Perguntas Frequentes
1. Quando a Lei Geral de Proteção de Dados entrou em vigor?
A Lei entrou em vigor de maneira escalonada:
1º. 28 de dezembro de 2018: quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B, que tratam da constituição da Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD);
2º. 18 de setembro de 2020: quanto aos demais artigos da lei, com exceção dos dispositivos que tratam da aplicação de sanções administrativas; e
3º. 1º de agosto de 2021: quanto aos arts. 52, 53 e 54, que tratam das sanções administrativas.
2. Quais dados são protegidos pela LGPD?
A LGPD garante proteção a todos os dados cujos titulares são pessoas naturais, estejam eles em formato físico ou digital. Assim, a LGPD não alcança os dados titularizados por pessoas jurídicas – os quais não são considerados dados pessoais para os efeitos da lei.
3. O que são dados pessoais?
A LGPD adota, no art. 5º, inciso I, um conceito aberto de dado pessoal, definido como a informação relacionada a uma pessoa natural identificada ou identificável. Assim, além de informações básicas de identificação, a exemplo de nome, número de inscrição no Registro Geral (RG) ou no Cadastro Nacional de Pessoas Físicas (CPF) e endereço residencial, são também considerados dados pessoais outros dados que estejam relacionados com uma pessoa natural, tais como seus hábitos de consumo, sua aparência e aspectos de sua personalidade. Segundo o art. 12, § 2º, da LGPD, poderão ser igualmente considerados como dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.
4. O que são dados pessoais sensíveis?
Os dados pessoais sensíveis são aqueles aos quais a LGPD conferiu uma proteção ainda maior, por estarem diretamente relacionados aos aspectos mais íntimos da personalidade de um indivíduo. Assim, de acordo com o art 5º, II, são dados pessoais sensíveis aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.
5. O que é tratamento de dados pessoais, de acordo com a LGPD?
Segundo a LGPD, no art. 5º, 10, tratamento de dados pessoais é toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
6. O que a UFVJM precisa fazer para se adequar?
A LGPD estabelece uma série de providências que devem ser adotadas pelos agentes de tratamento, que incluem o mapeamento e o registro das operações de tratamento de dados pessoais que realizarem, incluindo a identificação das respectivas bases legais e finalidades; a adoção de medidas técnicas e administrativas e de processos e políticas internas que assegurem o cumprimento das normas de proteção de dados pessoais; e o estabelecimento de um canal de contato com os titulares de dados pessoais. Conforme prevê o art. 41 da Lei, a UFVJM como controladora de dados indicou um Encarregado para atuar como canal de comunicação entre a Universidade, os titulares dos dados e a ANPD.
7. Sou servidor e lido com dados pessoais. O que devo fazer?
O mais importante nesse momento é deixar claro aos titulares o que está sendo feito com seus dados pessoais e não fazer nenhum tipo de tratamento que extrapole esse objetivo, sem autorização dos mesmos. Em um formulário de coleta na web, por exemplo, procure deixar clara a finalidade de cada informação, ou conjunto de informações, que estão sendo coletadas. Além disso, deve-se ter o cuidado de não compartilhar os dados pessoais aos quais você tem acesso com ninguém, de dentro ou fora da universidade. E por compartilhamento, entende-se: conceder acesso a bancos de dados, enviar e-mails com dados pessoais para qualquer pessoa, tramitar documentos físicos (papel) ou deixá-los acessíveis sem procedimentos de segurança, entre quaisquer outras medidas que você mesmo possa identificar no seu dia-a-dia para proteger os dados com os quais você tem contato.
8. Sou servidor, o que fazer com os dados já coletados?
É preciso revisar a forma de coleta dos dados e entender quais são os dados necessários para cada finalidade, além de uma base legal. Caso a unidade acadêmica ou administrativa esbarre em um dado sem finalidade ou sem base legal, o melhor a se fazer é eliminar.
9. Sou professor e publico dados de estudantes ou vídeo aulas em meu website. O que muda?
É importante deixar o mínimo de dados expostos, seja em websites, seja em murais físicos. Se há uma lista da turma com as notas dos estudantes que está pública, coloque o número de matrícula, ao invés de nome ou CPF, por exemplo. Se há vídeos em que os estudantes estejam expostos, uma alternativa é solicitar seu consentimento por escrito antes de publicá-lo. Contudo, lembre-se de que você deverá manter um arquivo desses consentimentos e de que eles poderão ser revogados pelos estudantes a qualquer momento, então uma alternativa melhor talvez fosse fazer um tratamento na imagem de maneira que aquele estudante não possa ser identificado(a). Lembre-se, nada deve ser feito com os dados dos estudantes sem seus consentimentos. Na dúvida, procure sempre procurar anonimizar os dados com os quais você lida e nunca compartilhá-los com terceiros, seja de dentro ou de fora da universidade.
