Livro LGPD Aplicada: Teoria e Prática: Instituição Científica – Universidade Pública ou Privada

Beatriz de Andrade Junque^[1]

 

RESUMO

 

Com o avanço tecnológico, e massificação da coleta de dados temos a necessidade de regulamentar a presente relação. Neste contexto temos a Lei Geral de Dados Pessoais, que regulamenta o tratamento de dados pessoais. O presente artigo visa trazer uma introdução sobre a  Lei Geral de Dados Pessoais, porém, observando a sua aplicação em universidades públicas e particulares. Deste modo, pretende abordar as especificidades trazidas pela lei em caso de instituições científicas, além das condutas necessárias para sua adequação.

 

 

Palavras-Chave: Lei Geral de Proteção de Dados. Universidades. Dados Pessoais.

 

 

ABSTRACT

 

With technological progress, and the mass data collection, we have the need to regulate this relationship. In this context, we have the General Personal Data Law, which regulates the processing of personal data. This article aims to bring an introduction to the General Personal Data Law, however, observing the application in public and private universities. In this way, it intends to address the specificities brought by the law for scientific institutions, and the conduct necessary for its adequacy.

 

 

Keywords:   General Data Protection Law. Universities. Personal data.

 

1. INTRODUÇÃO

            O presente artigo tem como finalidade introduzir sobre um tema de grande relevância atual, a Lei nº 13.709/2018, nomeada como Lei Geral de Proteção de Dados, com o foco em universidades públicas e privadas.

            A Lei Geral de Proteção de Dados, também popularmente conhecida por sua sigla LGPD, é um dispositivo de lei que aborda sobre todo o tratamento de dados pessoais. Portanto, inicialmente, busca-se definir a Lei Geral de Proteção de Dados, trazendo nomenclaturas e conceitos essenciais ao seu entendimento, e desenvolvimento do artigo.

            Este dispositivo de lei impacta tanto empresas públicas como privadas que tratam qualquer tipo de dado pessoal, consequentemente, universidades e demais instituições de ensino deverão se adequar à LGPD.

A problemática central do presente estudo, visa abordar acerca da aplicação da LGPD às universidades públicas e privadas. Esta divisão é necessária, visto que universidades públicas entram no rol de empresas públicas, portando, devendo seguir demandas específicas da LGPD.

Com isso, busca-se analisar os dados coletados pelas universidades, e trazer diretrizes da Lei Geral de Proteção de Dados para sua aplicação, abordando sobre os dados tratados de colaboradores, alunos, e captação de novos clientes, englobando todas as áreas da universidade.

            Por fim, será abordado sobre os dados coletados de forma indevida e direitos dos titulares de dados, orientando as universidades em como agir nestas circunstâncias e implantar a LGPD.

Deste modo, através do método de revisão da literatura, pretende analisar a aplicação da  Lei Geral de Proteção de Dados em universidades públicas e privadas, a fim de conscientizar e trazer orientações quanto às determinações trazidas pela lei.

 

 

1. O QUE É A LEI  nº 13.709/2018 – LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD)

            A Lei nº 13.709/2018, conhecida como Lei  Geral de Proteção de Dados, e popularmente por sua abreviação LGPD, dispõe sobre o tratamento de dados pessoais, no meio digital e físico, podendo ser realizado por pessoa física ou jurídica, com o objetivo de proteger os direitos fundamentais de liberdade, privacidade e livre desenvolvimento da pessoa natural, conforme determina em seu artigo 1º.

            A Lei Geral de Proteção de Dados nos traz novas nomenclaturas, conceitos, e regras para realizar o tratamento de dados pessoais, tanto nos meios digitais quanto físicos. Com este propósito, é de suma importância conceituar o que seria tratamento de dados, dados pessoais, dados pessoais sensíveis e dados anonimizados.

