Breves Considerações sobre a CPA no Contexto da Lei Geral de Proteção de Dados

O presente texto contém algumas considerações sobre as atividades da CPA e suas relações com a Lei Geral de Proteção de Dados, e destina-se a provocar uma reflexão quanto às responsabilidades do Coordenador e sua equipe.

A lei nº 13.709, promulgada em 14 de agosto de 2018, denominada Lei Geral de Proteção de Dados Pessoais (LGPD), trouxe inovações no sentido de aperfeiçoar as prerrogativas das pessoas físicas em relação a coleta de seus dados, seja essa coleta realizada em ambiente digital ou físico. Além disso, a lei estabelece novas responsabilidades para aqueles que tem acesso a dados pessoais.

Ressalte-se que a proteção de dados pessoais, o direito à privacidade, a reputação, entre outros, já usufruíam da proteção anterior à edição da LGPD. Um conjunto de normas formado pela própria Constituição Federal, pelo Marco Civil da internet, pelo Código Civil e a legislação de defesa do consumidor asseguram prerrogativas aos indivíduos no sentido de proteger informações pessoais.

A LGPD ampliou essa proteção ao criar categorias de dados pessoais, bem como estabeleceu princípios a serem observados por aqueles que, de qualquer forma, venham a ter acesso e controle de informações e dados pertencentes as pessoas físicas.

É importante observar como essas mudanças afetam as pesquisas e avaliações realizadas pela CPA.

Assim, a aplicação de questionários, pesquisas de satisfação de serviços, entre outras coletas de informações, requerem certas cautelas a fim de se evitar a inobservância da lei, seus princípios e conceitos fundamentais.

Algumas Disposições da LGPD Aplicáveis às Pesquisas da CPA

Embora a LGPD estabeleça exceções na aplicação de alguns de seus preceitos em relação às pesquisas acadêmicas, essas exceções não são aplicáveis às pesquisas e coletas de dados realizadas pela CPA. Isto ocorre porque a CPA tem a função de aplicar pesquisas que envolvem a avaliação de uma instituição de ensino e, assim, contribuir para o seu aprimoramento. Na realidade essa avaliação corresponde a uma pesquisa institucional que visa avaliar a qualidade de serviços educacionais, não se enquadrando, assim, na categoria de pesquisa acadêmica.

Quais os cuidados em relação à LGPD para a aplicação das pesquisas da CPA, uma vez que seus coordenadores obterão as respostas de vários segmentos da instituição de ensino, tais como técnicos administrativos, docentes, discentes e até mesmo de respondentes que representam a sociedade externa?

Alguns alertas se fazem necessários. Um deles é no sentido de que coordenadores de CPA, bem como os integrantes da equipe, não devem ter sob sua guarda, listas e dados pessoais dos respondentes.

E por que a necessidade desse cuidado?

A LGPD (art. 5º incisos VI e VII) estabelece categorias de pessoas físicas ou jurídicas que obtém acesso a dados pessoais e responsabilizam-se por eles:

a) CONTROLADOR: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

O controlador é responsável pela gestão dessas informações que, obviamente, deverão seguir as determinações da LGPD. Ele está sujeito às sanções legais. Especialistas na área recomendam que entidades que tem, sob sua responsabilidade, uma série de informações sobre pessoas físicas, tenham uma assessoria específica, ou seja, contratem uma pessoa física ou jurídica para exercer essa função. Ao controlador cabem as decisões sobre o uso dos dados e adequar a conduta de uma entidade às exigências da LGPD.

b) OPERADOR: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

O operador tem acesso aos dados constantes nas bases de uma entidade e realiza o tratamento destes que, segundo a LGPD, corresponde a toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. (art. 5º inciso, X).

Controlador e operador, bem como a entidade que tem as suas bases de dados, estão sujeitos às sanções previstas no art. 52 da LGPD. Estas variam desde uma advertência e determinação de prazo para adoção de medidas corretivas até a multa de 2% sobre o faturamento, limitada a R$ 50.000.000,00 (cinquenta milhões de reais).

O controle e fiscalização da aplicação da LGPD e instauração de processos administrativos, são de competência da Autoridade Nacional de Proteção de Dados (ANPD), que disponibiliza um canal para denúncias. A partir da análise destas reclamações, a ANPD irá notificar a entidade denunciada para que apresente suas explicações e sua defesa.

O resultado desse processo administrativo pode ser uma ou mais das seguintes providências previstas na LGPD:

a)- advertência, com indicação de prazo para adoção de medidas corretivas;

b) - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

c) - multa diária, observado o limite total a que se refere o inciso II;

d) - publicização da infração após devidamente apurada e confirmada a sua ocorrência;

e) - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

f) - eliminação dos dados pessoais a que se refere a infração;

g)- suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

h) - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

i) - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Para a aplicação das penalidades, a ANPD, observara os seguintes critérios previstos no § 1º do citado artigo:

I - a gravidade e a natureza das infrações e dos direitos pessoais afetados;

II - a boa-fé do infrator;

III - a vantagem auferida ou pretendida pelo infrator;

IV - a condição econômica do infrator;

V - a reincidência;

VI - o grau do dano;

VII - a cooperação do infrator;

VIII - a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;

IX - a adoção de política de boas práticas e governança;

X - a pronta adoção de medidas corretivas; e

XI - a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

O Coordenador de CPA bem como a equipe, não podem e não devem ter acesso a dados pessoais dos respondentes das pesquisas sob pena de assumirem as mesmas responsabilidades do operador e do controlador.

