Menu

FAQ

Perguntas Frequentes

1. O que s√£o dados pessoais?
2. O que são dados sensíveis?
3. O que √© ‚Äútratamento‚ÄĚ de dados pessoais?
4. Sou servidor e lido com dados pessoais. O que devo fazer?
5. Sou professor e publico dados de estudante ou videoaulas em meu website. O que muda?
6. Sou professor pesquisador e coleto dados pessoais e/ou sensíveis, como proceder?
7. Como estudante, posso solicitar a exclus√£o de meus dados pessoais?
8. Como estudante, posso solicitar o histórico de uso de meus dados pessoais?
9. A quem devo fazer alguma solicitação referente aos meus dados pessoais?

10. Sobre compartilhamento de dados pessoais para fins de pesquisa ou extens√£o
11. Sobre dados acadêmicos
12. Publicidade do ato administrativo vs LGPD


_______________________

1. O que s√£o dados pessoais?

√Č qualquer informa√ß√£o relacionada a pessoa natural identificada ou identific√°vel. (Art. 5¬ļ, inciso I).

_______________________

2. O que são dados sensíveis?

Dado pessoal sobre origem racial ou √©tnica, convic√ß√£o religiosa, opini√£o pol√≠tica, filia√ß√£o a sindicato ou a organiza√ß√£o de car√°ter religioso, filos√≥fico ou pol√≠tico, dado referente √† sa√ļde ou √† vida sexual, dado gen√©tico ou biom√©trico, quando vinculado a uma pessoa natural. (Art. 5¬ļ, inciso II).


_______________________

3. O que √© ‚Äútratamento‚ÄĚ de dados pessoais?

Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (Art. 5, inciso X).

_______________________

4. Sou servidor e lido com dados pessoais. O que devo fazer?

O mais importante nesse momento √© deixar claro aos titulares o que est√° sendo feito com seus dados pessoais e n√£o fazer nenhum tipo de tratamento (ver pergunta 3) que extrapole esse objetivo, sem autoriza√ß√£o dos mesmos. Em um formul√°rio de coleta na web, por exemplo, procure deixar clara a finalidade de cada informa√ß√£o, ou conjunto de informa√ß√Ķes, que est√£o sendo coletadas.
Além disso, deve-se ter o cuidado de não compartilhar os dados pessoais aos quais você tem acesso com ninguém, de dentro ou fora da universidade. E por compartilhamento, entende-se: conceder acesso a bancos de dados, enviar e-mails com dados pessoais para qualquer pessoa, tramitar documentos físicos (papel) ou deixa-los acessíveis sem procedimentos de segurança, entre quaisquer outras medidas que você mesmo possa identificar no seu dia-a-dia para proteger os dados com os quais você tem contato.
Lembre-se, estamos falando de uma mudança de cultura em toda a universidade e o cuidado com os dados pessoais é responsabilidade de cada um. 63% dos vazamentos de dados são causados por erro humano, então, fique atento!
Eventualmente, a equipe de adequação da LGPD entrará em contato para melhor orientá-lo sobre as boas práticas a serem adotadas.


_______________________

5. Sou professor e publico dados de estudantes ou videoaulas em meu website. O que muda?

√Č importante deixar o m√≠nimo de dados expostos, seja em websites, seja em murais f√≠sicos. Se h√° uma lista da turma com as notas dos estudantes que esteja p√ļblica, coloque o n√ļmero de matr√≠cula, ao inv√©s de nome ou CPF, por exemplo.
Se há vídeos em que os estudantes estejam expostos, uma alternativa é solicitar seu consentimento por escrito antes de publicá-lo. Contudo, lembre-se de que você deverá manter um arquivo desses consentimentos e de que eles poderão ser revogados pelos estudantes a qualquer momento, então uma alternativa melhor talvez fosse fazer um tratamento na imagem de maneira que aquele estudante não possa ser identificado(a).
Lembre-se, nada deve ser feito com os dados dos estudantes sem seus consentimentos. Na d√ļvida, procure sempre procurar anonimizar os dados com os quais voc√™ lida e nunca compartilh√°-los com terceiros, seja de dentro ou de fora da universidade.