            Inicialmente, o tratamento de dados está tipificado pelo artigo 5º, inciso X, da LGPD, e consiste em toda operação realizada com dados pessoais, como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

            Para Viviane Nóbrega Maldonado e Renato Opice Blum^[2] o tratamento de dados na Lei Geral de Proteção de Dados é extremamente abrangente, pois:

A definição de tratamento de dados pessoais, na LGPD, é extremamente abrangente, pois parte da coleta e finda em sua eliminação, englobando todas as possibilidades de manuseio dos dados, independentemente do meio utilizado. Assim, o mero ato de receber, acessar, arquivar ou armazenar dados pessoais está contido dentro do conceito de tratamento.

            Deste modo, dado pessoal é qualquer informação relacionada a um indivíduo, podendo ser identificado ou identificável. Daniel Donda^[3] traz como exemplo: nome, sobrenome, data de nascimento, CPF, RG, CNH, Carteira de Trabalho, sexo, endereço, e-mail, e diversas outras formas que possam identificar uma pessoa natural.

            Já o dado pessoal sensível foi tipificado pelo artigo 5º, inciso II, da LGPD^[4] apresentando um rol taxativo, sendo ele:

II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

            Por fim, o dado anonimizado consiste em qualquer dado que não seja possível identificar o indivíduo, como explica Daniel Donda^[5]:

“Dado anonimizado é qualquer dado relativo a um indivíduo que não possa ser identificado, o que acontece no momento do tratamento, quando podemos aplicar recursos técnicos que permitem embaralhar as informações e, se fornecido dessa maneira, o dado perde a possibilidade de associação direta ou indireta a um indivíduo.”

            É de suma importância conceituar as premissas trazidas pela LGPD, uma vez que estes conceitos serão centrais para um bom entendimento do dispositivo de lei, e consequente adequação da universidade.

 

1. DADOS COLETADOS POR UNIVERSIDADES

            Para que as universidades cumpram sua função, tanto as universidades públicas, como particulares, é necessário a coleta de diversos dados pessoais, em diversas frentes, como de colaboradores, alunos, vestibulandos, e seu público alvo.

            Assim, para coleta de dados devem sempre ser observados os dez princípios Lei Geral de Proteção de Dados, tipificados em seu artigo 6º^[6], sendo eles: princípio da finalidade; princípio da adequação; princípio da necessidade; princípio do livre acesso; princípio da qualidade dos dados; princípio da transparência; princípio da segurança; princípio da prevenção; e o princípio da não discriminaçao e responsabilização e preservação de contas.

            Ao coletar dados pessoais, a Universidade deve sempre analisar o seu motivo, e se realmente é necessária a coleta desta informação, como por exemplo, coletando os dados dos colaboradores para que possam executar o seu contrato, dos alunos para efetuar a matrícula, e do vestibulando para que possa identificá-lo ao prestar o vestibular, sempre visando sua finalidade e necessidade.

 

3.1. DADOS COLETADOS POR UNIVERSIDADES PÚBLICAS

 

            A Lei Geral de Proteção de Dados traz uma distinção em caso de órgãos e entidades da administração pública, uma vez em que em seu artigo 23^[7], afirma que os órgãos e entidades da administração pública apenas poderão realizar o tratamento de dados pessoais unicamente para o atendimento de sua finalidade pública:

Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) , deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:

I – sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;

II – (VETADO); e

III – seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do art. 39 desta Lei; e   

IV – (VETADO).  

• 1º A autoridade nacional poderá dispor sobre as formas de publicidade das operações de tratamento.
• 2º O disposto nesta Lei não dispensa as pessoas jurídicas mencionadas no caput deste artigo de instituir as autoridades de que trata a Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) .
• 3º Os prazos e procedimentos para exercício dos direitos do titular perante o Poder Público observarão o disposto em legislação específica, em especial as disposições constantes da Lei nº 9.507, de 12 de novembro de 1997 (Lei do Habeas Data) , da Lei nº 9.784, de 29 de janeiro de 1999 (Lei Geral do Processo Administrativo) , e da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) .
• 4º Os serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público, terão o mesmo tratamento dispensado às pessoas jurídicas referidas no caput deste artigo, nos termos desta Lei.
• 5º Os órgãos notariais e de registro devem fornecer acesso aos dados por meio eletrônico para a administração pública, tendo em vista as finalidades de que trata o caput deste artigo.

