Você está na página 1de 7

2.

Problema Apresentado
Uma escola particular com alunos de alto poder aquisitivo foi vítima de sequestro de dados. O hacker que
realizou esse sequestro de dados entrou em contato via mensagem eletrônica e, pediu um resgate de alto
valor a ser pago em bitcoins, no prazo de 24 horas. Se o resgate for pago os dados serão devolvidos para
a escola e, se não forem, a ameaça do sequestrador é vazar os dados dos alunos na rede mundial de
computadores, em especial os endereços e fotografias.
A diretoria da escola está muito temerosa das consequências e procura o escritório do grupo para uma
consulta.

As atividades que o grupo deverá realizar para solucionar este caso são:
1. Analisar as notícias publicadas na mídia a respeito de sequestro de dados.
2. Analisar o texto da Lei 13.709, de 2018, sobre o aspecto específico da responsabilidade civil.
3. Escrever um texto de até 80 linhas como um parecer jurídico, para definir se há ou não há
responsabilidade civil da escola sobre o vazamento de dados e, quais as consequências que poderão
resultar para a entidade, ou seja, se ela poderá ser condenada a pagar indenização caso o sequestrador
cumpra a promessa de vazar os dados.
4. O texto deverá ser postado para a avaliação.

PARECER JURÍDICO
Ao(à) Sr(a). Dir(a) da escola XYZ
EMENTA: SEQUESTRO DE DADOS PESSOAIS. RESPONSABILIDADE CIVIL. DANOS MORAIS.
RESPONSABILIDADE DIRETA E OBJETIVA DA INSTITUIÇÃO SOBRE OS DANOS CAUSADOS. POSSIBILIDADE.

I. RELATÓRIO

Trata-se de consulta verbal formulada pela Instituição Educacional XYZ, em razão de


sequestro de dados e possibilidade de vazamento de informações pessoais na rede mundial de
computadores. Buscam saber se existe o direito à indenização por danos morais decorrentes deste
vazamento, bem como a aplicação de multa. No afã de responder a tais questionamentos, realizou-se
pesquisa em sede legal e jurisprudencial como forma de se encontrar o entendimento predominante que
elida qualquer dúvida sobre o tema. É o relatório. Passe-se a opinar.

II. FUNDAMENTAÇÃO

Por motivo de ordem lógica, impera-se responder em primeiro plano a última questão
citada acima. Destarte, temos que o dano moral é aquele que agride o âmago do indivíduo, causando-lhe
constrangimento, perturbação interior, sofrimento psicológico. Ou seja, é aquele que fere diretamente a
dignidade da pessoa humana, mediante a violação frontal a direitos personalíssimos e a consequente
apuração de sensações e emoções negativas relacionadas à angústia e à humilhação. A par dessa
assertiva, passa-se a análise do primeiro quesito: sobre a existência de direito à indenização por danos
morais decorrentes do vazamento de informações pessoais. Sobre a temática, destacam-se os arts. XXX e
XXX da Lei nº XXXXXX (novo Código Civil), que dispõem respectivamente:

III.

As escolas são entidades que procedem a vários tipos de tratamentos de dados pessoais, para diferentes
finalidades, no desenvolvimento das suas funções e atividades. Têm a especialidade de tratar dados de
menores, alguns deles de grande sensibilidade, o que impõe naturalmente responsabilidades e cuidados
acrescidos na proteção dessa informação pessoal. Tratam também dados pessoais relativos ao pessoal
docente e não docente e aos encarregados de educação, bem como são um terreno fértil para a
realização de estudos e inquéritos vários, aplicados aos alunos.

Com a crescente informatização das escolas, o desenvolvimento de plataformas digitais e a


disponibilização de informação nos respetivos sítios da Internet, surgiram novos riscos, que importa
conhecer melhor para reforçar a segurança dos dados e minimizar as potencialidades da sua utilização
indevida. Atendendo ao papel preponderante que a escola desempenha na sociedade, como meio de
aprendizagem por excelência, por um lado, e como paradigma de referência, por outro, compete-lhe
cumprir a sua missão com respeito pelos direitos, liberdades e garantias dos cidadãos. A proteção de
dados pessoais é um direito fundamental. Iremos, pois, abordar a melhor forma de o garantir no
contexto escolar. Com exemplos práticos do quotidiano das escolas. Por último, serão dadas algumas
novidades sobre o Projecto Dadus, tendo em conta as recentes alterações ao nível curricular.

