Aplicação da Lei Geral de Proteção de Dados Pessoais LGPD nas Instituições i de Ensino Ci Cristina Sleiman Cristina@sleiman.com.br
Sócia da PECK SLEIMAN EDU Sócia majoritária do escritório Cristina Sleiman Sociedade de Advogados Advogada e pedagoga Mestre em Sistemas Eletrônicos pela Escola Politécnica da Universidade de São Paulo Extensão em Direito da Tecnologia pela FGV/RJ Educadora Virtual pelo Senac SP com Simon Fraser University (Canadá) Curso livre Introduction to International Criminal Law Conselheira jurídica do Instituto istart Presidente da Comissão Especial de Educação Digital da OAB/SP (2016 2018) 2ª vice presidente da Comissão de Direito Digital e Compliance da OAB/SP (2016 2018) Membro da Comissão de Direito Antibyllying da OAB/SP (2016 2018) Membrodo Grupo de estudos Temáticos de Direito Digital e Compliance da FIESP Mediadora certificada pelo CNJ Professora da pós Direito Digital e Compliance da Faculdade Damásio Professora da pós Gestão de Segurança da Informação na Faculdade Impacta de Tecnologia Coautora do Audiolivro e pocket ktbook k Direitoit Digitalit no Dia a Dia Coautora do da Cartilha Boas Práticas de Direito Digital Dentro e Fora da Sala de Aula Coordenadora e coautora do Guia de Segurança Corporativa da OAB/SP Autora do Guia do Professor Programa de Prevenção ao Bullying e Cyberbullying OAB SP Autora do Guia de Educação Digital em Condomínios OAB SP. Dra. Cristina Sleiman iti @ kli b 2
ANÁLISE DE FRAUDE + REDES SOCIAIS MODELAGEM PREDITIVA E COMPORTAMENTAL ANÁLISE DE SENTIMENTOS IDs DIGITAIS TELECOM VAREJO MARKETING GEOLOCALIZAÇÃO = DATA LAKE CONHECIMENTO MAIS PROFUNDO SOBRE OS CLIENTES (DE FORMA COMPLEMENTAR)
Os modelos de negócios atuais são baseados em dados. Isto é lícito, embora alguns cuidados necessitem ser tomados para resguardar a reputação e a operação dos negócios. 4
LEI Nº 13.709 LEI GERAL DE PROTEÇÃO DE DADOS DO BRASIL
Por que a LGDP surgiu agora? Diversos escândalos envolvendo o vazamento de dados pessoais; Insegurança jurídica da ausência de lei específica; A influência do General Data Protection Regulation (GDPR), o regulamento europeu sobre proteção de dados.
Objetivos principais da LGDP Garantir a proteção de direitos fundamentais com a privacidade, intimidade, honra, direito de imagem e a dignidade; Promover a regulação e proteção de dados pessoais; Garantir a segurança jurídica frente ao tema proteção de dados; Deixar as regras claras para empresas sobre a coleta, armazenamento, tratamento e compartilhamento de dados pessoais; Promover e fomentar o desenvolvimento econômico e tecnológico da sociedade; Garantir a livre iniciativa, livre concorrência e a defesa do consumidor no ambiente virtual e offline; Atualizar as normas internas para tornar o Brasil um país adequado a proteger o uso de dados.
Qual a importância de conhecer a LGPD? Preparar a sua instituição; Criar rotinas de prevenção e solução de problemas envolvendo privacidade e proteção de dados; Atualização das políticas de conduta interna, treinamento dos colaboradores e prevenção de falhas; Adaptação das estratégias de marketing no tratamento de dados; Garantir vantagem competitiva frente ao mercado.
COMO FICAM AS NOVAS REGRAS? As regras são válidas para dados de pessoas naturais, portanto, dados de empresas não são abrangidos; A LGPD incentiva a elaboração de códigos de conduta para tornar a aplicação da lei mais eficaz
Pontos de Atenção Aplicabilidade art. 3º LGPD: Qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ouprivado, independentemente do meio: (i) em território nacional; (ii) que tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou (iii) em que osdados tenham sido coletados no território (iii) em que os dados tenham sido coletados no território nacional.
OS DADOS PESSOAIS DEVEM SER Adequados, d pertinentes e limitados ao que é necessário às finalidades para as quais são tratados (minimização dos dados).
O que é dado pessoal? É toda e qualquer informação relacionada a pessoa natural identificada ou identificável (art. 5º, I, Lei nº 13.709/2018).
