FAC - Perguntas Frequentes Sobre a LGPD


1 - O que é a LGPD?

A Lei Geral de Proteção de Dados (lei nº 13.709) foi aprovada em agosto de 2018, mas só entrou em vigor no dia 18 de setembro de 2020. O seu objetivo é criar uma legislação específica sobre os meios pelos quais as organizações devem coletar, armazenar e compartilhar as informações das pessoas.

O grande benefício da LGPD é a segurança jurídica criada em torno de tudo o que está relacionado às informações privadas. Essa segurança vale tanto para as empresas quanto para as pessoas.

Inspirada e impulsionada pela GDPR (General Data Protection Regulation da União Europeia), que consolidou os conceitos e diretrizes debatidos desde 1995 naquele continente, a lei brasileira esclarece vários conceitos, antes espalhados em legislações nacionais distintas.

A LGPD ainda indica, de forma criteriosa, um roteiro sobre o que as empresas devem fazer para que o tratamento do dado pessoal seja considerado lícito e não passível de autuações.

Ou seja, ela garante para os colaboradores, fornecedores e consumidores que o uso de qualquer dado pessoal está comprovadamente dentro da lei. A lei também simplifica a atuação de empresas estrangeiras no âmbito nacional, ao se equiparar com legislações internacionais que as organizações já precisariam atender em outros países.

A LGPD define conceitos como:

  • O que é dado pessoal;
  • O que é dado pessoal sensível;
  • O que são bancos de dados;
  • Quem é o titular dos dados;
  • Quem pode ser o controlador responsável por tomar decisões referentes aos dados;
  • Quem é o alterador, ou aquele que cumpre as decisões em nome do controlador;
  • Quem é o responsável dentro da empresa por fiscalizar o cumprimento da legislação, também definido como encarregado ou Data Protection Officer (DPO);
  • Quais atividades são consideradas lícitas no tratamento e uso dos dados.

A lei indica ainda o que é o consentimento e quais as obrigações legais das instituições, sinaliza quais são os dados de proteção da vida e quando uma informação é tratada para a execução de um contrato ou diligências pré-contratuais. Além disso, explicita como cada categoria de dado deve ser tratada pela instituição.

Ou seja, a LGPD exige que as organizações invistam e reservem uma parte de seus orçamentos na implementação de tecnologias, metodologias e revisão de processos de tratamento de dados. Ao mesmo tempo, leva as empresas a tratarem as informações pessoais como um direito do cidadão, não apenas como o cumprimento de uma legislação.


2 - O que são dados pessoais?

A LGPD adota, no art. 5º, inciso I, um conceito aberto de dado pessoal, definido como a informação relacionada a uma pessoa natural identificada ou identificável. Assim, além de informações básicas de identificação, a exemplo de nome, número de inscrição no Registro Geral (RG) ou no Cadastro Nacional de Pessoas Físicas (CPF) e endereço residencial, são também considerados dados pessoais outros dados que estejam relacionados com uma pessoa natural, tais como seus hábitos de consumo, sua aparência e aspectos de sua personalidade. Segundo art. 12, § 2º, da LGPD, poderão ser igualmente considerados como dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.


3 - O que são dados sensíveis?

Os dados pessoais sensíveis são aqueles aos quais a LGPD conferiu uma proteção ainda maior, por estarem diretamente relacionamentos aos aspectos mais íntimos da personalidade de um indivíduo. Assim, de acordo com o art 5º, II, são dados pessoais sensíveis aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.


4 – Qual a importância da LGPD na educação?

O enquadramento de escolas e demais instituições de ensino na LGPD se faz necessário devido ao número de dados armazenados e mantidos por essas instituições. Mas, além de ser uma obrigação legal, as escolas podem criar uma relação de maior transparência e segurança com as famílias ao seguir as normas da lei. A preocupação dos pais e familiares com a segurança e o destino de dados pessoas e sensíveis é legítima. Com a LGPD, o que a escola pode fazer é assegurar aos proprietários dos dados o direito de saber como eles estão sendo armazenados, assim como ter a garantia de que não serão compartilhados de forma inesperada ou utilizados de má-fé.


5 - O que muda com sua aplicação no ensino?

Existem alguns aspectos básicos que precisam ser revistos. O primeiro é o cuidado em separar alunos menores de 12 anos de adolescentes entre 12 e 18 anos e maiores de 18 anos. No caso das crianças menores de 12 anos, a lei indica que o tratamento de dados deve ser realizado com o consentimento de, pelo menos, um de seus pais ou responsáveis legais.

