Escolar Documentos
Profissional Documentos
Cultura Documentos
1
Nota Técnica 46 (3319546) SEI 00261.000730/2022-53 / pg. 4, disponível em
https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/sei_00261-000730_2022_53-nt-46.pdf
virtualizar a suas operações, especialmente o setor educacional, que sofreu
severos impactos.
Perda de receita, investimento em equipamentos, treinamento de
professores, pais e alunos, transformando o ensino em EaD (Ensino a
distância), com todos os riscos advindos de tal situação, a proteção de dados
que não era uma prioridade, tornou-se urgente.
Vimos diversos incidentes envolvendo a sala de aula no ambiente
virtual e outras situações que foram reveladas, pelo investimento em segurança
da informação.
O último incidente com exposição de dados pessoais partiu de uma
falha nos sistemas do INEP, onde mais de 5 milhões de estudantes brasileiros
tiveram dados expostos na internet. A vulnerabilidade foi divulgada pela revista
digital "The Hack", que testou o acesso aos dados e descobriu que era possível
saber informações como nomes dos candidatos, e-mail, senhas, gênero e
nome da mãe, como boletins de desempenho, local de prova e até laudos
médicos e opção de tratamento social.2
Mas a exposição de dados pessoais de alunos não é privilégio
apenas do Brasil, em 2019, a Autoridade Norueguesa de proteção de dados
informou que foram expostos 35.000 dados pessoais de alunos e funcionários
da escola municipal, neste procedimento administrativo, concluiu-se que não
havia medidas próprias de segurança para resguardar os dados pessoais,
violando o Regulamento Geral de Proteção de Dados (RGPD) 3.
Um outro exemplo de incidente de segurança é a cópia, em um
pendrive, realizada por um ex-funcionário da instituição, que ao ser demitido
compartilhou informações e dados pessoais com a outra empresa.
Diante dessas situações, como instituições devem iniciar o
planejamento e incorporar a proteção de dados e a privacidade nas suas
operações e evitar que pessoas sejam expostas, que informações sejam
divulgadas e especialmente que funcionários e/ou terceirizados tenham a
proteção de dados como premissa de suas atividades?
2
https://www.uol.com.br/tilt/noticias/redacao/2021/09/10/falha-no-sistema-do-inep-vaza-dados-de-5-
milhoes-de-estudantes.htm?cmpid=copiaecola
3
Disponível em: https://iapp.org/news/a/norwegian-supervisory-authority-fines-municipality-170k-
euros-for-gdpr-violations/
Enquanto não há um regulamento específico de como tratar dados
pessoais nas instituições, com o objetivo de se adequar aos dispositivos da
LGPD, o Ministério da Educação tem realizado um conjunto de ações, quais
sejam4:
• Desenvolvimento do Programa Institucional de Proteção de Dados
Pessoais e Privacidade;
• Institucionalização do Subcomitê de Segurança da Informação e
Proteção de Dados Pessoais (SSIPDP/MEC) – em fase de publicação;
• Institucionalização do Núcleo de Estudos para Implantação da Lei
Geral de Proteção de Dados Pessoais (NEILGPD/MEC);
• Realização do levantamento das atividades de tratamento de
dados pessoais existentes no âmbito do Ministério – em fase de
consolidação; e
• Nomeação do Encarregado pelo Tratamento dos Dados
Pessoais do Ministério.
O plano de ação iniciado pelo MEC indica que as atividades podem
ser executadas nas instituições de ensino, pois revelam um encadeamento de
ações da fase inicial de implantação da LGPD para empresas de outros
setores, além do que agregará valor à instituição.
A primeira reunião com a alta direção, sócios ou diretores é muito
importante para dar conhecimento de forma assertiva sobre o tema,
abrangendo não apenas a parte jurídica como princípios, obrigações,
responsabilidades, sobretudo a parte técnica e situações cotidianas inseridas
na realidade da instituição.
Explicar a metodologia, o tempo e a equipe necessária, bem como
as etapas que serão percorridas trarão clareza para o projeto de adequação,
demonstrarão segurança e comprometimento da equipe que estará engajada
nessa tarefa.
Geralmente nessa reunião é possível alinhar a criação do comitê de
privacidade e nomear o Encarregado.
As instituições geralmente apresentam organização e mapeamento
dos processos, pois necessitam estar em conformidade com diversas
4
https://www.gov.br/mec/pt-br/acesso-a-informacao/lgpd
legislações, especialmente, as resoluções do MEC, portanto faz parte da rotina
terem comissões ou grupos destacados para determinado projeto.
Assim, diante das obrigações e atribuições de um grupo que vai
ajudar no projeto de implantação se faz necessário a instituição de forma
regulamentada do Comitê de Privacidade, que pode ser designado através de
portaria com a nomeação de funções, diretorias ou áreas de negócios que
tratam dados e de pessoas comprometidas com o projeto.