https://webinars.dge.mec.pt/webinar/protecao-de-dados-no-contexto-escolar - Clara Guerra

No seguimento das sessões de formação de sensibilização e de implementação do Sistema Geral de


Privacidade da Dados (SGPD), focando as obrigações e a forma de obter a conformidade ao
Regulamento Geral de Proteção de Dados da UE (RGPD), que tenho ministrado em escolas e em
empresas, decidi neste artigo referir alguns dos novos desafios que se colocam aos estabelecimentos
escolares.
O RGPD traz novos direitos para que os residentes europeus tenham controle sobre seus dados
pessoais. O RGPD reúne o melhor destas leis individuais e cria uma única regulamentação pan-europeia
que cria consistência para os indivíduos na proteção e controle de seus dados pessoais e pode ser
facilmente implementada em toda a UE pelos fornecedores de serviços e bens. Além disso, é uma
oportunidade para todas as organizações melhorarem a segurança da informação pela qual são
responsáveis, seja informação empresarial, de negócio, dados pessoais ou de qualquer outra natureza
administrativa/financeira e assim também aproveitar a oportunidade para tomar novas medidas para
garantir a segurança de toda a informação. De referir que a digitalização de processos, da informação e
dos negócios, a segurança passa a ter um nível de exigência sem precedentes.

Os nossos filhos são talvez a comunidade mais importante para a qual este novo regulamento ajuda a
fornecer novas proteções. À medida que as crianças usam cada vez mais aplicativos online, e como
nossas escolas estão usando novas tecnologias inovadoras online na sala de aula, essas novas proteções
dos dados pessoais são bem-vindas.

O tratamento de dados pessoais dos nossos filhos tem que ser realizado de forma confiável. O
fundamento dessa confiança é construído em torno dos princípios do RGPD.

Qualquer estabelecimento escolar que pretenda coletar e tratar dados dos alunos deve fornecer uma
base jurídica para essa ação. Se o consentimento for usado como base legal para o processamento de
dados, o consentimento deve ser fornecido por uma pessoa com responsabilidade parental se a criança
tiver menos de 16 anos. De notar que o aviso de consentimento e privacidade deve ser escrito em
linguagem simples que possa ser entendida por crianças e por quem tem a responsabilidade parental.

Para as escolas que usam serviços online na sala de aula, serviços de e-mail, redes sociais, colaboração
de documentos e material didático online, será necessária uma atenção especial para garantir que os
serviços utilizados sejam totalmente compatíveis com o RGPD.

Alguns passos importantes:

Sensibilizar

· Certificar que os pessoais docentes e não docentes dentro da escola estão cientes das novas regras
de proteção de dados pessoais ao abrigo do RGPD

· Estar ciente das implicações ao nível da responsabilidade da gestão do estabelecimento escolar por
não estar em conformidade com as obrigações do RGPD

· Realizar ações de formação para que as pessoas entendam as mudanças dentro da escola

Nomear um Encarregado de Proteção de Dados (DPO), se necessário

O RGPD exige que as organizações nomeiem um Encarregado de Proteção de Dados (DPO) obrigatório
somente em determinadas circunstâncias (artigo 37º).

Esta função pode ser desempenhada por um elemento interno da organização ou pode ser contratada a
uma entidade externa.
Nas situações em que não seja mandatório nomear um DPO, na minha opinião, é sempre recomendável
nomear um ponto de contato, alguém interno ou externo por subcontratação, que seja o responsável
por informar e aconselhar a empresa sobre a conformidade da proteção de dados, aconselhar sobre a
avaliação do impacto da proteção de dados, monitorizar a conformidade da proteção de dados,
ministrar formação, realizar auditorias relacionadas com esta área e cooperar e atuar como ponto de
contacto com os titulares dos dados e com as autoridades de controlo da proteção de dados.

Consideras os dados que a escola possui e o que faz com esses dados

· Realizar um mapeamento e inventariação dos dados pessoais que a escola atualmente possui, dos
tratamentos e dos fluxos de dados pessoais para terceiros. É provável que isso implique uma auditoria
completa de proteção de dados.

· Rever a base jurídica para processar os dados pessoais que a escola possui. Por exemplo, a escola
obteve o consentimento dos pais / funcionários ou o processamento necessário para que a escola
cumpra suas obrigações legais?

