O significado de tratamento de dados foi apresentado de forma expressa pela Lei Geral de Proteção de Dados. Segundo o art.5º, inciso X, tratamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Para exemplificar tratamento de dados, recorremos ao Site Institucional da União Europeia, que em 2016 aprovou regulamento sobre privacidade e proteção de dados pessoais, aplicável a todos os indivíduos na União Europeia e Espaço Econômico Europeu. O regulamento – RGPD – entrou em vigor em 2018 e é uma das fontes do texto brasileiro. Aqui apresentamos alguns exemplos do que seja o tratamento de dados da população em geral, que assambarca uma série de ações por parte do controlador.
Exemplos de tratamento de dados:
gestão de pessoal e de folhas de pagamentos;
acesso/consulta de uma base de dados de contatos que contenha dados pessoais;
envio de mensagens de correio eletrônico promocionais;
destruição de documentos que contenham dados pessoais;
publicação/colocação de uma foto de uma pessoa em um site da web;
armazenamento de endereços IP ou endereços MAC;
gravação de vídeo (CCTV).
Quando falamos a respeito de Instituições de Ensino Superior devemos ter em mente que estas tratam dados de alunos, mas também de professores, empregados e terceirizados. Em relação a professores, empregados e terceirizados a conduta da instituição deve observar a norma geral da lei.
Em se tratando de alunos, existem casos em que o consentimento será necessário, mas uma análise acurada nos mostra que assim o será em poucas circunstâncias. A necessidade de consentimento do aluno para tratamento de seus dados será praticamente a exceção.
É que a lei elenca dez casos de dispensa de consentimento por parte do aluno, abrangidos por três hipóteses, quais sejam:
em que haja interesse legítimo da IES;
em que a IES esteja cumprindo obrigação regulatória ou
em que a IES precise do tratamento dos dados para cumprir obrigações oriundas de contrato.
As IES não precisam de consentimento do aluno para cumprimento de obrigação legal ou regulatória. Elas precisarão identificar a norma específica que demonstre com clareza a sua obrigação; então poderão fazer o tratamento de dados necessário.
Nas instituições particulares de ensino, por exemplo, há um contrato de prestação de serviços educacionais. Não há um modelo padrão, mas tanto o Código de Defesa do Consumidor como o Código Civil já prevêem a realização do pacto. Dados do aluno serão compartilhados e ele, após ler os termos e aceitar as condições fixadas, vai assinar juntamente com um representante da escola e duas testemunhas. Caso existam cláusulas consideradas abusivas o contrato pode ser questionado nos órgãos de defesa do consumidor ou na justiça.
A assinatura do contrato e a matrícula, que é o vínculo do estudante ao curso superior, já fornecem à IES dados que possibilitam identificar o indivíduo, seu endereço domiciliar para envio de correspondência, construir um histórico e mandar boletos de cobrança. Nesta ocasião, a controladora já precisa ter informações capazes de possibilitar um controle de entrada e saída dos alunos, fazer empréstimo de livros e identificar alunos externos à instituição, por exemplo.
Outro caso de tratamento de dados por cumprimento de obrigação legal ou regulatória é o de que as instituições precisam manter os registros escolares para sempre e esta é uma obrigação regulatória do MEC.
Quando a controladora celebra termo de compromisso com o educando e com a parte concedente de um estágio também compartilhará dados independentemente de seu consentimento.
A segunda exceção é para caso a administração pública precise do tratamento e uso de dados dos alunos para execução de políticas. Como um exemplo temos o Exame Nacional de Desempenho dos Estudantes (ENADE), que avalia o rendimento dos concluintes dos cursos de graduação em relação aos conteúdos programáticos previstos nas diretrizes curriculares dos cursos, o desenvolvimento de competências e habilidades necessárias ao aprofundamento da formação geral e profissional e o nível de atualização dos estudantes com relação à realidade brasileira e mundial.
O ENADE, de inscrição obrigatória para estudantes ingressantes e concluintes habilitados de cursos de bacharelado e superiores de tecnologia vinculados às áreas de avaliação da edição, permite conhecer a qualidade dos cursos e instituições de educação superior brasileiras. Os resultados do ENADE, aliados às respostas do Questionário do Estudante, são insumos para o cálculo dos Indicadores de Qualidade da Educação Superior.
Perceba que a inscrição é obrigatória e a situação de regularidade do estudante é registrada no histórico escolar, ou seja, dados dos alunos são tratados pela controladora e administração pública e não há nenhuma necessidade de consentimento.
Para a realização de estudos por órgão de pesquisa também é permitido o tratamento de dados sem consentimento prévio, mas aqui faz-se a ressalva de que deve ser garantida, sempre que possível, a anonimização dos dados pessoais. Anonimização de dados quer dizer transformar dados pessoais em dados anônimos, por via de criptografia, por exemplo. Dados anonimizados, para a lei, não são dados pessoais porque não identificam o titular. A anonimização de dados sensíveis é recomendada. O censo universitário é um estudo para o qual a IES fornece dados de alunos. Ela informa quantos estão matriculados em cada período e quem são eles propriamente ditos. Desta forma participarão do ENADE.