Isso vale tanto para informações internas quanto para o marketing da escola. Por exemplo, se a instituição usar as informações dos alunos para o marketing nas redes sociais, será preciso o consentimento dos responsáveis. O que pode facilitar a comunicação é que todas essas questões já estarem previstas em um contrato já no momento da matrícula.

Para os adolescentes, o controlador dos dados pode utilizá-los para a realização de suas atividades, mas não deve armazenar dados pessoais sensíveis sem consentimento claro dos responsáveis. Para os maiores, a decisão cabe aos próprios alunos. Existem algumas informações pessoais dos alunos que devem ser armazenadas por obrigação legal. Nesse caso, a lei precisa ser avaliada, pois é necessário estabelecer uma política de Data Retention, definindo quais dados e em quais lugares e prazos, além de para quais fins cada informação é usada.

Outra mudança necessária é estabelecer quais são os dados essenciais para a prestação do serviço e quais dados são apenas suplementares. Essa distinção ajuda a identificar quais informações precisam de um consentimento claro dos titulares ou de seus responsáveis.

Por exemplo, todas as questões relacionadas ao marketing institucional, como direcionamento de propagandas específicas baseadas nos perfis dos alunos e uso de canais promocionais — por exemplo, redes sociais —, precisam da autorização dos titulares.

Por fim, é necessário avaliar como cada categoria de dado é usada e encontrar o embasamento legal para sua coleta e retenção. Afinal, a coleta e a retenção podem envolver questões como a necessidade do tratamento de dados para execução do contrato de prestação de serviços de ensino ou a manutenção dos registros desse tipo de atividade por determinado período de tempo.

Após considerar esses aspectos, é necessário observar todas as políticas estabelecidas para a instituição, pois não fazer isso pode gerar penalizações.


6 - Quais os desafios para aplicar a LGPD na educação?

Existem quatro grandes desafios associados ao atual contexto de vigência da LGPD, conforme listamos abaixo:

  • Conscientizar os executivos, acionistas, donos das instituições e diretores sobre a importância de observar e respeitar a LGPD;
  • Definir um grupo responsável pelo trabalho de adequação da instituição à LGPD e o responsável pelo Data Protection Officer (DPO);
  • Identificar as bases de dados utilizadas pela instituição e orçar quais tecnologias e mecanismos de controle podem ser contratados e instituídos;
  • Estabelecer um programa de governança corporativa que comprove, sempre que necessário, a licitude do tratamento, uso ético e seguro dos dados pessoais.


7 - Quais dados são protegidos pela LGPD

A LGPD garante proteção a todos os dados cujos titulares são pessoas naturais, estejam eles em formato físico ou digital. Assim, a LGPD não alcança os dados titularizados por pessoas jurídicas – os quais não são considerados dados pessoais para os efeitos da Lei.


8 – Em casos de irregularidades no tratamento de dados, quem será responsabilizado?

A LGPD traz duas figuras importantes:

  • O controlador, que é a empresa responsável pela coleta dos dados e pelas decisões sobre o seu tratamento;
  • E o operador, que é quem efetivamente irá realizar o tratamento dos dados, seguindo orientações do controlador. Em casos onde o tratamento de dados não acontece como previsto na lei, os controladores serão responsabilizados. Mas o operador também pode ser penalizado, caso não tenha cumprido ordens passadas pelo controlador.

  • 9 - Quais as penalidades que podem ser aplicadas nos casos de irregularidades?

    A penalidade imposta irá depender da avaliação da ANPD, mas pode passar por uma advertência, pela determinação da publicação e divulgação da infração cometida, pelo bloqueio ou eliminação dos dados que sofreram violações, pela proibição geral do tratamento de dados por parte da empresa e também por multas.


    10 – O que é a Autoridade Nacional de Proteção de Dados Pessoais – ANPD e qual o seu papel?

    A ANPD é o órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por regulamentar, implementar e fiscalizar o cumprimento da LGPD no Brasil.

    A missão institucional da ANPD é assegurar a mais ampla e correta observância da LGPD no Brasil e, nessa medida, garantir a devida proteção aos direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade dos indivíduos. O art. 55-J da LGPD estabelece as principais competências da ANPD.


    11 – Sobre vazamento de dados brasileiros, quais as informações e orientações emitidas pela ANPD

    As considerações da ANPD a respeito do vazamento de dados dos brasileiros podem ser consultadas em notícia disponível no site: https://www.gov.br/anpd/pt-br/assuntos/noticias/meus-dados-vazaram-e-agora.

    No link indicado acima constam informações acerca das medidas que estão sendo adotadas no âmbito da ANPD sobre o assunto, bem como orientações aos titulares de dados.