_______________________

6. Sou professor pesquisador e coleto dados pessoais e/ou sensíveis, como proceder?

A LGPD n√£o se aplica para fins acad√™micos (Art. 4¬ļ, inciso II, al√≠nea b), com exce√ß√£o dos artigos 7 e 11. Observe o que dizem os artigos:

‚ÄúArt. 7¬ļ O tratamento de dados pessoais somente poder√° ser realizado nas seguintes hip√≥teses:

IV ‚Äď para a realiza√ß√£o de estudos por √≥rg√£o de pesquisa, garantida, sempre que poss√≠vel, a anonimiza√ß√£o dos dados pessoais;‚ÄĚ

“Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

I ‚Äď quando o titular ou seu respons√°vel legal consentir, de forma espec√≠fica e destacada, para finalidades espec√≠ficas;
II ‚Äď sem fornecimento de consentimento do titular, nas hip√≥teses em que for indispens√°vel para:

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

Ou seja, não há problema em coletar esses dados para fins de pesquisa, desde que eles sejam anonimizados. E lembre-se de não compartilhá-los com terceiros. Se você lidera uma equipe de pesquisa, oriente os membros dessa equipe para terem o mesmo cuidado.

_______________________

7. Como estudante, posso solicitar a exclus√£o de meus dados pessoais?

O Cap√≠tulo III da LGPD trata dos direitos do titular. O Art. 18, inciso VI, diz que um desses direitos √© a solicita√ß√£o da elimina√ß√£o de seus dados. Contudo, no inciso II do par√°grafo 4¬ļ desse mesmo artigo, atente para o fato de que o controlador (no caso, a UFPR), pode indicar as raz√Ķes de fato ou de direito que impe√ßam a execu√ß√£o dessa solicita√ß√£o. Al√©m disso, diz o Art. 16:

‚ÄúArt. 16. Os dados pessoais ser√£o eliminados ap√≥s o t√©rmino de seu tratamento, no √Ęmbito e nos limites t√©cnicos das atividades, autorizada a conserva√ß√£o para as seguintes finalidades:

I ‚Äď cumprimento de obriga√ß√£o legal ou regulat√≥ria pelo controlador;‚ÄĚ

No caso das universidades, o impedimento da eliminação se dá através das seguintes bases legais:

‚Äď Lei 8159/1991, Art. 1: √Č dever do Poder P√ļblico a gest√£o documental e a prote√ß√£o especial a documentos de arquivos, como instrumento de apoio √† administra√ß√£o, √† cultura, ao desenvolvimento cient√≠fico e como elementos de prova e informa√ß√£o.

‚Äď Portaria MEC 1224/2013, que institui normas sobre a manuten√ß√£o e guarda do Acervo Acad√™mico das Institui√ß√Ķes de Educa√ß√£o Superior (IES) pertencentes ao sistema federal de ensino. Observe que a tabela no Anexo I desta portaria define prazos de guarda de 100 anos e em alguns casos, at√© mesmo guarda permanente.

‚Äď Portaria MEC 315/2018, Art. 38: As IES e suas mantenedoras, integrantes do sistema federal de ensino, ficam obrigadas a manter, sob sua cust√≥dia, os documentos referentes √†s informa√ß√Ķes acad√™micas, conforme especifica√ß√Ķes contidas no C√≥digo de Classifica√ß√£o de Documentos de Arquivo Relativos √†s Atividades-Fim das Institui√ß√Ķes Federais de Ensino Superior e na Tabela de Temporalidade e Destina√ß√£o de Documentos de Arquivo Relativos √†s Atividades-Fim das Institui√ß√Ķes Federais de Ensino Superior, aprovados pela Portaria AN/MJ n¬ļ 92, de 23 de setembro de 2011, e suas eventuais altera√ß√Ķes.