Com a análise do artigo 23, da Lei Geral de Proteção de Dados, é possível verificar o regime de responsabilidade do Estado na Lei. Flávio Henrique Unes Pereira e Rafael da Silva Alvim^[8], afirmam que o artigo 23 demonstra a atenção do legislador para o contexto sociopolítico, confirmando a necessidade de organização da Administração Pública, para um sistema eficiente de gestão de dados:

Pois bem, a diretriz geral estabelecida pelo artigo 23 da LGPD, com efeito, demonstra atenção do legislador para o atual (e real) contexto sociopolítico, em que a Administração Pública precisa, de ordinário, se organizar em torno de sistemas eficientes de gestão de dados.

Outra característica da Lei Geral de Proteção de Dados para órgãos públicos está nos artigos 31 e 32^[9], em que em caso de infração à Lei Geral de Proteção de Dados a Autoridade Nacional poderá enviar informe com medidas cabiveis, além de poder solicitar a gentes do poder pública a publicação de relatórios de impacto à proteção de dados e sugerir adoção de padrões e boas práticas para o tratamento de dados:

Art. 31. Quando houver infração a esta Lei em decorrência do tratamento de dados pessoais por órgãos públicos, a autoridade nacional poderá enviar informe com medidas cabíveis para fazer cessar a violação.

Art. 32. A autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público.

 

            Mesmo com a presença dos artigos 31 e 32, Flávio Henrique unes Pereira e Rafael da Silva Alvim^[10] afirmam que não é possível extrair um regime especial de responsabilidade do poder público pelo tratamento de dados pessoais.

Com os presentes artigos, extraímos que é necessário que todas as universidades públicas tenham ciência das disposições específicas da LGPD, abordando sobre órgãos e entidades da administração pública.

 

1. NECESSIDADE DE ADEQUAÇÃO DAS UNIVERSIDADES PÚBLICAS E PRIVADAS

 

            A Lei Geral de Proteção de Dados versa sobre como deve ser realizada a captura, armazenamento, finalidade dos dados coletados, compartilhamento com terceiros, controles que devem ser aplicados, internacionalização, e até sobre a eliminação segura dos dados, conforme afirma a Dra. Patricia Peck Pinheiro^[11]:

 

O objetivo é conceder maior controle e poder de gestão ao titular sobre seus próprios dados pessoais. Ou seja, conforme determina o art. 6º, para usuários ou clientes de uma determinada instituição, sempre deve haver ciência, de forma clara, precisa e acessível, sobre os procedimentos pelos quais seus dados pessoais passarão ao serem tratados. Desde as formas de captura pelas quais essas informações entram nas instituições, onde ficam armazenadas, para quais finalidades, quais os controles aplicados, se há compartilhamento com terceiros — mesmo que sejam integrantes do mesmo grupo —, se há internacionalização (comum no uso de serviços de cloud), até como é feita a sua eliminação, que deverá tender a padrões de descarte seguro.

            Deste modo, a Lei Geral de Proteção de Dados traz algumas exceções aplicadas à escolas, universidades, instituições de ensino e pesquisa. Inicialmente o artigo 4º, inciso II, item B, da Lei Geral de Proteção de Dados, aborda que sobre o fato da LGPD não se aplicar ao tratamento de dados pessoais realizados exclusivamente para fins acadêmicos, mas que estes devem estar em consonância com os artigos 7º e 11º:

Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:

I – realizado por pessoa natural para fins exclusivamente particulares e não econômicos;

II – realizado para fins exclusivamente:

1. a) jornalístico e artísticos; ou
2. b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei.

