A Unicamp aprovou, no dia 06 de outubro de 2020, seguindo as diretrizes da Lei Geral de Proteção de Dados, a criação do Comitê Gestor da Privacidade e Proteção de Dados e a Política de Privacidade da Universidade.

O objetivo da criação desse documento é informar as categorias de dados processados na instituição, como eles são utilizados e quais as medidas adotadas para mantê-los seguros. Além disso, é uma forma de estabelecer o compromisso da escola com a privacidade de dados pessoais que estão sob a sua responsabilidade, sejam eles de membros da comunidade acadêmica, de fornecedores ou de usuários dos serviços de saúde.

Porque quando falamos de IES precisamos ter em mente que elas tratam dados de alunos, mas também de professores, empregados e terceirizados. Nem todos estes dados são acadêmicos. Dados financeiros de alunos, bem como dados pessoais de professores, empregados e terceirizados não são acadêmicos e também serão tratados de acordo com a norma geral da lei.

Os dados acadêmicos, a propósito, abrangerão os dados dos alunos matriculados, ou seja, vinculados à IES, bem como os dados que envolvem a pesquisa acadêmica, pesquisas governamentais relativas ao processo universitário ou, por exemplo, bolsas concedidas aos alunos.

Outros dados, como os coletados quando da matrícula do aluno, dados relativos à frequência no curso, sobre a participação do aluno em atividades complementares e cursos de extensão, informações sobre eventuais transferências do aluno, sobre avaliações do aluno apresentadas pelo corpo docente, sobre projetos acadêmicos, bolsas de incentivo, bolsas concedidas, prêmios aos discentes e programas de assistência estudantil fazem parte de um rol exemplificativo, cabendo a cada Instituição de Ensino Superior coordenar os trabalhos com os atores da lei e definir e especificar os dados que serão tratados.

Em relação à aplicação da Lei na Unicamp, em janeiro desse ano já havia sido criado o Comitê Gestor de Proteção de Dados, composto por profissionais de Tecnologia da Informação. Em março começaram a colocar em prática o projeto de aperfeiçoamento da proteção de dados pessoais. A aprovação da atual Política de Privacidade e do Comitê Gestor da Privacidade e Proteção de Dados foi um passo adiante.

A coordenadora-geral da Universidade, Teresa Atvars, analisando o processo, afirma:

“Estamos, após um período de estudos e de compreensão do alcance da LGPD, preparados para dar início ao processo de aplicar os requisitos da Lei. Não é fácil. A Unicamp tem um sistema complexo de TIC [Tecnologia da Informação], dados pessoais dispersos em múltiplos sistemas, uma enorme área de saúde sem integração de sistemas e bancos de dados, de modo que haverá um grande esforço institucional a ser realizado”.

A universidade iniciou o processo de mapeamento de fluxos de dados em uma unidade piloto e na etapa inicial serão registrados e verificados onde estão armazenados os dados, qual a sua origem e por onde circulam.

Exatamente como há de ser feito, também será identificada a finalidade para a qual o dado está sendo utilizado e por quanto tempo ele está sendo armazenado. Essa etapa de trabalho é o mapeamento, que é seguido por um relatório de risco, que indica, por exemplo, onde é preciso fortalecer a segurança.

Também é nesse momento que se verifica a existência de dados sensíveis e se eles precisam ser excluídos ou armazenados – e, então, anonimizados ou não.

Dados pessoais, sensíveis, anonimizados e pseudoanonimizados

Dados pessoais podem ser definidos como qualquer informação de cunho pessoal que identifique de forma direta ou indireta alguma pessoa. Os sensíveis, por definição, são aqueles que dizem respeito à origem étnica ou racial, opiniões políticas, crenças filosóficas ou religiosas, associação a sindicatos, dados biométricos e genéticos e informações sobre saúde e sexualidade.

No caso, a legislação de proteção de dados é rígida em relação ao tratamento dos dados, mas existem formas de coletar e utilizar essas informações sem comprometer os clientes.