E dados sensíveis? São aqueles que contém informações sobre a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. (Art. 5º, II, LGPD).
PARA MELHOR ILUSTRAR DADOS PESSOAIS DADOS SENSÍVEIS Informações que tornam possível a identificação da pessoa; como endereço, CPF, nome, endereço de IP, fotos etc. Informações acerca da individualidade da pessoa; como informações genéticas, de saúde, sua visão política, orientação religiosa ou expressão de sexualidade etc.
A LGPD regulamenta o tratamento de dados pessoais, procedimento relativo a toda operação realizada com dados pessoais,como(art.5º,x Lei 13. 709/18): Coleta; Produção; Recepção; Classificação; Utilização; Acesso; Reprodução; Comunicação Transmissão; Distribuição; Transferência; Difusão; Extração; Processamento; Avaliação; Modificação; Arquivamento; Armazenamento; Eliminação; Controle da Informação
Art. 7º - O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
E quanto ao tratamento de dados de crianças e adolescentes? (Art. 14 da LGPD) O tratamento de dados pessoais de crianças deverá serrealizado realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. (parágrafo 1º, art. 14 da LGPD).
EXCEÇÃO! Poderão ser coletados dados pessoais de crianças sem o consentimento dos pais ou responsáveis quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o 1º deste artigo.
NA PRÁTICA
QUAIS OS REFLEXOS DA LGPD NAS INSTITUIÇÕES DE ENSINO? No tocante às instituições de ensino, é preciso que haja um controle efetivo do tratamento de dados pessoais, com exigências ainda maiores aos que capturam dados sensíveis e dados de menores de idade, conforme previsão do artigo 5º, incisos I e II, e artigo 14 da Lei 13.709/2018.
O negócio de uma Instituição de Ensino, seja escola ou universidade, assim como sua missão, é a Educação em primeiro lugar, no entanto, a Instituição de Ensino não deixa de ser uma empresa, dessa forma, também deve estar em compliance com a LGPD.
CAPÍTULO I DISPOSIÇÕES S PRELIMINARES Os agentes de tratamento tem funções diferentes na cadeia operacional: CONTROLADOR Toma as decisões relativa ao tratamento de dados pessoais OPERADOR Realiza o tratamento de dados pessoais em nome do controlador
DO CONTROLADOR E OPERADOR NA INSTITUIÇÃO DE ENSINO No âmbito das Instituições de Ensino Escola = controlador Unidade que promove o tratamento = operador Um exemplo prático: quando uma IE decide oferecer cursos online e contrata um sistema de gestão de cursos terceirizado em que outra empresa é quem opera tal sistema, ainda que seus colaboradores administrativosou ou educadores tenham perfis acesso distintos, esta empresa terceirizada é uma operadora.
Em outro exemplo, se a escola faz parte de um grupo em que existe uma unidade especial de EAD e esta unidade utiliza uma plataforma LMS sob sua própria gestão sem que tenha vínculo ou hospedagem em empresasterceirizadas terceirizadas, mas tão somente à compra da licençado sistema, esta unidade seria a operadora.
QUEM SÃO OS TÍTULARES DE DADOS NA INSTITUIÇÃO DEENSINO? ENSINO? Alunos Pais de alunos Professores Equipes q p Administrativas (colaboradores em geral) Visitantes
CONSENTIMENTO Silêncio campos pré-selecionados ou Silêncio, campos pré selecionados ou inatividade NÃO podem ser interpretados como expressão de consentimento.
Todas as informações sobre o processamento de dados pessoais precisam ser: Concisas Transparentes Inteligível De fácil acesso De fácil compreensão Em linguagem clara e simples, e Fornecidas ao titular antes da coleta dos dados pessoais.
Sanções previstas pelo artigo 52 da Lei 13.709/2018 (LGPD): I advertência, com indicação de prazo para adoção de medidas corretivas; II multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00000 000 00 (cinquenta milhões de reais) por infração; III multa diária, observado o limite total a que se refere o inciso II; IV publicização da infração após devidamente apurada e confirmada a sua ocorrência; V bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI eliminação dos dados pessoais a que se refere a infração;
Parâmetros e critérios para sua aplicação: A gravidade da infração; A boa fé do infrator; A vantagem auferida; A condição econômica do infrator; A reincidência; O grau de dano causado; A cooperação do infrator; A demonstração de adoção de mecanismosee procedimentosparapara mitigar os danos; A adoção de política de boas práticas e governança; A pronta adoção de medidas corretivas; A proporcionalidade entre a gravidade da falta e a intensidade da sanção.