Note que crianças menores de 16 anos não podem "consentir" o processamento de seus dados
pessoais.

Rever procedimentos existentes

Rever como a escola procura, obtém e registra dados pessoais e o consentimento dos titulares dos
dados.

Alguns pontos a considerar:

· A escola possui sistemas adequados para corrigir ou apagar dados a pedido de um indivíduo?

· Tem procedimento para responder a uma solicitação de acesso, oposição ou esquecimento?

· Há políticas e procedimentos que permitam avaliar e gerir os riscos?

· Existe procedimentos para tratamento de dados pessoais não automatizados?

· Os sistemas garantem a confidencialidade, integridade e disponibilidade dos dados?

· Consegue-se detetar qualquer violação de dados logo que ocorra e comunicá-la em 72 horas?

Por fim, não basta fazer, há que demonstrar:

· Conseguimos recolher evidências e demonstrar que cumprimos com o RGPD?

O ponto de partida para esta missão é garantir que as escolas tenham as técnicas e as medidas
organizacionais de que precisam para ser seguras e produtivas no nosso mundo digitalmente
transformador e que cumpram as obrigações do novo regime do RGPD.

Carlos Silva
DPO- Certified Data Protection Officer
RGPD / GDPR Implementation Project Lead
APDPO PORTUGAL – Membro Ass.dos Profissionais de Proteção e de Segurança de Dados
Formador CCP nº F660014

https://www.linkedin.com/pulse/o-rgpd-e-nossas-escolas-carlos-silva - Carlos Silva - O RGPD e as nossas


escolas

Em março deste ano a imprensa mundial divulgou o escândalo envolvendo as empresas Facebook e
Cambridge Analytica (empresa inglesa de análise de dados). Os dados pessoais de 87 milhões de perfis
de usuários do Facebook nos Estados Unidos e Reino Unido foram utilizados indevidamente pela
Cambridge Analytica nas campanhas presidencial americana e Brexit (saída do Reino Unido da União
Europeia), em 2016.

A União Europeia aprovou em maio o Regulamento Geral sobre a Proteção de Dados (GDPR – General
Data Protection Regulation), que garante maior proteção de dados às pessoas que se encontram no seu
território. A GDPR tem eficácia e aplicação extraterritorial. Todos os países que realizam transações
comerciais ou ofereçam produtos e serviços à União Europeia, como o Brasil, terão que se adequar às
diretrizes do GDPR.

Após oito anos de discussões no Congresso Nacional, o Presidente Michel Temer, no dia 14 de agosto
sancionou a Lei Geral de Proteção de Dados Pessoais – LGPDP (Lei Federal nº 13.709), cujas regras
passarão a valer em fevereiro de 2020 - período previsto para que as empresas públicas e privadas se
adaptem à nova legislação.

Houve veto ao artigo da LGPDP que criava a ANPD (Autoridade Nacional de Proteção de Dados) – órgão
da Administração Pública Indireta, responsável por zelar, implementar e fiscalizar o cumprimento da
LGPDP - sob o argumento que o Legislativo não pode propor ao Executivo a estrutura e a composição
de um novo órgão. O Presidente Temer afirmou que enviará um projeto de lei ou Medida Provisória
para a criação da Autoridade. Especialistas defendem que o órgão é indispensável para a efetividade da
aplicação das regras previstas na LGPDP.

A LGPDP dispõe a respeito do tratamento de dados pessoais - inclusive nos meios digitais, por pessoa
natural ou jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de
liberdade, privacidade e intimidade da pessoa natural.

Conforme a LGPDP, dados pessoais são aqueles relacionados à pessoa natural identificada ou
identificável (o nome e apelido, endereço da residência e eletrônico, CPF, RG, telefone etc) ou os
relacionados à sua origem racial ou étnica, convicção religiosa, opinião política, filiação sindical ou
organização de caráter religioso, filosófico ou político e os referentes à sua vida sexual, à sua saúde,
genética ou biometria (são os dados pessoais sensíveis).
O tratamento de dados pessoais envolve qualquer operação de coleta, armazenamento,
processamento, reprodução, compartilhamento, distribuição dentre outras atividades, nos ambientes
online e off-line e que tenham sido realizadas no território nacional.