Na prática, diante de tantas atividades que uma instituição
desenvolve, percebeu-se a necessidade de nomear também suplentes e de
inserir reuniões periódicas do Comitê, pelo menos, a cada 2 meses, com o
objetivo de atualizar sobre a implementação da LGPD, bem como permitir que
o Comitê exerça uma de suas atribuições, que é decidir sobre situações que
possam apresentar um risco ao tratamento de dados pessoais seja de
funcionários ou de alunos e seus responsáveis.
O tema da proteção de dados é vasto e deve ser difundido por toda
a instituição, não apenas para a direção, mas para os funcionários, professores
e terceirizados, tornando as reuniões preparatórias um excelente momento de
disseminação de informação e conscientização sobre as ações desenvolvidas
em cada setor da instituição, para dar possibilidade de as perguntas serem
respondidas e maior proximidade entre os colaboradores.
É recomendado que seja feita uma lista de presença e emissão de
certificados, para posterior comprovação de conscientização e treinamentos
das equipes.
A necessidade de comprovar treinamento e conscientização da
equipe sobre proteção de dados, já foi objeto de um processo trabalhista em
que restou comprovado a conduta grave cometida pelo trabalhador, que
justificou a justa causa, ao violar as regras sobre proteção de dados instituídas
pela empresa5.
A Avaliação Inicial de Privacidade compreende uma boa prática para
o setor educacional, sendo possível elaborar um relatório identificando as
medidas já implementadas pela instituição, mapeando os macrofluxos de
tratamento de dados, as legislações específicas para cada setor e a parte
5
TRT 2ª Região Recurso Ordinário Trabalhista 1000612-09.2020.5.02.0043, disponível em
https://www.conjur.com.br/dl/1000612-0920205020043.pdf
técnica da segurança da informação, bem como as medidas que foram
tomadas para mitigar riscos e as que serão necessárias para elaborar o projeto
de adequação.
A Gestão de Riscos
Sempre que se inicia um novo projeto, os riscos devem ser
avaliados, pelo Gestor de Crise ou por outro profissional que tenha capacidade
técnica para avaliar o cenário.
Tomando como base a Resolução Administrativa nº 60/2014, da
Agência Nacional de Saúde (ANS), o art. 8º determina que “o gerenciamento
de riscos deve ser feito em ciclos não superior a dois anos, abrangendo os
processos de trabalho, sistemas informatizados, gestão orçamentária, gestão
de pessoas e legislação, com vistas reduzir os eventos de riscos negativos,
assim como, quando for o caso, potencializar os eventos de riscos positivos
(oportunidades)6.
Nessa etapa é importante descrever como o trabalho é realizado
conhecendo os seus objetivos e as fontes de riscos presentes em suas
atividades.
“É importante frisar o detalhamento da descrição do processo de
trabalho: objetivos, etapas, procedimentos, atividades, recursos humanos
(peopleware), equipamentos (hardware), sistemas de informação requeridos
(software) e materiais, além de outras fontes de riscos que sejam parte
integrante desse fluxo de informações e tomadas de decisão. Quanto mais
detalhada a descrição do processo de trabalho, mais fácil será a visualização
dos eventos que podem ocorrer e afetar os objetivos” 7
Toda organização – assim como todo sistema – relaciona-se com o
ambiente externo. Esse relacionamento é estabelecido por meio de uma
interface com clientes, fornecedores, governo etc. São exemplos de interfaces
de uma organização com o meio externo as áreas de recepção, call center, os
vendedores, os compradores, os atendentes e demais agentes que interagem
com clientes, fornecedores, governo e cidadão8.
6
Disponível em https://www.gov.br/ans/pt-br/arquivos/acesso-a-informacao/transparencia-institucional/gestao-
de-riscos/politica-gestao-de-riscos-ans.pdf
7
Manual de Gestão de Riscos da Agência Nacional de Saúde Suplementar – ANS, disponível em www.ans.gov.br
8
FERNANDES, Jorge Henrique Cabral. Introdução à Gestão de Riscos de Segurança da Informação. GSIC302. Versão
1.2. 2009-2011.
A gestão de risco é baseada na norma ABNT NBR ISO/IEC
27005:2008 (ABNT, 2008).
9
De acordo com o conceito estabelecido pela Autoridade Nacional de Proteção de Dados (ANPD), disponível em
https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca
“Enquanto pendente a regulamentação, recomenda-se que após a
ciência do evento adverso e havendo risco relevante, a ANPD seja comunicada
com a maior brevidade possível, sendo tal considerado a título indicativo o
prazo de 2 dias úteis, contados da data do conhecimento do incidente.
Tal interregno foi estabelecido com parâmetro
na definição de comunicação já existente no Decreto nº 9936/2019 e em
virtude da necessidade de gerenciamento dos incidentes de segurança com
dados pessoais por parte da ANPD e das consequências danosas que podem
ocorrer em razão do atraso nas ações de contenção ou mitigação.”10
Portanto, em até 48 horas, deve-se comunicar à ANPD sobre o
incidente que seja relevante e possa causar danos aos titulares. Assim, o plano
de resposta a incidente deve ser um guia prático de como proceder em outras
situações, além da exposição de dados pessoais, devendo considerar:
a) o incidente pode acarretar risco, tomando como base a proporção entre a
probabilidade de o evento acontecer e a gravidade das consequências
previsíveis, como a ocorrência de incidente com dados sensíveis, dados de
crianças e adolescentes.
b) dano relevante, a partir da ocorrência do prejuízo, da perda, que pode ser
material ou moral, com violação ao direito de imagem e a honra.