Uma forma complexa, mas que evita riscos ao negócio é a anonimização de dados. Os dados anonimizados são dados pessoais convertidos em dados não identificáveis, exigindo-se para tanto que o processo de anonimização não seja reversível. Dessa forma, uma vez que os dados são dissociados entre si não podem ser novamente agrupados para identificar a quem pertencem.

Se o dado é anônimo, deixa de ser pessoal (e sensível, em alguns casos) e deixa de ser objeto da lei. A LGPD, frise-se, não se aplica a dados anonimizados.

Há também os chamados dados pseudoanonimizados, que são aqueles que passam por um processo de anonimização, mas que permitem o processo de inversão, podendo, então, identificar indiretamente o indivíduo a quem pertencem.

A Unicamp – ética na pesquisa e a LGPD

A Unicamp iniciou o processo de adequação à LGPD utilizando um setor como piloto; os métodos de trabalho têm sido aprimorados e mais cinco unidades da Instituição de Ensino farão o mesmo processo até o final de 2020, ocasião em que qualquer membro da comunidade acadêmica poderá requisitar a informação sobre os dados que a Universidade tem sobre ele.

O resultado da consulta poderá ser a solicitação de apagamento de informações que não sejam essenciais para a instituição.

A Unicamp levantou a questão de um importante eixo de incidência da LGPD nas instituições de ensino, que é a relação com a ética na pesquisa.

Realmente, já existem normas e diretrizes regulamentadoras de pesquisas envolvendo seres humanos, definidas na Resolução 466/2012, mas a LGPD vem se alinhar à norma reforçando a necessidade de anonimização, de privacidade e de solucionar as questões atinentes à reidentificação de dados.

Para muitos, vale dizer, a pseudoanonimização – que permitiria a reidentificação - não é considerada uma técnica de anonimização. Isso porque apenas se substituem os identificadores diretos (nome ou CPF por pseudônimos ou números aleatórios, por exemplo), de modo que a pessoa permanece sendo identificável em razão de tais pseudônimos serem um retrato detalhado indireto delas.

De qualquer forma, ampliando a visão, a tecnologia atual faz com que a anonimidade completa seja cada vez mais difícil. Portanto, quanto mais difícil for manter o anonimato das informações, mais importante é a possibilidade de se excluir dados pessoais desnecessários ou que já cumpriram seu propósito. E isso vale para toda e qualquer pessoa sujeita à LGPD.

As instituições de ensino

As universidades foram vanguarda no uso da internet e agora têm a oportunidade de ocupar um importante papel como exemplo de gestão de dados e de conformidade com nossa LGPD. Elas podem também ser um excelente agente de crítica dos impactos negativos do uso da tecnologia na sociedade e atuar – apresentando estudos - para minimizá-los.

Como bem refletido pelo professor Paulo Lício de Geus, do Instituto de Computação da Unicamp:

“Estamos chegando num nível tão alto de informatização e de participação em redes que é a hora de começar a trazer essa preocupação. A lei vem como consequência. Em vez de ir juntando e juntando dados, é preciso pensar se são necessários mesmo. É o momento perante a sociedade de repensar esse mecanismo desenfreado de coleta de dados”.

As instituições de ensino que ainda não se adequaram às diretrizes da LGPD devem fazê-lo o quanto antes possível para que não existam eventuais problemas graves no futuro. Lembrando que tal conformidade exigirá equipe multidisciplinar tanto técnica, relacionada à governança de dados e de segurança da informação, quanto jurídica, para definir as prioridades, realizar a atualização documental e apoiar na resposta a incidentes.

Gostou deste artigo? Faça parte de nossa lista de e-mail para receber regularmente textos como este e notícias de seu interesse.

Fazendo seu cadastro você também pode receber mais informações sobre nossos cursos. No próximo 04 de novembro, de 16h às 18h, teremos o curso EAD sobre a LGPD aplicada às instituições de ensino. Faça sua inscrição!