Par√°grafo √ļnico. O acervo acad√™mico ser√° composto de documentos e informa√ß√Ķes definidos no C√≥digo e na Tabela mencionados no caput, devendo a IES obedecer a prazos de guarda, destina√ß√Ķes finais e observa√ß√Ķes neles previstos.
N√£o podemos, portanto, excluir os dados de nenhum estudante, mesmo que ele j√° tenha se desligado da universidade.

_______________________

8. Como estudante, posso solicitar o histórico de uso de meus dados pessoais?

Art. 19. da LGPD:

“A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular:

I ‚Äď em formato simplificado, imediatamente; ou
II ‚Äď por meio de declara√ß√£o clara e completa, que indique a origem dos dados, a inexist√™ncia de registro, os crit√©rios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de at√© 15 (quinze) dias, contado da data do requerimento do titular.‚ÄĚ

Atualmente, a UFPR não está preparada para atender a declaração completa de maneira automatizada, de maneira que precisaríamos dos 15 dias de prazo para atender à solicitação.

_______________________

9. A quem devo fazer alguma solicitação referente aos meus dados pessoais?

Veja a p√°gina sobre Direitos do Titular.

_______________________


10. Sobre compartilhamento de dados pessoais para fins de pesquisa ou extens√£o.

Como Subcomit√™ de Seguran√ßa da Informa√ß√£o e Privacidade, temos recebido muitas d√ļvidas nesse sentido, seja de solicita√ß√Ķes internas ou externas. Estamos em vias de aprovar uma pol√≠tica que defina de que forma devemos tratar os dados pessoais compartilhados para fins de pesquisa e extens√£o, n√£o s√≥ para que nossas unidades internas tenham uma diretriz que possa ser seguida, mas tamb√©m para n√£o inviabilizarmos a pesquisa feita no pa√≠s, sem, no entanto, dirimir prote√ß√£o de dados pessoais.

Isto posto, ainda que a pol√≠tica ainda n√£o tenha sido aprovada, algumas orienta√ß√Ķes j√° podem ser seguidas:

1. Anonimizar a base de dados. Procurar entender, junto ao pesquisador, se realmente há necessidade dele ter acesso a dados identificados ou identificáveis, pois na grande maioria das vezes, isso não é necessário e resolve o problema, uma vez que a base de dados anonimizada não precisa seguir as diretrizes estabelecidas pela LGPD.

2. Caso realmente haja necessidade de dados identificados ou identificáveis, o que temos preconizado é que a pesquisa passe, de alguma forma, pelos comitês de ética. Caso o solicitante seja de uma entidade externa, deverá anexar no seu pedido os documentos comprobatórios de que a pesquisa passou pelos seus comitês, ou ainda assinar termos de responsabilidade nos moldes estabelecidos pelos nossos comitês.

3. Em nenhuma hipótese a solicitação deverá partir de pessoa natural. A pesquisa é feita por entidades, ou seja, a solicitação deverá ser formalizada através destas entidades e pelo orientador da pessoa solicitante.

11. Sobre dados acadêmicos.

_______________________

Com rela√ß√£o aos dados acad√™micos, o Subcomit√™ de Seguran√ßa da Informa√ß√£o e Privacidade – SSIP tem recebido in√ļmeras quest√Ķes desde o in√≠cio de seu funcionamento. Sintetizamos aqui alguns dos principais pontos de d√ļvida mais comuns.

11.1 Divulgação dos nomes dos alunos em bancas de TCC

Com rela√ß√£o a esse procedimento, o subcomit√™ entende que n√£o apenas n√£o h√° problema na divulga√ß√£o dos nomes dos alunos,¬†como isso deveria ser encorajado. As bancas de TCCs ou defesas de disserta√ß√£o ou teses s√£o sess√Ķes p√ļblicas, ou seja, elas devem ser divulgadas para os interessados. O que n√£o deve ser publicizado √© o resultado final da banca, assim como as notas de trabalhos acad√™micos.

11.2 Divulgação de nome vs Divulgação de GRR ao se publicizar notas de atividades acadêmicas

O SSIP recomenda que, em editais de notas divulgados amplamente para turmas e cursos, seja utilizado apenas o GRR do aluno e não o seu nome completo. O entendimento do SSIP em realizar a divulgação dessa forma se dá pelo fato de que, em tese, apenas o aluno sabe seu próprio GRR, desta forma, protege-se sua privacidade. 