É necessário considerar o quantitativo (o volume) dos dados pessoais
afetados.
O incidente deve ser registrado internamente, com a análise e a
avaliação dos riscos e consequências, atendendo ao princípio da
responsabilidade e prestação de contas disposto na Lei Geral de Proteção de
Dados Pessoais.
Determinar quem será avisado interna e externamente compreende
o plano de ação, bem como não restam dúvidas de que o Controlador (a
instituição) comunica a ocorrência à ANPD.
O comunicado deve ser feito pelo Encarregado, que deverá preencher o
cadastro de usuário externo no Sistema Eletrônico de Informações (SEI), da
Presidência da República11.
10
https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca
11
Disponível em: https://sei-pr.presidencia.gov.br/sei/controlador_externo.php?
acao=usuario_externo_logar&acao_origem=usuario_externo_gerar_senha&id_orgao_acesso_externo=0
Gestão dos Contratos
Em atendimento ao princípio da boa-fé, transparência,
responsabilização e prestação de contas os contratos deverão ser capazes de
informar às partes sobre o tratamento de dados realizado pela Instituição, se há
compartilhamento, quais são os dados coletados, a finalidade, por quanto
tempo serão armazenados, os direitos dos titulares e as formas de exercê-los,
as responsabilidades, sanções impostas pelo descumprimento contratual,
informações sobre o encarregado.
Diante do posicionamento das instituições nas redes sociais, é
necessário prever, em cláusula específica, o uso da imagem e voz de alunos,
pais, responsáveis e funcionários, dando oportunidade de as partes
consentirem ou não com tal exposição nas mídias digitais.
Para os contratos celebrados sem a previsão da proteção de dados,
uma boa prática é realizar o aditamento contratual que tem objetivo modificar,
atualizar e ratificar determinadas cláusulas, atendendo de forma eficaz o
cumprimento da lei, fornecendo informações que proporcionem clareza e
segurança para as partes, afastando dúvidas e possíveis reclamações sobre o
tratamento dos dados pessoais.
Os contratos dos parceiros de negócios e contratados das
instituições devem ser aditados de acordo com o objeto contratual, evitando
cláusulas genéricas de cumprimento da legislação, pois a definição das
responsabilidades e obrigações, bem como as formas de tratamento e dados
que são coletados são específicos para cada negócio realizado pela instituição.
Tomando-se como exemplo, um contrato de marketing pode não
coletar os mesmos dados pessoais que um contrato de contratação de
professor substituto ou ainda, de um aplicativo de venda de lanches.
Somente após o mapeamento de dados e de uma análise
aprofundada poderá se determinar quais são as responsabilidades e impor
sanção às partes, por descumprimento contratual.
Os direitos dos titulares
Conforme o art. 18 da LGPD, os titulares de dados pessoais tem
direito ao acesso facilitado às informações sobre o tratamento dos seus dados,
à qualquer momento, de forma clara, adequada e ostensiva, por meio de um e-
mail ou outra forma que a instituição implementar, como por exemplo,
diretamente no site institucional.
Os direitos dos titulares são12:
1) Confirmar a existência do tratamento;
2) Ter acesso aos seus dados pessoais, de forma simples ou uma
declaração completa;
3) Corrigir os dados que estejam incompletos, inexatos ou desatualizados;
4) Solicitar a anonimização, bloqueio ou eliminação de dados
desnecessários, excessivos ou tratados em desconformidade com a Lei
Geral de Proteção de Dados Pessoais.
5) Solicitar a portabilidade dos dados a outro fornecedor de serviço ou
produto, mediante requisição expressa, de acordo com a
regulamentação da autoridade nacional, observados os segredos
comercial e industrial;
6) Solicitar a eliminação dos dados pessoais tratados com o consentimento
do titular, exceto nas hipóteses em que é autorizado por lei a
conservação dos dados;
7) Ser informado(a) sobre as entidades públicas e privadas com as quais a
Instituição realizou uso compartilhado de dados;
8) Ser informado(a) sobre a possibilidade de não fornecer consentimento e
sobre as consequências da negativa;
9) Solicitar a revogação do consentimento, a qualquer momento, mediante
manifestação expressa, de forma gratuita e facilitada
10)Solicitar a revisão de decisões tomadas unicamente com base em
tratamento automatizado de dados pessoais que afetem seus
interesses, incluídas as decisões destinadas a definir o seu perfil
pessoal, profissional, de consumo e de crédito ou os aspectos de sua
personalidade.
BIBLIOGRAFIA:
Lei Geral de Proteção de Dados Pessoais (LGPD)
FERNANDES, Jorge Henrique Cabral. Introdução à Gestão de Riscos
de Segurança da Informação. GSIC302. Versão 1.2. 2009-2011.
Iapp.org
https://www.gov.br/anpd/pt-br
www.ans.gov.br