Quando não for possível identificar a pessoa natural titular do dado pessoal (dado anonimizado), a
princípio, não serão aplicadas as regras da LGPDP. O mesmo ocorre em relação ao tratamento de dados
pessoais realizado por pessoa natural para fins exclusivamente privados e não econômicos ou para fins
jornalísticos e artísticos, acadêmicos ou relacionados com a segurança pública, defesa nacional,
segurança do Estado e atividades de investigação e repressão de infrações penais.

A LGPDP faz referência a alguns agentes relacionados ao tratamento de dados, tais como, o titular, o
controlador, o operador e o encarregado.

O titular é a pessoa natural a quem se referem os dados pessoais (usuário). Controlador é a pessoa
natural ou jurídica, de direito público ou privado, a quem competem as decisões relacionadas ao
tratamento de dados pessoais. O operador é a pessoa natural ou jurídica, de direito público ou privado,
que realiza o tratamento de dados pessoais em nome do controlador. E o encarregado é a pessoa
natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os
titulares e a autoridade nacional.

O titular de dados, regra geral, deve dar previamente o seu consentimento para o tratamento de seus
dados. Referido consentimento deverá ser por escrito ou por meio que demonstre a sua manifesta
vontade. Deve ser concedido para uma finalidade específica e poderá ser revogado a qualquer tempo. O
controlador precisa notificar e solicitar novo consentimento do titular caso utilize as informações para
outra finalidade que não a aceita pelo titular.

O tratamento de dados pessoais de crianças e adolescentes deverá ser realizado em seu melhor
interesse e com o consentimento específico de um dos pais ou do responsável legal.

A LGPDP elenca algumas exceções para a necessidade do prévio consentimento do titular: cumprimento
de obrigação legal ou regulatória; execução de políticas públicas; exercício regular de direitos em
processo judicial, administrativo ou arbitral; proteção do crédito; e quando os dados já são públicos.

O titular terá direito de saber quais dados o operador possui sobre ele e, se necessário, solicitar a
revisão das informações. Assim como, solicitar a transferência, a exclusão dos seus dados ou a
portabilidade para outro fornecedor ou prestador de serviço.

A transferência internacional de dados pessoais é permitida para países ou organismos internacionais


que proporcionem mesmo nível de proteção.

Se a segurança dos dados pessoais for violada e acarretar risco ou dano relevante ao titular, o
controlador deverá informar a autoridade nacional e o titular, indicando a natureza dos danos afetados,
os riscos e as medidas adotadas para reverter ou mitigar prejuízos.

No caso de descumprimento das regras da LGPDP pelas empresas ou órgão do governo poderão ser
aplicadas as seguintes penalidades pela autoridade nacional: advertência, multa de 2% do faturamento
anual da pessoa jurídica limitada a R$ 50 milhões, publicização da infração e bloqueio ou eliminação dos
dados pessoais.
A LGPDP ao dar ênfase à transparência nas relações digitais aumentará a proteção de privacidade dos
cidadãos e, ao mesmo tempo, proporcionará mais segurança jurídica para as empresas e órgãos do
governo.

Palavras chave: : Lei Geral de Proteção da Dados Pessoais (LGPDP); Autoridade Nacional de Proteção de
Dados (ANPD); tratamento de dados pessoais; consentimento; penalidades.

*Mariana Uyeda Ogawa - Graduada em Direito (USP). Mestre em Direito das Relações Sociais (PUC/SP).
Especialista em Direito Contratual (PUC/SP) e em Gestão Pública (University of La Verne, CA). Professora
da Escola de Contas do TCMSP.

Referências

Lei n. 13.709, de 14 de Agosto de 2018. Disponível em:


<http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>
Nova lei de proteção de dados entrará em vigor em 2020. Disponível em:
https://www.valor.com.br/empresas/5736221/nova-lei-de-protecao-de-dados-pessoais-entrara-em-
vigor-em-2020 Acesso em 31 agos. 2018.
Lei de Proteção de Dados será desafio para empresas e órgãos do governo. O Estado de São Paulo. São
Paulo, Link p. B12, 26 agos. 2018.

http://www.escoladecontas.tcm.sp.gov.br/artigos/1517-lei-geral-de-protecao-de-dados-pessoais -
Mariana Uyeda Ogawa - Lei Geral de Proteção de Dados Pessoais