Com relação às normas internas da UFPR, podemos destacar o Art. 97 da RN 37/97-CEPE:

Art. 97 -A divulga√ß√£o dos editais dos resultados das avalia√ß√Ķes dever√° ser feita em prazos que permitam aos √≥rg√£os de controle acad√™mico o atendimento do que disp√Ķe o calend√°rio escolar, bem como n√£o poder√° ultrapassar trinta (30) dias corridos, contados da data da realiza√ß√£o da avalia√ß√£o.
Par√°grafo √önico ‚Äď Exceto a primeira, nenhuma outra avalia√ß√£o poder√° ser realizada sem que tenha sido divulgado em edital, com pelo menos tr√™s (03) dias √ļteis de anteced√™ncia, o resultado de avalia√ß√£o anterior realizada na mesma disciplina.

Percebe-se que nossa normativa não especifica quais dados deverão ser divulgados, mas que a informação deve ser suficiente para que o interessado (ou seja, os alunos) possam ter ciência de seus status de aprovação ou reprovação.

Nesse sentido, e entendendo que a divulgação de notas em provas, trabalhos acadêmicos ou TCCs podem causar certo constrangimento ao aluno perante seus colegas e/ou à sociedade, a posição da SSIP sempre foi de orientar que essa divulgação fosse feita apenas publicizando o GRR dos alunos e não o nome completo. Reforçando: desta forma, atinge-se a finalidade pretendida e ao mesmo tempo protege-se a privacidade do indivíduo.

11.3 Chamada em sala de aula est√° em desacordo com a LGPD?

Não. Deixar de chamar o aluno em sala de aula não faria sentido, pois aí trata-se de uma atividade inerente à realização das atividades acadêmicas e não há como o docente ter certeza da presença de seus alunos, para controle de frequência, sem a identificação pessoal dos mesmos, ou mesmo para interação dos alunos para as atividades acadêmicas.

11.4 Divulgação dos nomes dos alunos em exames de aproveitamento ou em demais processos administrativos.

Tratando-se de processo administrativo interno, √© natural que os atores envolvidos devem possuir todas as informa√ß√Ķes necess√°rias para execu√ß√£o desse processo, seja o professor, a secretaria, a coordena√ß√£o, o departamento ou quem se fizer necess√°rio nesse processo. H√° que se entender a diferen√ßa entre proteger a privacidade do indiv√≠duo (o cerne da LGPD) e a execu√ß√£o de procedimentos operacionais necess√°rios para o dia a dia da institui√ß√£o. N√£o √© objetivo da LGPD, de maneira alguma, causar dificuldades nos tr√Ęmites operacionais, desde que:

a) O fluxo de dados pessoais fique restrito √†s pessoas que precisem ter acesso a esses dados para execu√ß√£o destes tr√Ęmites;

b) N√£o esteja sendo solicitado ao titular de dados pessoais (no caso, os alunos) nenhuma informa√ß√£o desproporcional ao m√≠nimo necess√°rio para execu√ß√£o daquela opera√ß√£o de tratamento.

Por exemplo, em um processo para concessão de bolsa a um determinado aluno, não faria sentido que o nome desse aluno ficasse oculto. Deve-se, contudo, restringir nome e outros dados pessoais necessários ao pagamento da bolsa apenas àquelas pessoas ou unidades que deverão ter contato com esse processo. Da mesma forma, não faria sentido que fosse solicitado dados pessoais que não sejam necessários para o pagamento daquela bolsa específica, como por exemplo, tipo sanguíneo, orientação sexual, cor/raça (no caso de não ser bolsa específica para isso) ou qualquer outro dado pessoal solicitado de forma excedente.