A quarta hipótese de exceção ao consentimento é quando o tratamento de dados é necessário para execução de contrato ou procedimento preliminar relacionado a contrato do qual seja parte o titular, a pedido do titular.
Novamente podemos mencionar as regras do estágio (Lei nº 11.788/08). A instituição de ensino media as relações do estudante com o concedente de estágio, que pode ser pessoa jurídica de direito privado, órgãos da administração pública direta, autárquica e fundacional de qualquer dos Poderes da União, Estados, DF e Municípios, bem como trabalhadores liberais de nível superior, devidamente registrados em seus respectivos conselhos de fiscalização. Ela cadastra os estudantes, identifica oportunidades de estágio, celebra termo de compromisso com as partes, indica condições de adequação do estágio à proposta pedagógica do curso, ajusta suas condições de realização e faz o acompanhamento administrativo, sem contar que encaminha negociação de seguros contra acidentes pessoais dos então estagiários.
A IES também não precisa obter consentimento para exercício regular de direitos em processo judicial, administrativo ou arbitral. Esta hipótese é de fácil compreensão. A manutenção de dados pode ser feita para defesa de seus próprios direitos, como para apresentar defesa em um processo indenizatório.
Alguns dados dos alunos poderão ou precisarão ser apagados, mas nem todos. Talvez mais dados possam ser mantidos do que eliminados, sendo que a LGPD não diferencia a forma como são tratados, seja em formato físico ou eletrônico, muito menos se o tratamento é feito em formato automatizado. Ou seja, dados pessoais guardados em arquivos mortos também estão protegidos e regulados pela nova norma.
Caso a instituição precise proteger a vida ou a incolumidade física do titular ou de terceiro também poderá utilizar-se de dados sem requerer consentimento. Podemos aqui visualizar a IES firmando um contrato de seguro contra acidentes pessoais para o aluno que fará atividades fora da escola, como participar de uma excursão, atividade de extensão ou pesquisa de campo.
Se precisar tutelar a saúde do aluno, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária, também o fará sem consentimento prévio.
Podemos imaginar a IES contactando um serviço de emergência para um aluno que se acidentou ou teve questão de saúde dentro das dependências de ensino. O surto de determinada doença também pode suscitar um trabalho do Estado por meio de autoridades sanitárias dentro das instituições e envolver dados dos matriculados.
A lei também dispõe que não haverá necessidade de consentimento para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. Cabe o adendo de que o texto não aponta nenhuma finalidade objetiva em particular relacionada a estes interesses, tornando a exceção flexível e, ao que nos parece, redundante. Casos concretos poderão ajustar a interpretação do texto, principalmente em relação aos interesses legítimos de terceiros.
A nona exceção diz respeito à proteção do crédito da IES, sempre em conformidade com o Código de Defesa do Consumidor e a Lei do Cadastro Positivo. Esta exceção permite que a IES exerça direito legítimo de consultar serviços de proteção ao crédito antes da matrícula do titular de direitos, bem como incluir o nome do aluno nos serviços mencionados. Tais condutas não podem ser consideradas ilegais, cabendo à instituição de ensino, na última hipótese, optar pelo meio de cobrança que lhe for mais eficaz, seja o protesto, ação administrativa ou ação judicial. As IES também podem transferir cobranças de anuidades escolares para escritórios jurídicos especializados.
A décima exceção, por fim, é para dados tornados manifestamente públicos pelo titular de direitos, o que não é inusitado.
Falamos de vários casos em que a instituição de ensino não precisa ser autorizada para tratar dados de seus alunos. Obviamente em algumas situações será necessário o consentimento, como, por exemplo, para divulgar para a comunidade geral os alunos aprovados em vestibulares, ENEM ou outros concursos. Neste caso, a divulgação é para fins de marketing e, quanto a isto, já temos regras previstas no Código Civil. Continua sendo caso de necessidade de consentimento do titular do direito, que deve ser informado sobre o uso dos seus dados de maneira clara e precisa.
É importante frisar que a LGPD não favorece redução de práticas de segurança dentro das IES. A norma tão somente permite que o titular dos dados tenha autonomia sobre eles. Caso seja demonstrado, por exemplo, que o uso da biometria e/ou reconhecimento facial sejam essenciais para fins de segurança, deve-se respeitar as condições legais para a implementação das práticas e o aluno não poderá opor-se gratuitamente. A IES, verificando ser ineficiente uma forma menos invasiva para atingir os objetivos, pode dar continuidade ao projeto. Estará agindo na defesa de um interesse legítimo.
Fato que toda a operação de adequação à LGPD, prevista para entrar em vigor em agosto de 2020, é uma excelente oportunidade para que as IES melhorem a cultura da instituição e aprimorem os seus processos internos. A dinâmica de adaptação cria a chance de ampliar os recursos de governança e inteligência de dados dentro de todos os ambientes da organização. Com a LGPD, as IES precisarão proteger seus bancos de informação, melhorar o processo de gestão, monitoramento, controle e ajuste de fluxo de dados. Dedicar-se ao respeito à privacidade de alunos, professores e funcionários tem grande potencial de melhorar a reputação da instituição, trazer maior confiança para a comunidade e transformar o necessário desafio em um diferencial competitivo. Profissionais de várias áreas possuem as soluções condizentes.