            Indicado pelo próprio artigo 4º, temos o artigo 7º da Lei Geral de Proteção de Dados^[12], este que traz as dez bases legais de tratamento de dados, em que todos os dados tratados pela universidade devem estar adequados em uma delas.  As bases legais são: consentimento do titular; legítimo interesse; cumprimento de obrigação legal ou regulatória; tratamento pela administração pública; realização de estudos e de pesquisa; execução ou preparação contratual; exercício regular de direitos; proteção da vida e da incolumidade física; tutela de saúde do titular; proteção de crédito:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I – mediante o fornecimento de consentimento pelo titular;

II – para o cumprimento de obrigação legal ou regulatória pelo controlador;

III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;

VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;    

IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

            Já o artigo 11º da Lei Geral de Proteção de Dados^[13], trata sobre a forma que o tratamento de dados pessoais sensíveis poderá ocorrer, apresentando rol reduzido de bases legais:

Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

1. a) cumprimento de obrigação legal ou regulatória pelo controlador;
2. b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
3. c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
4. d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
5. e) proteção da vida ou da incolumidade física do titular ou de terceiro;
6. f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
7. g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

            Nos casos de instituições de ensino, é de suma importância mencionar o artigo 13, parágrafo 2º da Lei Geral de Proteção de Dados^[14], uma vez que este artigo aborda sobre a realização de estudos em saúde pública, em que os órgãos de pesquisa serão responsáveis pela segurança da informação, não sendo permitido, em nenhuma circunstância, a transferência de dados a terceiro:

Art. 13. Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas.

• 1º A divulgação dos resultados ou de qualquer excerto do estudo ou da pesquisa de que trata o caput deste artigo em nenhuma hipótese poderá revelar dados pessoais.
• 2º O órgão de pesquisa será o responsável pela segurança da informação prevista no caput deste artigo, não permitida, em circunstância alguma, a transferência dos dados a terceiro.

            Na mesma toada, temos o artigo 16, inciso II, da Lei Geral de Proteção de Dados^[15], que aborda sobre a eliminação após o término do tratamento em caso de estudo por órgão de pesquisa, que deve, sempre visar em garantir a anonimização dos dados:

 

Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:

(…)

II – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

Concluímos que a Lei Geral de Proteção de Dados apresenta preocupações com o tratamento de dados realizados por universidades, sendo elas públicas como particulares. Assim, as universidades devem estar em conformidade com a Lei Geral de Proteção de Dados, na coleta, armazenamento, determinação de finalidade, compartilhamento com terceiros, internacionalização, até a fase de eliminação segura dos dados pessoais e sensíveis, sempre tendo em mente sua anonimização.

 

1. COLETA INDEVIDA DE DADOS

 

Conforme abordado em nossos tópicos anteriores, todos os dados tratados por universidades devem estar em conformidade com a Lei Geral de Proteção de Dados, devendo respeitar todos os princípios, e apresentar uma base legal, englobando  todas as áreas da universidades, das relações de trabalho, comerciais e até de consumo.

Assim, Marcos Semola^[16], afirma que num processo de adequação a LGPD é sempre necessário avaliar a estratégia e apetite de risco, mapear o fluxo de dados, maturidade a LGPD, realizar a conscientização da equipe, e por fim, um roadmap para adequar a instituição.

Com este processo é possível verificar se a universidade está coletando dados que não estão em conformidade com a sua finalidade, se é possível elencar o dado coletado em uma base legal, ou até se não é necessária sua coleta, pois aquela informação não tem nenhuma utilidade à universidade.

Para tanto, é necessário avaliar os dados coletados dos funcionários, alunos, vestibulandos, além do marketing, e forma utilizada para coletar leads.

Neste caso, se a universidade envia e-mail marketing, ou utiliza de outra forma para contatar os titulares de dados para fins de marketing, é necessário que ofereça oportunidade de realizar o seu descadastramento, conhecido também como opt-out.