11.5 Art. 4 da LGPD e aplicação da Lei para dados acadêmicos

Este √© um artigo que sempre causa certa confus√£o em seu entendimento. Para diminuir essa confus√£o, cabe uma consulta ao Guia da ANPD sobre o assunto. Nesse sentido, √© importante salientar dois aspectos destacados atrav√©s desse guia:

a) Como a pr√≥pria LGPD diz neste artigo, devem ser observados os artigos Art. 7¬ļ e o Art. 11¬ļ da LGPD, ou seja, ainda que para fins acad√™micos, devem ser levadas em conta quais s√£o as hip√≥teses para tratamento de dados pessoais e tratamento de dados pessoais sens√≠veis.

b) Por “n√£o se aplica a fins acad√™micos”, entende-se: opera√ß√Ķes com dados pessoais diretamente vinculadas √† liberdade de expor e disseminar o conhecimento, mediante, por exemplo, o debate de ideias e de opini√Ķes, a publica√ß√£o de resultados de pesquisas e o compartilhamento de dados e de metodologias entre pares.

N√£o faria sentido restringir acesso a dados pessoais neste √Ęmbito, justamente porque se isso fosse feito, estaria impedindo a realiza√ß√£o da atividade acad√™mica. Contudo, cabe lembrar que, na Universidade, nem todas as atividades de tratamento de dados pessoais s√£o acad√™micas. A UFPR ainda √© uma Controladora de dados pessoais e est√° sujeita, sim, √† aplica√ß√£o da LGPD em todas as suas esferas.

12. Publicidade do ato administrativo vs LGPD

_______________________

Este princ√≠pio est√° intrinsicamente ligado √† quest√£o da transpar√™ncia sobre o que a institui√ß√£o p√ļblica est√° realizando, mas n√£o sobre os detalhes do processo em si. Por exemplo, √© preciso dar transpar√™ncia em licita√ß√Ķes, mas n√£o em todas as etapas do processo licitat√≥rio. Da mesma forma, √© preciso dar transpar√™ncia ao Processo Seletivo e seus resultados, mas n√£o a cada atividade realizada pelos alunos dentro da Universidade. Cabe ainda destacar que a pr√≥pria Lei de Acesso √† Informa√ß√£o destaca, em seu art. 6¬ļ:

Cabe aos √≥rg√£os e entidades do poder p√ļblico, (…) assegurar a:
(…)
III – prote√ß√£o da informa√ß√£o sigilosa e da informa√ß√£o pessoal (grifo nosso), observada sua disponibilidade, autenticidade, integridade e eventual restri√ß√£o de acesso.

No que concerne o ato administrativo, as atividades estatais devem, como fator prec√≠puo, objetivar o bem comum e o interesse da coletividade, sendo que todas as suas a√ß√Ķes devem ser pautadas no Princ√≠pio Constitucional da Publicidade insculpido no caput do Art. 37 da¬†Magna Carta.

Deve-se cumprir o preceito constitucional como corol√°rio de validade e efic√°cia de qualquer ato administrativo. Contudo, o advento da LGPD faz com que os √≥rg√£os p√ļblicos sopesem a razoabilidade e o limite da publiciza√ß√£o dos dados de pessoas naturais que estejam inseridas no bojo de seus atos.

A impossibilidade de se incluir na publicidade de um ato a identificação de dados pessoais, quais sejam, nome, RG, CPF, carteira profissional, residência, estado civil, filiação partidária, idade, sexo dentre outros, não torna o ato inválido ou ineficaz se por outra forma puder ser realizado o seu controle social.

Nesta senda, os dados que devem ser acess√≠veis em cada um dos atos, segundo a CRFB e a Lei de Acesso √† Informa√ß√£o, s√£o dados referentes ao interesse p√ļblico, n√£o cabendo aqui, ent√£o o acesso a dados pessoais de pessoas naturais sob o pretexto de fiscaliza√ß√£o da atua√ß√£o estatal.

Universidade Federal do Paraná
LGPD na UFPR

Rua XV de Novembro, 1299
80060-000 | Curitiba |
+55(41) 3360-5000
Universidade Federal do Paraná
LGPD na UFPR

Rua XV de Novembro, 1299
80060-000 | Curitiba |
+55(41) 3360-5000

UFPR nas Redes Sociais


UFPR nas Redes Sociais