O impacto da nova lei de proteção de dados

A exemplo da Europa, o Brasil também estabeleceu regras mais duras para a forma como as informações são coletadas e tratadas pelas organizações. Veja o que muda no ensino superior

SHARE
, / 1

Por  Erivelto Tadeu

A nova lei geral de proteção de dados pessoais (LGPD) vai trazer mudanças não apenas para as empresas ligadas à internet, mas também a todas as demais organizações, inclusive as instituições de ensino superior, que coletam, tratam e armazenam dados de cidadãos brasileiros, tanto online quanto offline.

Prevista para entrar em vigor em 15 de fevereiro de 2020, a lei brasileira, inspirada no Regulamento Geral de Proteção de Dados da União Europeia , estabelece uma série de normas rigorosas para o uso de dados pessoais, definindo direitos, responsabilidades e sanções, no caso de seu descumprimento.

Como avançar na formação profissional

Entidades educacionais entram na Justiça para defender os cursos EAD

Uma delas é a que versa sobre coletas de dados feitas fora do país. Embora o regramento contemple basicamente atividades e pessoas em território nacional, ele determina também que as coletas feitas no exterior, que estiverem relacionadas a bens ou serviços ofertados a brasileiros, devem seguir a nova legislação. Por exemplo, a instituição que oferece cursos a distância com conteúdo em português no exterior terá de cumpri-la estritamente.

“Há algumas exceções, como é o caso da primeira coleta, em que há necessidade da obtenção dos dados para a execução do contrato, mas fora isso é preciso, sim, que a instituição siga a lei”, explica Renato Opice Blum, professor coordenador do curso de Direito Digital do Insper.

A LGPD tem como preceito fundamental proteger a privacidade dos titulares dos dados pessoais que sejam objeto de tratamento. Ela define dados pessoais como qualquer informação que possa identificar alguém – não apenas um nome, mas a idade, por exemplo, que, cruzada com um endereço, possa revelar que se trata de determinada pessoa. Além disso, cria também o conceito de dados sensíveis, informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, filosóficas, saúde, vida sexual e dados genético ou biométrico.

Registros como estes passam a ter nível maior de proteção na lei, para evitar formas de discriminação, explica Alexandre Pacheco da Silva, professor da FGV Direito-SP. Por isso, ele enfatiza que a instituição terá de consultar o aluno de maneira não apenas explícita para obter autorização, mas fazer isso de forma destacada no contrato. Ou seja, esses dados só poderão ser submetidos a tratamento mediante consentimento específico do titular para determinados fins.

“É necessário ter uma cláusula separada que evidencie que, além do contrato que ele não leu, há uma disposição específica, separada, que trata da finalidade do uso de dados sensíveis. Isso faz com que a chance de a pessoa não ler seja muito menor. Essa preocupação em destacar os dados sensíveis é porque são eles que podem expor a privacidade do titular e gerar discriminação”, diz Silva.

O consentimento para coleta e tratamento dos dados terá de ser fornecido por escrito ou outro meio que comprove a efetiva permissão do titular, sendo que a empresa ficará impedida de dar tratamento diverso do informado.

proteção de dados

Parlamento europeu: conjunto de regras relativo à gestão de dados por empresas e órgãos públicos entrou em vigor neste ano, inspirando outros países a adotarem normas semelhantes (foto: Shutterstock)

O que estou autorizando?

O professor Opice Blum, do Insper, explica que o consentimento, quando se trata de dado pessoal em geral, obedece a três princípios: a

lei define que essa permissão tem de ser uma manifestação livre, informada e inequívoca, pela qual o titular concorda com o tratamento de seus dados para uma finalidade determinada. “Isso significa que a pessoa tem de compreender o que está autorizando. Hoje, não acontece isso. O que se tem são os chamados termos de uso em que a pessoa é  obrigada a clicar em ‘aceitar’  para poder utilizar um site.”

A única exceção à necessidade de consentimento do titular dos dados é quando há o chamado legítimo interesse, ou seja, situações em que uma empresa ou órgão podem utilizar os dados para determinada finalidade, sem ter de informar o titular. A lei estabelece o conceito de legítimo interesse, mas determina também que a coleta e tratamento devam se dar em uma situação concreta e se atenham ao “estritamente necessário para a finalidade pretendida”.

Conforme explica Silva, o controlador, que é quem toma as decisões referentes ao tratamento de dados, pode alegar um interesse legítimo para coletar e tratar o dado, sem consultar o titular. Um exemplo seria o combate à fraude. “Se há uma suspeita de fraude, não há por que pedir consentimento do titular dos dados, desde que sejam resguardados os seus direitos e liberdades fundamentais.”

