Programa de Governança em Privacidade de Dados Pessoais da UnB
Aprovado pela Comissão Permanente de Proteção de Dados da UnB, conforme Registro de Reunião nº 9032950.
INTRODUÇÃO
A Lei Geral de Proteção de Dados Pessoais (LGPD - Lei n. 13.709, de 14 de agosto de 2018), conforme previsto em seu Art. 1º, dispõe sobre “o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”. A referida Lei atribuiu responsabilidades e competências às instituições públicas e privadas que entrariam em vigência 24 meses após sua publicação.
A Universidade de Brasília (UnB) faz parte desse contexto, já que há a necessidade de tratamento de dados pessoais para viabilizar a oferta de serviços públicos voltados à promoção de ensino, pesquisa e extensão. Assim, no contexto dos dados custodiados pela UnB, a maior parte do tratamento é realizado dispensando o consentimento dos titulares, por ocorrer no âmbito de execução de políticas públicas e no cumprimento de obrigações legais ou regulatórias (embasadas pelos incisos II e III do Art. 7º da LGPD).
Mesmo assim, é necessário zelar por um tratamento responsável e cuidadoso dos dados pessoais, com vistas à proteção dos direitos do Titular. Nesse sentido, a UnB empreendeu esforços em diversas ações voltadas à implementação da LGPD na instituição, dentre as quais se destacam as seguintes:
Conforme previsto no item h do inciso I do Art. 50 da LGPD, é importante que os Programas de Governança em Privacidade das Instituições sejam atualizados constantemente, com base em avaliações periódicas. Diante disso, percebeu-se a necessidade de propor melhorias no Programa de Proteção de Dados da UnB, com vistas a contemplar um caráter mais objetivo quanto ao delineamento de ações e entregas previstas para a atuação da Comissão Permanente de Proteção de Dados da UnB (CPPD).
Com isso, apresenta-se, nesse momento, a segunda versão desse documento, alterando seu nome para “Programa de Governança em Privacidade de Dados Pessoais da UnB”, para maior convergência aos termos utilizados no Art. 50 da LGPD.
A consolidação do Programa de Governança em Privacidade de Dados Pessoais da UnB compreende as diversas ações implementadas e/ou em implementação que visam resguardar os titulares cujos dados pessoais estão sob custódia da Universidade, observando as finalidades institucionais e o compromisso da UnB com a sociedade.
Nesse sentido, este programa está estruturado de forma a reconhecer boas práticas de governança na gestão de dados pessoais e indicar as atividades e procedimentos a serem adotados no âmbito da atuação da UnB, em alinhamento à Política de Proteção de Dados da UnB e à LGPD, para promoção da conformidade institucional quanto à proteção de dados pessoais.
Assim, destacamos os seguintes eixos de atuação no âmbito da governança de proteção de dados na UnB:
Os aspectos abordados foram homologados pela Comissão Permanente de Proteção de Dados da UnB (CPPD) e direcionam a atuação da Comissão e de toda a comunidade para a implementação da proteção de dados pessoais na Universidade. O detalhamento sobre as ações já realizadas ou previstas será apresentado nos tópicos que se seguem.
AVALIAÇÃO E MONITORAMENTO INSTITUCIONAL
Consiste no monitoramento e na avaliação do grau de conformidade da UnB com a LGPD, e tem como referência a auditoria do Tribunal Contas da União (TCU) Fiscalis 232/2020; TC 039.606/2020-1 (6418395), as ações de boas práticas recomendadas pela Agência Nacional de Proteção de Dados (ANPD) e casos de sucesso na administração pública.
Esses instrumentos nortearão a percepção CPPD quanto à evolução dos aspectos a serem observados na promoção da proteção de dados e no tratamento deles na Universidade. Além da publicação da Política de Proteção de Dados Pessoais da UnB, há necessidade de desenvolver a maturidade institucional promovendo ações de implementação da LGPD.
Os principais aspectos a serem observados incluem a governança da proteção de dados, a regulação normativa, a conformidade do tratamento, o respeito aos direitos dos titulares e medidas de proteção de dados pessoais, incluindo aqueles em ambientes digitais. Esses aspectos serão avaliados de forma contínua (até que se alcance a implementação da LGPD na UnB em sua completitude), por meio de gráficos como o apontado abaixo, que reflete a evolução do tema entre os anos de 2021 e 2022:
* Para acesso Integral a evolução atualizada da UnB, CLIQUE AQUI.
Os resultados diagnósticos indicarão medidas e ações já adotadas pela UnB, aquelas que precisam ser qualificadas, ou que venham a ser implementadas para conformidade institucional.
Mapeamento de Dados
A identificação de variáveis de dados ocorre no âmbito do mapeamento de dados, e compreende recurso indispensável para que seja possível identificar as relações da Universidade com os dados pessoais, permitindo a identificação de unidades e servidores que coletam dados pessoais e os utilizam.