Assim, por exemplo, quando a CPA envia a pesquisa ou questionário de autoavaliação institucional, não é necessário e tampouco desejável que ela tenha acesso a base de dados da IES com todas as informações sobre os respondentes. Por exemplo: a CPA pretende realizar estudos sobre a política de bolsas da IES e a inadimplência, para a avaliação da sustentabilidade financeira. É possível solicitar, ao operador de dados, informações sobre a quantidade de bolsistas e inadimplentes. Não há necessidade de saber quem são os bolsistas e os inadimplentes. Ou ainda, a CPA pretende avaliar a qualidade dos serviços de plano de saúde da IES, aplicando um questionário para um grupo que efetivamente usou os serviços. Não é admissível, pela LGPD, que informações identificando quem adoeceu, quais os tratamentos que realizou, qual foi a enfermidade etc. sejam coletadas. Nem mesmo por acidente, devido a uma falha no gerenciamento de dados. Nem o Departamento de Recursos Humanos deve ter acesso a essas informações. Basta saber quem utilizou os serviços do plano para avaliar a sua satisfação sem identificação do respondente.

Assim, por exemplo, o Coordenador da CPA ao solicitar que a pesquisa seja enviada ao corpo discente não pode ter, consigo, todos os dados dos estudantes que constam na secretaria de alunos. Esse envio deverá ser realizado pela área responsável pelo tratamento dos dados desse grupo. Tal fato ocorre porque, além de e-mails pessoais não poderem ser utilizados para a pesquisa, muitas vezes o banco de dados de uma secretaria de alunos contém outras informações que estão atreladas à identificação do estudante e que não deverão ser compartilhadas, como, por exemplo, a situação de inadimplência de um determinado aluno. Qualquer problema envolvendo o vazamento de dados dessa informação, passará ser também de responsabilidade de quem teve acesso a ela.

Além disso, os exemplos acima mencionados, referem-se aos dados pessoais sensíveis.

Dados Pessoais Sensíveis

A proteção dessas informações está prevista na LGPD em seu artigo 5º, II. Esses dados correspondem às informações que podem levar a uma discriminação do indivíduo. Citado dispositivo legal descreve uma relação exemplificativa de dados com essas características: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Ressalte-se que a relação exemplificativa não esgota as possibilidades de que outros conhecimentos sobre os indivíduos não descritas nesse artigo sejam irregulares. Qualquer dado que se enquadrar como informação que pode gerar a discriminação de uma pessoa, terá essa característica, como, por exemplo, a situação de inadimplência de um determinado estudante.

A forma mais segura e adequada para se lidar com dados pessoais em uma pesquisa é anonimização de dados prevista no artigo 5º, inciso XI, da LGPD:

Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

Quanto mais se preserva o anonimato dos respondentes, menos possibilidades de ocorrerem atos que possam se qualificar como uso inadequado dos dados ou violação de privacidade. Além disso, quanto mais se garante o anonimato dos respondentes, mais se garante, também, que as respostas sejam espontâneas. Isso ocorre, principalmente, na pesquisa qualitativa.

Uma outra preocupação que se deve ter no momento da coleta de dados dos respondentes é quanto aos princípios da autodeterminação informativa, transparência em relação ao uso de dados e adequação do uso destes.

É necessário deixar claro, no início do questionário, os seus objetivos e a finalidade do uso das respostas para que o respondente compreenda, também, a adequação do uso das informações aos objetivos da autoavaliação institucional.

Privacidade e Princípio da Autodeterminação Informativa do Respondente

A LGPD além de preservar a privacidade das pessoas físicas, garante prerrogativas ao titular dos dados pessoais, tais como: confirmação do uso dos dados; acesso e correção desses dados, anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos.

Quais os meios que não são recomendáveis para enviar a avaliação aos respondentes?

Além do cuidado na elaboração do questionário no sentido de anonimizar as respostas e adequar os indicadores aos objetivos da autoavaliação, para atender aos princípios estabelecidos na LGPD, existem certos cuidados que devem ser objeto de análise e reflexão no envio da avaliação e de seus resultados aos respondentes. Por exemplo: não é possível usar outros meios de comunicação que não sejam aqueles institucionais. Assim, enviar pesquisas via WhatsApp, Messenger, e-mail pessoal (e não institucional) caracteriza invasão de privacidade uma vez que a instituição dispõe de contatos institucionais para se relacionar com a comunidade acadêmica.

Qual a diferença entre essas formas de comunicação?

Os aplicativos mencionados acima são de uso opcional e privativo dos indivíduos. O fato de o número do telefone celular constar no banco de dados da IES não a autoriza a “invadir” o uso do aplicativo WhatsApp, por exemplo, pois o indivíduo tem o direito a selecionar quais as pessoas que poderão ter acesso a essa comunicação pessoal. É opção do indivíduo permanecer ou não em um grupo de Telegram ou WhatsApp.

Conclusão

As considerações aqui apresentadas referem-se aos aspectos mais prementes da LGPD que se aplicam à pesquisa da autoavaliação institucional. Porém, eles não se esgotam no presente texto.

Muitas prerrogativas da LGPD e responsabilidades sobre coleta de dados e manutenção dos mesmos devem ser estudados e evidenciados para que o trabalho da CPA, no processo de auto avaliação institucional, bem como da demonstração de seus resultados, transcorra de forma correta e ajustada aos direitos e garantias individuais e coletivos.

Profa. Dra. Denise Fabretti é Coordenadora da CPA e professora da Escola Superior de Propaganda e Marketing - ESPM-SP e será palestrante no X Encontro Nacional de CPAs & VII Encontro Nacional de Pis, que será realizado nos dias 14, 15 e 16 de setembro! Inscreva-se!