Fabíola Grimaldi^[17] afirma que o opt-out deve ser realizado da seguinte forma:

A autorregulamentação ainda expressa que, no corpo da mensagem, o e-mail enviado deverá conter recurso que possibilite o descadastramento (Opt-out), na forma de link para descadastramento, conforme seu artigo 6°.

            Além do tratamento de dados realizado internamente pelas universidades, é necessário verificar os parceiros com quem compartilham dados, visto o artigo  artigo 42, §1º, Lei Geral de Proteção de Dados^[18]:

Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

• 1º A fim de assegurar a efetiva indenização ao titular dos dados:

I – o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;

II – os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.

Neste artigo é possível averiguar a obrigação solidária entre o controlador e o operador de dados em caso de tratamento de dados em descumprimento à legislação, portanto, caso o seu parceiro trate os dados fornecidos pela universidade de forma irregular, a universidade também responderá de forma solidária pelos danos causados.

Concluímos que é de suma importância a realização de um inventário de dados, para que neste processo seja identificado todos os dados coletados, realizando a adequação na base legal correspondente, verificando se a coleta corresponde aos princípios da Lei Geral de Proteção de Dados, além da averiguação de todos os parceiros da universidade, em que ocorre a transferência de dados.

 

1. O QUE OS TITULARES DE DADOS PODEM SOLICITAR ÀS UNIVERSIDADES – DIREITO DOS TITULARES

 

            É importante abordar sobre o direito dos titulares de dados, uma vez que a Lei Geral de Proteção de Dados elenca estes direitos, determinando sua abrangência, ou seja, a universidade não tem obrigação de acolher um pedido do titular de dados que não está em correspondência com a legislação.

            Os direitos dos titulares estão tipificados no artigo 18, da Lei Geral de Proteção de Dados^[19], e são: direito de confirmação da existência de tratamento; acesso aos dados; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários; portabilidade mediante requisição expressa; eliminação em caso de dados tratados com base no consentimento; fornecimento de informações das entidades que compartilhou dados pessoais; informações sobre a possibilidade de não oferecer consentimento; e, revogação do consentimento:

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

I – confirmação da existência de tratamento;

II – acesso aos dados;

III – correção de dados incompletos, inexatos ou desatualizados;

IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;   

VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;

VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

• 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.
• 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.

            Além dos nove direitos elencados pelo artigo 18, em seus parágrafos primeiro e segundo, temos a possibilidade do titular de dados peticionar perante a Autoridade Nacional de Proteção de Dados (ANPD) e de opor-se ao tratamento de dados realizado em outra base legal, que não o consentimento.

            A fim de exemplificar, temos o caso do pedido de exclusão de dados por um titular de dados. Alan Thomaz^[20], afirma que as vezes é possível manter os dados, conforme segue:

Apesar da solicitação de exclusão, é possível manter os dados com a finalidade específica de se defender em um processo judicial ou para cumprir com uma obrigação imposta por lei, por exemplo. Nestes casos, é possível a manutenção ainda que haja uma oposição por parte do titular

            Deste modo, caso a universidade tenha uma finalidade específica para manter ou dado, ou que cumprir obrigação legal imposta por lei, é possível recusar a solicitação do titular de dados exclusão de seus dados pessoais, devendo informá-lo o motivo pelo qual não poderá atender ao pedido.

 

1. CONCLUSÃO

            Analisa que com a evolução de nossa sociedade, digitalização das informações, presença de redes sociais e disseminação da tecnologia, cada vez mais temos a necessidade de coletar dados.

            Muitas vezes estes dados dizem a respeito de dados pessoais, ou dados pessoais sensíveis, estes que apresentam um maior potencial ofensivo, causando discriminaçao ou até constrangimento.

            Devido ao avanço de nossa sociedade, é necessário que sejam fornecidos dados para diversas instituições, para que atinja o objetivo do compartilhamento, podendo ser uma relação comercial, trabalhista, ou até mesmo caso o titular de dados tenha o interesse em acompanhar a presente instituição.

