top of page
Ana Luiza Santos e Edgar Jacobs

O Encarregado de Proteção de Dados nas IES

Atualizado: 6 de jan. de 2020

Em artigo anterior falamos, de maneira geral, sobre o encarregado de proteção de dados (EPD) de que trata a LGPD. Quais as funções e atividades deste novo profissional, bem como a necessidade de preparação para os milhares de postos de trabalho que irão surgir.


Neste momento apresentamos as peculiaridades do trabalho deste ator fundamental da lei de proteção de dados dentro das Instituições de Ensino Superior, baseadas na lei brasileira, na GDPR e também nas orientações especializadas a partir deste regulamento europeu, como o WP29.


A propósito, WP29 é a sigla inglesa para GT Art. 29 - Grupo de Trabalho do art. 29 - grupo de trabalho europeu independente que lidou com as questões relacionadas à proteção de dados pessoais e da privacidade até a data de início de vigência do RGPD. Foi um órgão consultivo, constituído por um representante da autoridade de proteção de dados de cada Estado Membro da EU e suas recomendações se prestam a todos que se utilizam da GDPR como fonte da lei de proteção de dados, o que inclui o Brasil.


Enfim, este grupo adotou orientações sobre o papel do EPD, esclarecendo alguns dos principais critérios em torno de sua designação, inclusive nas IES. Faremos um aparte neste ponto para apresentar uma definição básica do que são os dados acadêmicos que serão tratados pelas Instituições de Ensino Superior, objetos que são da Lei Geral de Proteção de Dados. Porque quando falamos de IES precisamos ter em mente que elas tratam dados de alunos, mas também de professores, empregados e terceirizados. Nem todos estes dados são acadêmicos. Dados financeiros de alunos, bem como dados pessoais de professores, empregados e terceirizados não são acadêmicos e serão tratados de acordo com a norma geral da lei.


Os dados acadêmicos abrangerão os dados dos alunos matriculados, ou seja, vinculados à IES, bem como os dados que envolvem a pesquisa acadêmica, pesquisas governamentais relativas ao processo universitário ou, por exemplo, bolsas concedidas aos alunos. Vejamos um rol exemplificativo.


  • dados coletados quando da matrícula do aluno, como nome completo, números de documentos pessoais, endereço, números de contatos telefônicos;

  • dados do aluno relativos à frequência no curso;

  • sobre a participação do aluno em atividades complementares e cursos de extensão;

  • sobre eventuais transferências do aluno;

  • sobre avaliações do aluno apresentadas pelo corpo docente;

  • sobre resultados acadêmicos;

  • sobre turmas ingressantes e pregressas, em anais da IES;

  • sobre projetos acadêmicos, bolsas de incentivo;

  • dados sobre bolsas concedidas, prêmios aos discentes e

  • programas de assistência estudantil.


Como dissemos, o rol não é exaustivo, cabendo a cada Instituição de Ensino Superior, especialmente neste período de adaptação, coordenar os trabalhos com os atores da lei e definir e especificar os dados que serão tratados, antecipando-se à vigência da LGPD.


Um bom parâmetro normativo para determinar o que seriam dados acadêmicos é a norma relativamente recente do MEC que trata de diplomas. A Portaria 1.095/2018 cita, no Art. 14, dentre outros, diversos dados acadêmicos, tais como:


  • número do registro do diploma;

  • nome completo do diplomado;

  • data e local de nascimento;

  • nacionalidade;

  • cédula de identidade, indicando o órgão expedidor e a Unidade da Federação;

  • nome do curso;

  • data da conclusão do curso;

  • data da colação de grau;

  • data da expedição do diploma;

  • data do registro do diploma;

  • título ou grau conferido.


Outra referência é a Portaria 315/2019, que trata do acervo acadêmico, definido como: “conjunto de documentos produzidos e recebidos por instituições públicas ou privadas que ofertam educação superior” (Art. 37). Esses dados são dados tipicamente acadêmicos.


Em se tratando de dados acadêmicos, por exemplo, como já expusemos em outro artigo, não será imperativo o consentimento prévio do aluno. Portanto, verificar quais são os dados objetos de tratamento e em que categoria eles se inserem é apenas uma das várias providências que precisam ser tomadas o quanto antes, dada a iminência da LGPD.


Voltando às orientações/recomendações do GT Art. 29, vejamos alguns tópicos que dizem respeito às IES:


  • Registro: recomenda-se que controladores e operadores das IES – os agentes de proteção de dados – mantenham um registro da análise que foi feita para determinar a necessidade da nomeação do EPD. Aqui no Brasil, para tanto, aguardamos a concretização da ANPD e a regulamentação de eventuais exceções na obrigatoriedade de contratação do profissional.