O professor da FGV Direito-SP observa que todas as IES coletam dados constantemente, em decorrência da própria atividade educacional, abrangendo desde dados cadastrais, avaliações educacionais, notas dos alunos até frequências. Porém, o que se nota num primeiro momento, segundo ele, é que as instituições não tomam alguns cuidados. “O primeiro e mais básico é a não obtenção da autorização do titular, que é o aluno ou a aluna, para coletar, tratar e armazenar o dado. Via de regra, as instituições não pedem autorização”, diz.

Por isso, os especialistas alertam para a necessidade de acelerar os projetos de compliance com a LGPD. Embora a lei só entre em vigor em 2020, a adequação às normas não é simples. O tempo mínimo para implementação do compliance demora em média seis meses, segundo Opice Blum. Considerando todos os ajustes que terão de ser feitos, o prazo restante para a adequação poderá ser bastante curto.

Cursos e workshops

Com a nova lei, as instituições de ensino superior terão também a possibilidade de oferecer cursos sobre o tema. A Universidade Corporativa Semesp, por exemplo, deverá lançar em breve um programa com a FGV-SP.

A assessora jurídica do Semesp, Roberta Lins Estevam de Barros, ressalta que a nova lei exigirá das instituições maior otimização dos processos para tornar os dados mais seguros. E isso, segundo ela, só poderá ser alcançado mediante ampliação do conhecimento e adoção de protocolos de procedimentos e recursos tecnológicos.

A FGV Direito-SP, aliás, planeja a criar já no ano que vem uma disciplina eletiva na graduação – Privacidade e proteção de dados –, com o propósito de fornecer uma formação voltada especificamente para o tema. “Em paralelo, estamos pensando em aproveitar as habilidades existentes no âmbito tecnológico que podem ser importantes para os alunos trabalharem com gestão de dados, inteligência artificial, blockchain, entre outras tecnologias. A compreensão do funcionamento de novas tecnologias pode ser muito útil para nossos alunos.”

O Insper já oferece um curso de extensão da pós-graduação, denominado “Proteção de dados e privacidade”, que deve formar sua segunda turma ainda este ano. Opice Blum explica que o curso tem 39 horas-aula de duração e aborda desde as questões jurídicas da nova lei brasileira até a segurança de sistemas, além de analisar o regulamento de proteção de dados europeu.

Falta de órgão regulador pode tornar lei pouco efetiva

As empresas que não cumprirem a Lei Geral de Proteção de Dados Pessoais poderão desembolsar até R$ 50 milhões em multas. Mas, apesar das fortes sanções administrativas, há o risco de que, na prática, a nova legislação tenha pouca efetividade. Isso porque, ao sancionar a lei em agosto deste ano, o presidente Michel Temer vetou parte do texto aprovado pelo Congresso. Entre os principais vetos estão os artigos que criariam a Agência Nacional de Proteção de Dados (ANPD), que ficaria responsável por fiscalizar e punir as infrações. O presidente alegou que a criação da ANPD teria um “vício constitucional” porque o Legislativo não pode criar órgãos que gerem despesas para o Executivo.

Especialistas, no entanto, veem a criação do órgão como indispensável para a aplicação das normas. Segundo Renato Opice Blum, professor coordenador do curso de Direito Digital do Insper, a lei perde força sem a agência reguladora. “Para que a sanção seja efetiva é necessária a criação da autoridade nacional de proteção de dados, que foi vetada. Sem isso, as multas serão aquelas já previstas nas relações de consumo, que podem chegar a mais ou menos R$ 10,3 milhões, e não a 2% do faturamento da empresa como prevê a lei.”

Outro aspecto negativo diz respeito às homologações de certificações para atestar padrões de segurança, cumprimento de direitos e deveres e até o estabelecimento de políticas de ampliação da cultura de proteção de dados. “Todas essas competências seriam da autoridade nacional de proteção de dados, que responderia, inclusive, pelo julgamento de casos administrativos envolvendo relações de dados pessoais”, completa Alexandre Pacheco da Silva, professor da FGV Direito-SP.

Sem essa figura, diz ele, não há a garantia de que as normas serão cumpridas. Segundo Silva, quem tem assumido algumas das funções é o Ministério Público Federal (MPF). “Por exemplo, o braço do MPF no Distrito Federal abriu inquérito civil para investigar violações envolvendo dados pessoais por parte de empresas, entidades e até mesmo do poder público. Mas a criação da agência seria mais eficaz, pois ela teria melhores meios e mais respaldo para garantir a fiscalização e a aplicação da lei”, finaliza Silva.

Artigos relacionados

<

Comentários

comentários

 blog.aidol.asia youngteens.net a-coon.com

PASSWORD RESET

LOG IN