Lei Geral de Proteção de Dados
Entrevista por Rafael Pinheiro / Foto Divulgação
Aprovada em 2018 e com previsão para entrar em vigor em agosto de 2020, a Lei nº 13.709/2018 – Lei Geral de Proteção de Dados (LGPD) – estabelece algumas regras sobre o armazenamento, o tratamento, o compartilhamento e a utilização de dados pessoais por empresas privadas e entidades governamentais. Dessa forma, algumas mudanças deverão ser implementadas, sobretudo na gestão escolar, com o intuito de se adequar às novas diretrizes evidenciadas na lei. Para compreender os reflexos da LGPD no âmbito escolar, conversamos com Luis Felipe Silveira, advogado especialista em Direito Privado e Direito Contratual. Confira abaixo a entrevista completa.
Direcional Escolas: De forma geral, o que é a Lei Geral de Proteção de Dados?
Luis Felipe Silveira: A Lei Geral de Proteção de Dados (LGPD) é o instrumento legislativo criado para disciplinar, de forma ampla, a utilização de dados pessoais por empresas e entidades governamentais – conhecido como “tratamento de dados pessoais”. Esse é o ponto central da lei – e a partir do qual ela avança sobre outros aspectos que giram em torno desse tema. Nessa linha, o diploma estabelece quais são os direitos dos titulares de dados pessoais, as consequências jurídicas de eventual violação a esses direitos, bem como cria a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável pela orientação, fiscalização e aplicação de sanções administrativas em matéria de dados pessoais.
Direcional Escolas: Quais são os principais reflexos dessa lei no cotidiano escolar?
Luis Felipe Silveira: A LGPD possui reflexos diretos no cotidiano escolar, dado que, como consequência natural do processo de aprendizado, informações relacionadas ao aluno são obtidas, criadas, armazenadas e avaliadas ao longo do processo. Desde informações triviais, como dias e horários em que o aluno esteve na escola, passando pelas ocorrências e incidentes naturais do aluno na instituição, até o próprio histórico escolar, todas essas são informações que identificam ou, ao menos, são capazes de identificar o aluno – e, portanto, são considerados dados pessoais, pela LGPD. Além disso, o cotidiano escolar envolve a obtenção daquilo que a lei qualifica como “dados pessoais sensíveis” – como dados relacionados à sexualidade, orientação religiosa, de saúde, entre outros. Em relação a esses dados, a LGPD confere uma margem ainda mais estreita de utilização. Esse panorama impõe, obviamente, grandes desafios à atividade de gestão escolar, na medida em que todo o processo de utilização de dados pessoais de alunos passa, agora, a estar necessariamente alinhada a uma finalidade clara e específica – além, é claro, da obrigatoriedade de adoção de medidas de proteção e sigilo mais robustas desses dados após satisfeita aquela finalidade. Outro ponto importante é que, de acordo com a LGPD, os titulares de dados possuem alguns direitos, cujo exercício (ou mesmo a simples perspectiva desse exercício) pode alterar radicalmente a forma como as atividades educacionais são desenvolvidas. Um exemplo que demonstra bem isso é a questão envolvendo o tratamento de dados de crianças e adolescentes. Segundo a LGPD, além de o tratamento dever ser realizado no melhor interesse do menor, ele também depende, em regra, de consentimento específico de um dos responsáveis. No entanto, esse consentimento pode, nos termos da legislação, ser revogado a qualquer tempo.
Direcional Escolas: Como implantar as diretrizes dessa lei nas instituições de ensino?
Luis Felipe Silveira: O que se tem recomendado, nesses casos, é um projeto estruturado, que parte, de início, de uma análise profunda sobre que tipo de dados pessoais são utilizados pelas instituições, a finalidade para a qual são utilizados, bem como quais são os atores dentro da instituição que, de algum modo, se utilizam desses dados para a realização de suas atividades. Nessa fase, também é realizado um trabalho “imaginativo”, no sentido de entender em que fundamentos oferecidos pela LGPD se poderão fazer uso daqueles dados pessoais necessários para a atividade da instituição. Daí, então, se parte para uma segunda etapa, que é a construção de uma política interna de segurança e proteção de dados, cujo objetivo é instituir e formalizar o conjunto de regras que subordinarão toda a equipe interna e stakeholders da instituição. Paralelamente, os documentos utilizados pela instituição de ensino devem ser adequados, de modo a assegurar o tratamento dos dados pessoais para as finalidades identificadas e validadas na etapa inicial. Outras atividades, como treinamentos, podem ser necessárias, de modo a desenvolver, dentro da organização, a cultura de zeladoria de dados.
Direcional Escolas: Existe algum prazo para as escolas implementarem essa lei?
Luis Felipe Silveira: Até esse momento, a LGPD está prevista para entrar em vigor em Agosto/2020. No entanto, um projeto de lei de iniciativa do Senado Federal (PL nº 1.179/2020), e já aprovado naquela casa, adia a entrada em vigor da LGPD para Janeiro/2021. O mesmo projeto também estabelece que a aplicação de sanções administrativas em decorrência de violação de dispositivos da LGPD só entraria em vigor em Agosto/2021.
Direcional Escolas: Caso a instituição não cumpra os regulamentos ou diretrizes, haverá algum tipo de punição?
Luis Felipe Silveira: Sim. E, aqui, é importante ter em perspectiva duas dimensões dessa “punição”. Uma dimensão é a de caráter civil, que interessa à relação entre o titular de dados e a empresa ou organização que realizou o tratamento de dados. Nesse caso, uma violação a qualquer um dos direitos do titular de dados ocasionará, consequentemente, e em regra, um dano a algum direito de personalidade (privacidade, intimidade ou reputação), gerando em favor daquele titular um direito à indenização por danos extrapatrimoniais (morais). Evidentemente, é possível que algum caso de violação prejudique o titular “materialmente” – quando, por exemplo, algum dado pessoal ilegalmente divulgado possa gerar alguma repercussão negativa sobre a continuidade de atividades econômicas desempenhadas pelo titular –, quando, então, a indenização teria outra natureza. Outra dimensão diz respeito às sanções de natureza administrativa, aplicáveis pela Autoridade Nacional de Proteção de Dados. A LGPD traz, nesse sentido, um rol bastante diversificado de punições, que vai desde uma simples advertência, passando por multas simples ou diárias, conforme o caso – que podem chegar a até 2% do faturamento da empresa, limitado a R$ 50.000.000,00 por infração –, até a “publicização” da infração, consistente na ampla divulgação da ocorrência de uma violação de dados pessoais. Outras punições também podem ser aplicadas, como a suspensão ou interrupção da atividade de tratamento de dados, e a própria eliminação dos dados objeto da violação. A escolha da sanção dependerá, todavia, de vários aspectos, como reincidência do infrator, a adoção prévia de medidas de proteção e segurança de dados, entre outras.
Direcional Escolas: Você acredita que é necessário contratar uma assessoria jurídica para auxiliar a escola na implementação da lei?
Luis Felipe Silveira: Sim, o apoio de profissionais da área jurídica é realmente fundamental nesse processo, dado que a identificação do sentido e alcance de algumas disposições da LGPD devem ser obtidos não somente da leitura isolada dela, mas também a partir do diálogo e interação com outros instrumentos normativos, como o Código Civil, o Estatuto da Criança e do Adolescente, a Constituição Federal e, quando aplicável, o Código de Defesa do Consumidor e o Marco Civil da Internet.
Saiba mais:
Luis Felipe Silveira – [email protected]