  • Atividades principais dos agentes de tratamento: as atividades principais dos agentes de tratamento, ou seja, os controladores e os operadores, são as atividades primárias e as operações-chave necessárias para atingir os objetivos das mesmas, não se relacionando, por exemplo, com o processamento de dados de seus auxiliares. Já os EPD podem coletar informações para identificar atividades de processamento, analisar e verificar a conformidade destas atividades, informar, aconselhar e emitir recomendações.

  • Grande escala: para que se verifique se o processamento de dados de uma Instituição de Ensino Superior é realizada em larga escala é preciso ponderar o número de titulares de dados, o número de dados em si, a duração ou permanência da atividade de processamento de dados e a extensão geográfica da atividade de processamento. A dedicação da IES à adequação à LGPD deve ser maior quanto mais complexa for a atividade de tratamento de dados por ela efetuado.

  • Monitoramento regular e sistemático dos titulares dos dados: este monitoramento regular é o que ocorre em determinados intervalos e em período específico, recorrente, ou repetido em horários fixos, constantemente ou periodicamente. Sistemático é aquele que ocorre de acordo com um sistema predeterminado, de forma organizada e metódica, parte de uma estratégia e de um plano de coleta de dados. Fazer um monitoramento regular e sistemático dos dados serve ao marketing direcionado, prevenção de fraudes, localização etc.


O Grupo de Trabalho do Art. 29 da GDPR admite a designação de apenas um EPD para várias empresas/organizações, ou seja, mais de uma IES poderá contratar um EPD específico, especializado, desde que, obviamente, ele cumpra alguns requisitos. O EPD, neste caso, precisa ser acessível e ter disponibilidade pessoal para garantir que os titulares dos dados pessoais possam entrar em contato com ele. Naturalmente o EPD deve ser capaz de cumprir suas tarefas com as duas ou mais IES, sendo íntegro, ético, permitindo e promovendo a conformidade dos trabalhos com a LGPD.


Conhecimento e habilidades do EPD/DPO


É muito importante que o EPD que servirá às IES participe de treinamentos e avaliações que possibilitem certificação feita por organizações acreditadas e reconhecidas internacionalmente.


Não existe um nível de conhecimento definido, mas deve ser proporcional à complexidade dos dados que as IES tratam e estas devem considerar a exigência ou não de especialização.

De qualquer forma, é relevante que o EPD de grandes IES possua experiência em dados nacionais e internacionais, sendo conhecedor do setor de negócios da organização, compreender todas as atividades de processamento, conhecer sistemas de TI e de segurança.

As IES precisam se adiantar e decidir antecipadamente sobre as qualificações e o nível de treinamento necessário para o EPD que desejam contratar.


Ainda, recomenda-se que o EPD seja nomeado com base em um contrato de serviço, seja ele um indivíduo ou uma organização, garantindo que cada titular de direitos possa ser atendido de maneira eficaz.


Publicidade e Comunicação dos EPD


Os contatos dos EPD que tratam dados de IES devem incluir informações que permitam aos titulares dos dados, bem como à autoridade nacional, acessá-los facilmente. Endereço, telefone, endereço de e-mail, linha direta ou formulário de contato no site da organização são recomendados. De acordo com o GT Art. 29 este requisito não se aplica ao nome do EPD, mas a contratante do serviço (a IES, no caso), juntamente com o próprio EPD podem decidir se incluem ou não.


O EPD precisa envolver-se desde sempre com o processo de tratamento de dados e deve ser parte de qualquer discussão ou grupo de trabalho que lide com o processamento de dados ou atividades das IES neste sentido.


Vários recursos são necessários ao trabalho do EPD e devem ser providos pelas IES. Além do suporte ativo de uma gerência sênior ou diretoria, ele precisa de:


  • tempo suficiente para cumprir suas funções,

  • recursos financeiros,

  • infraestrutura e pessoal,

  • ser apresentado formalmente como encarregado para todos os funcionários,

  • ter acesso às partes interessadas, como o RH, o jurídico, o TI, e a Segurança,

  • ser continuamente treinado e

  • ter uma equipe de EPD (dependendo da estrutura da IES).


Sempre, em qualquer caso, o encarregado não pode ser instruído sobre como lidar com eventuais problemas que surjam em relação ao tratamento de dados: ele precisa agir de maneira independente, não podendo ser penalizado por cumprir suas funções dentro da norma da LGPD ou discordar do controlador.


Mesmo porque é permitido ao encarregado coletar informações para identificar atividades de processamento, analisar e verificar a conformidade destas atividades com a lei e, caso haja questões controversas, informar, aconselhar e emitir recomendações. Faz parte de seu papel como EPD e espera-se este reconhecimento pelas Instituições de Ensino Superior.


Enfim, a entrada em vigência da LGPD se aproxima e há muito o que fazer para que as Instituições de Ensino em geral - especialmente aquelas que lidam com a modalidade EAD - se adequem e estejam, em termos operacionais e jurídicos, em conformidade com a lei. A falta de planejamento pode suscitar multas e eventuais indenizações.



Faça sua inscrição.



186 visualizações

Comentarios


bottom of page