GOVERNANÇA DEDADOSPESSOAISDADOS NA TI T.I. (art. 50, LGPD) Segurança da Informação sustenta se em três pilares: integridade, confidencialidade e disponibilidade. No entanto, t é preciso ressaltar que aplica se a todo e qualquer dado, ou seja, informação que deva ser protegida, portanto, não apenas dados pessoais. Exemplo: Segredo industrial, i campanhas de lançamento de produtos, entre outros.
A Lei tem forte impacto na governança de TI para qualquer empresa ou ramo deatuação atuação, pois interfere no modelo atual de tratamento de dados, tendo em vista que deverão ser classificados e implementados controles adequados quando se tratar de dados pessoais, devendo haver também impacto econômicoparaas as empresas. Além disso, deve haver campanhas educativas que envolvam todos os colaboradores e alunos, para que, assim, sejam compreendidos os seus efeitos, alcançando uma verdadeira mudança cultural na sociedade.
QUAIS DOCUMENTOS INSTITUCIONAIS DEVERÃO SER ATUALIZADOS? Política de Privacidade Contratos de Matrícula Contrato de Trabalho Contrato com Terceirizados Política de cookies Tudo isso para cumprir com todos os requisitos que a lei exige. Necessário atentar se também à comprovação da aplicação de medidas administrativas e técnicas de proteção dos dados pessoais, conforme previsão dos artigos 6º, 18 e 42 a 49 da LGPD. 32
O contrato t de matrícula tí é o instrumento t ideal para regularizar a utilização de todo e qualquer dado dos alunos e seus familiares, sem esquecer da Política de Privacidade dos portais.
E O QUE FAZER COM OS DADOS ANTIGOS? Também terão que ser legitimados. As mesmas regras criadas para novas coletas deverão ser aplicadas ao legado, mas com procedimentos específicos, por exemplo, dados que por determinação interna não poderão mais ser coletados, deverão ser eliminados se fizerem parte do banco de dados do legado.
ATENÇÃO! A lei prevê também a obrigatoriedade de se instituir o cargo de Encarregado, que será a pessoa responsável em nome da Instituição pela Proteção de Dados Pessoais. Após a Medida Provisória 869/2018, esta função passou a poder ser realizada também por pessoa jurídica, inclusive terceirizada.
ATENÇÃO Fins Acadêmicos Importante ressaltar que entre as exceções trazidas pela Lei, pode se identificar a justificativapara fins acadêmicos. No entanto, não se deve confundir a sua finalidade, uma vez que fins acadêmicos entende se para fins de pesquisa acadêmica, trabalhos, estudos e não a utilização de tais dados por escolas e universidades que ofertam cursos, pois este ainda é um fim comercial. 36
Passo a Passo para a conformidade com a LGPD: 1. Fazer o levantamento inicial do inventário das bases de dados pessoais atuais 2. Realizar o Diagnóstico 3. Elaborar o Plano de Ação 4. Implementar as medidas administrativas e técnicas 5. Realizar a sensibilização das equipes 6. Fazer a verificação da conformidade mais urgente é atualizar a documentação escolar (especialmente Política de Privacidade, Política de Cookies, Contrato de Matrícula)
Lembrem se que conscientizar os colaboradores sobre a importância de cumprir com a nova lei é FUNDAMENTAL para que os requisitos da Lei de Proteção de Dados sejam cumpridos, acontecendo, assim, uma mudança cultural dentro da Instituição.
O PRAZO PARA CONFORMIDADE É CURTO O PRAZO PARA CONFORMIDADE É CURTO E JÁ ESTÁ CORRENDO! PROTEJA JÁ A SUA INSTITUIÇÃO.
Estudo de caso: Não coletamos dados dd de nossos alunos diretamente, apenas através de seus pais. A Escola fornece tablet? A Escola monitora as atividades virtuais? Existe uma área restrita do aluno? Há rastreabilidade de suas ações? Necessidade de atualização dos contratos e Política de Privacidade 40
1º MAPEAMENTO DE DADOS PESSOAIS Quais dados são coletados? Quais os canais de entrada de dados pessoais? Para qual finalidade são usados? Onde são armazenados? Os dados são compartilhados? Com quem e para qual finalidade? lidd? Há transferência internacional de dados pessoais?? TEM REGRAS? OS CONTRATOS FORAM ATUALIZADOS?
Obrigada! CRISTINA SLEIMAN cristinas@pecksleiman.com.br +55 11 99471 5800