Mas além de fornecer suas informações para instituição necessária, visando o cumprimento do objetivo, algumas vezes esta instituição precisa compartilhar dado pessoal, dando acesso a outra entidade, e com isso é gerada uma grande troca de dados, o que traz a necessidade de regulamentação destes dados transacionados.

Neste cenário surgiu a Lei Geral de Proteção de Dados, para regulamentar o tratamento de dados pessoais, no meio digital e físico, podendo ser realizado por pessoa física ou jurídica, com o objetivo de proteger os direitos fundamentais de liberdade, privacidade e livre desenvolvimento da pessoa natural.

Deste modo, este artigo científico abordou sobre a aplicação da Lei Geral de Proteção de Dados em universidades públicas e privadas. Verificando a necessidade de respeitar os artigos específicos da lei, devendo todo tratamento de dados conter base legal, conforme o artigo 7º da Lei Geral de Proteção de Dados, e o artigo 11º, que versa sobre as bases legais possíveis em caso de tratamento de dados sensíveis.

Foi verificado, que além da presença de uma base legal, é necessário que seja realizado um inventário de dados, para que seja possível identificar erros, como a coleta indevida ou desnecessária de dados, além de respeitar os princípios trazidos pela lei.

Ademais abordar sobre os direitos dos titulares, para que assim, as universidades tenham ciência em como realizar o atendimento, e as possibilidades de atender solicitações dos titulares de dados.

Com o presente artigo científico, verifica-se a importância da adequação à Lei Geral de Proteção de Dados, visto que a coleta de dados é necessária para o funcionamento de todas as áreas da universidade, trazendo um processo de compliance e governança, o que ocasionará o preparo é rápido atendimento para os titulares de dados.

Por fim, conclui-se que com a adequação a lei e realização de treinamentos periódicos aos colaboradores, trará compliance e governança à universidade, ocasionando o preparo da instituição em caso de vazamento de dados, e rápido e correto atendimento aos titulares de dados.

 

REFERÊNCIAS

 

BRASIL. Lei 13.709/18. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em: 12 de outubro de 2022.

 

DONDA, Daniel. Guia prático de implementação da LGPD. Editora Labrador, 2020.

MALDONADO, Viviane Nóbrega; BLUM, Renato Opice. LGPD: Lei Geral de Proteção de Dados comentada. Thomson Reuters , 2. ed., 2020.

PEREIRA, Flávio Henrique Unes; ALVIM, Rafael da Silva. O regime de responsabilidade do Estado na Lei Geral de Proteção de Dados. Conjur, 22 nov. 2020. Disponível em: https://www.conjur.com.br/2020-nov-22/pereira-alvim-regime-responsabilidade-estado-lgpd. Acesso em: 13 out. 2022.

PINHEIRO, Patricia Peck. Qual o impacto da LGPD em instituições de ensino e pesquisa?. RNP, 27 maio 2020. Disponível em: https://www.rnp.br/noticias/qual-o-impacto-da-lgpd-em-instituicoes-de-ensino-e-pesquisa. Acesso em: 15 out. 2022.

SÊMOLA, Marcos. Escape das “armadilhas” da LGPD. SERPRO, 16 jul. 2019. Disponível em: https://www.serpro.gov.br/lgpd/noticias/escape-armadilhas-lgpd-lei-geral-de-protecao-de-dados-pessoais. Acesso em: 17 out. 2022.

GRIMALDI, Fabíola. As campanhas de e-mail marketing com aplicação da LGPD. TECH Compliance, 20 abr. 2022. Disponível em: https://techcompliance.org/e-mail-marketing/. Acesso em: 17 out. 2022.

CONSULTOR JURÍDICO. Empresas não têm obrigação de excluir todos os dados dos clientes. Consultor Jurídico, 27 set. 2020. Disponível em: https://www.conjur.com.br/2020-set-27/empresas-nao-obrigacao-excluir-todos-dados-clientes-segundo-especialistas. Acesso em: 18 out. 2022.

