília.

[3] BRASIL. Constituição (1988). Emenda Constitucional nº 115, de 10 de fevereiro de 2022. Altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais… Brasília, 2022.

[4] SILVA, José Afonso. Curso de Direito Constitucional positivo. 25ª ed. São Paulo: Malheiros Editores, 2005.

[5] UNIVERSIDADE DE SÃO PAULO. Núcleo de Proteção de Dados (NDP-TechLab) – Edital 2022. Disponível em: https://bityli.com/KRlVmv. Acesso em: 25 jul. 2022.

[6] APEX EMPREENDEDORISMO E SOLUÇÕES JURÍDICAS. Assessoria jurídica em proteção de dados. Conselho Apex de Proteção de Dados, 2022.

[7] UNIARAGUAIA. Governança da privacidade e proteção de dados pessoais à luz da LGPD – Lei Geral de Proteção de Dados, 17 de abril de 2021. Disponível em: https://bityli.com/VIWsMv. Acesso em: 25 jul. 2022.

[8] UFSC. Jovens de Mont Serrat aprendem sobre lei de proteção de dados em curso de extensão da UFSC. Notícias da UFSC, publicado em 2/9/2021. Disponível em: https://bityli.com/fcLaJu. Acesso em: 25 jul. 2022.

Autores

  • é estagiário do Legal Grounds Institute, graduando em Direito na Universidade do Estado do Rio Grande do Norte (Uern) e diretor da Apex Empreendedorismo e Soluções Jurídicas.

  • é pesquisadora do Instituto Legal Grounds, mestre em Direito do Trabalho pela Pontifícia Universidade Católica de Minas Gerais, bacharel em Direito pela Pontifícia Universidade Católica de Minas Gerais, professora convidada da pós-graduação da Universidade Mackenzie, professora da pós-graduação da Escola Superior da Advocacia da OAB-MG e sócia do Barra, Barros e Roxo Advogados.

Tags:

Encontrou um erro? Avise nossa equipe!