10. Sou professor pesquisador e coleto dados pessoais e/ou sensíveis, como proceder?
A LGPD não se aplica para fins acadêmicos (Art. 4º, inciso II, alínea b), com exceção dos artigos 7 e 11. Observe o que dizem os artigos:
“Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;”
“Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas; II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
Ou seja, não há problema em coletar esses dados para fins de pesquisa, desde que eles sejam anonimizados. E lembre-se de não compartilhá-los com terceiros. Se você lidera uma equipe de pesquisa, oriente os membros dessa equipe para terem o mesmo cuidado.
11. Como estudante, posso solicitar a exclusão de meus dados pessoais?
O Capítulo III da LGPD trata dos direitos do titular. O Art. 18, inciso VI, diz que um desses direitos é a solicitação da eliminação de seus dados. Contudo, no inciso II do parágrafo 4º desse mesmo artigo, atente para o fato de que o controlador (no caso, a UFVJM), pode indicar as razões de fato ou de direito que impeçam a execução dessa solicitação. Além disso, diz o Art. 16:
“Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
I – Cumprimento de obrigação legal ou regulatória pelo controlador;”
No caso das universidades, o impedimento da eliminação se dá através das seguintes bases legais:
– Lei 8159/1991, Art. 1: É dever do Poder Público a gestão documental e a proteção especial a documentos de arquivos, como instrumento de apoio à administração, à cultura, ao desenvolvimento científico e como elementos de prova e informação.
– Portaria MEC 1224/2013: Institui normas sobre a manutenção e guarda do Acervo Acadêmico das Instituições de Educação Superior(IES) pertencentes ao sistema federal de ensino. Observe que a tabela no Anexo I desta portaria define prazos de guarda de 100 anos e em alguns casos, até mesmo guarda permanente.
– Portaria MEC 315/2018 , Art. 38: As IES e suas mantenedoras, integrantes do sistema federal de ensino, ficam obrigadas a manter, sob sua custódia, os documentos referentes às informações acadêmicas, conforme especificações contidas no Código de Classificação de Documentos de Arquivo Relativos às Atividades-Fim das Instituições Federais de Ensino Superior e na Tabela de Temporalidade e Destinação de Documentos de Arquivo Relativos às Atividades-Fim das Instituições Federais de Ensino Superior, aprovados pela Portaria AN/MJnº 92, de 23 de setembro de 2011, e suas eventuais alterações.
Parágrafo único. O acervo acadêmico será composto de documentos e informações definidos no Código e na Tabela mencionados no caput, devendo a IES obedecer a prazos de guarda, destinações finais e observações neles previstas. Não podemos, portanto, excluir os dados de nenhum estudante, mesmo que ele já tenha se desligado da universidade.
12. A quem devo fazer alguma solicitação referente aos meus dados pessoais?
Solicitações referentes aos dados pessoais podem ser encaminhadas através da Ouvidoria UFVJM. Acesse https://portal.ufvjm.edu.br/ouvidoria.
13. Como apresentar um requerimento à UFVJM para reclamar da violação a direito de titular ou para denunciar infração à LGPD?
Através do Fala. BR , selecione o banner “Acesso à Informação”, faça o login e, em seguida, faça seu pedido apresentando sua demanda.
14. Qual a forma correta de se obter o consentimento para fazer a coleta de dados pessoais?
O consentimento do titular para a coleta de dados pessoais (comuns e sensíveis) deve ser obtido de modo livre, informado e inequívoco, portanto a UFVJM precisa demonstrar para o usuário qual a finalidade da coleta de cada um dos dados.
15. Quais tipos de coleta de dados dispensa consentimento?
Parte dos processos em execução na UFVJM não precisará do Termo de Consentimento do titular dos dados pessoais para esse tipo de tratamento, já que se encaixa na hipótese de dispensa prevista no Art. 11, inc II, alínea “b”, da LGPD.
Isso inclui, mas não se restringe a:
- Matrícula de discentes com faixa etária superior a 18 anos (abaixo de 18 anos, deverá obter o consentimento específico por parte de um dos responsáveis legais);
- Informações pessoais coletadas no âmbito de processo licitatório;
- Utilização de dados pessoais na elaboração de contrato administrativo decorrente de processo licitatório;
- Utilização de dados pessoais para cadastro e manejo de acervo funcional de servidores;