^[1]Beatriz de Andrade Junque. Advogada. Graduada em Direito pela Pontifícia Universidade Católica de Campinas. Pós-Graduada em Direito Digital e Compliance, pelo Instituto Damásio de Direito da Faculdade IBEMEC. Fundadora do Grupo de Estudos de Direito Digital da Pontifícia Universidade Católica de Campinas.e-mail: beatrizjunque@gmail.com

^[2] MALDONADO, Viviane Nóbrega; BLUM, Renato Opice. LGPD: Lei Geral de Proteção de Dados comentada. Thomson Reuters , 2. ed., 2020. p. 108.

 

^[3] DONDA, Daniel. Guia prático de implementação da LGPD. Editora Labrador, 2020. p. 21.

 

^[4] BRASIL. Lei 13.709/18. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em: 12 de outubro de 2022.

 

^[5] DONDA, Daniel. Guia prático de implementação da LGPD. Editora Labrador, 2020. p. 22

 

^[6] BRASIL. Lei 13.709/18. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em: 13 de outubro de 2022.

 

^[7]  BRASIL. Lei 13.709/18. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em: 13 de outubro de 2022.

 

^[8] PEREIRA, Flávio Henrique Unes; ALVIM, Rafael da Silva. O regime de responsabilidade do Estado na Lei Geral de Proteção de Dados. Conjur, 22 nov. 2020. Disponível em: https://www.conjur.com.br/2020-nov-22/pereira-alvim-regime-responsabilidade-estado-lgpd. Acesso em: 13 out. 2022.

 

^[9]   BRASIL. Lei 13.709/18. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em: 13 de outubro de 2022.

 

^[10] PEREIRA, Flávio Henrique Unes; ALVIM, Rafael da Silva. O regime de responsabilidade do Estado na Lei Geral de Proteção de Dados. Conjur, 22 nov. 2020. Disponível em: https://www.conjur.com.br/2020-nov-22/pereira-alvim-regime-responsabilidade-estado-lgpd. Acesso em: 13 out. 2022.

 

^[11] PINHEIRO, Patricia Peck. Qual o impacto da LGPD em instituições de ensino e pesquisa?. RNP, 27 maio 2020. Disponível em: https://www.rnp.br/noticias/qual-o-impacto-da-lgpd-em-instituicoes-de-ensino-e-pesquisa. Acesso em: 15 out. 2022.

 

^[12] BRASIL. Lei 13.709/18. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em: 13 de outubro de 2022.

 

^[13] BRASIL. Lei 13.709/18. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em: 13 de outubro de 2022.

 

^[14] BRASIL. Lei 13.709/18. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em: 13 de outubro de 2022.

 

^[15] BRASIL. Lei 13.709/18. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em: 13 de outubro de 2022.

 

^[16] SÊMOLA, Marcos. Escape das “armadilhas” da LGPD. SERPRO, 16 jul. 2019. Disponível em: https://www.serpro.gov.br/lgpd/noticias/escape-armadilhas-lgpd-lei-geral-de-protecao-de-dados-pessoais. Acesso em: 17 out. 2022.

 

^[17] GRIMALDI, Fabíola. As campanhas de e-mail marketing com aplicação da LGPD. TECH Compliance, 20 abr. 2022. Disponível em: https://techcompliance.org/e-mail-marketing/. Acesso em: 17 out. 2022.

 

^[18]  BRASIL. Lei 13.709/18. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em: 13 de outubro de 2022.

^[19]   BRASIL. Lei 13.709/18. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em: 13 de outubro de 2022.

^[20] CONSULTOR JURÍDICO. Empresas não têm obrigação de excluir todos os dados dos clientes. Consultor Jurídico, 27 set. 2020. Disponível em: https://www.conjur.com.br/2020-set-27/empresas-nao-obrigacao-excluir-todos-dados-clientes-segundo-especialistas. Acesso em: 18 out. 2022.