Um dos objetivos principais desse inventário de dados é possibilitar aos titulares o acesso facilitado de informações sobre o tratamento dos seus dados pela Universidade, nos termos do Art. 9º da LGPD:
Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso.
Assim, o mapeamento de dados pessoais deve prover resposta aos seguintes tópicos, em alinhamento às macro atividades oferecidas pela UnB:
Quais são os dados pessoais tratados pela UnB?
Qual é a base legal que justifica o tratamento de dados pessoais pela Universidade?
Identificar as categorias de titulares dos dados: estudante, servidor, pesquisador etc.
Como os dados são tratados pela Universidade de Brasília e a duração do tratamento? e
Os dados pessoais são sensíveis ou não?
Considerando a amplitude do tratamento, o mapeamento foi subdividido em etapas, são elas:
Etapa 1 – Dados tratados em sistemas eletrônicos adotados pela UnB: consiste em identificar as variáveis de dados pessoais coletadas de acordo com o sistema utilizado, incluindo sistemas legados;
Etapa 2 – Dados pessoais tratados fora de sistemas eletrônicos: trata-se da identificação do conjunto de variáveis de dados pessoais que é recolhida pelos servidores das unidades administrativas e acadêmicas na interação com estudantes, servidores e comunidade em geral que são mantidos em papel, na maioria das vezes, na própria unidade.
A evolução das ações de mapeamento dos dados pessoais deve identificar situações em que ocorre o uso compartilhado de dados e quais são os gestores dos dados pessoais.
O resultado do mapeamento de dados feito até o momento pode ser consultado no portal https://protecaodedados.unb.br/finalidades-de-tratamento. Será atualizado sempre que necessário, visando atendimento dos direitos dos titulares conforme previsto na LGPD.
POLÍTICAS E BOAS PRÁTICAS
Políticas e Normas
A elaboração de normativos institucionais é fundamental para delinear os processos de atuação da Universidade na proteção de dados pessoais. Se constituem como diretrizes e regras de negócio que oferecem segurança à atuação do Controlador, do Encarregado e de servidores que realizam o tratamento de dados pessoais em nome do Controlador. Devem ser elaboradas em linguagem simples e acessível aos titulares dos dados.
Na UnB, tem destaque regulamentar na proteção de dados pessoais a edição da Política de Proteção de Dados, dada pela Resolução CAD n. 0049, de 8 de novembro de 2021, que além de oferecer diretrizes gerais para a proteção de dados na Universidade, cria a Comissão Permanente de Proteção de Dados da UnB. O Art. 7º da Política indica que
Na Universidade de Brasília, o tratamento de dados pessoais, nos ambientes digitais e não digitais, terá como finalidade propósitos legítimos, específicos, explícitos e informados ao seu titular e para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.
§1º A Universidade de Brasília poderá editar normas para regulamentar o tratamento de dados pessoais realizado para o atendimento de suas competências legais, nos termos dos artigos 7º, III, e 11, II, b e c da LGPD.
As boas práticas em relação à Proteção de Dados Pessoais na UnB também serão norteadas por políticas institucionais que apoiam a gestão de dados e informações coletados e utilizados pela comunidade universitária, como no caso das Políticas e normas listadas abaixo:
Política de Governança de Tecnologia da Informação e Comunicação;
Política de Cookies (em elaboração) - relacionada ao conjunto de procedimentos que norteiam a coleta de dados de navegação de usuários de portais eletrônicos, sendo uma boa prática adotá-la para os portais institucionais da Universidade de Brasília. É desejável que o titular ao navegar em portais institucionais seja orientado da coleta de dados pessoais diferenciando-os como: estritamente necessários; primários; funcionais; publicitários; temporários e persistentes.
Assim, como entrega da CPPD para esse eixo, propõe-se que seja realizado um levantamento amplo de políticas e normas institucionais que colaboram com ou impactam na proteção de dados, propondo adequações se necessário. Também pretende-se identificar a necessidade de proposição de normas e políticas complementares para promoção da proteção de dados, podendo implicar na criação de guias e manuais de orientação para a comunidade universitária.
Governança
Nesta abordagem, a busca por conformidade nos aspectos relacionados à liderança dos processos de trabalho devem ser objeto de atuação da CPPD, observando aqueles que são reconhecidos como boas práticas institucionais estimulando a adoção, reconhecimento e desenvolvimento da Política de Proteção de Dados na Universidade. Cabe mencionar, de forma exemplificativa, a relevância para a governança da proteção de dados na UnB da designação do Encarregado e da atuação da Comissão Permanente de Proteção de Dados no escopo de atuação institucional, consolidados e disponibilizados no portal da proteção de dados, aqui.
A governança da proteção de dados da UnB também deve possibilitar a comprovação de medidas de segurança, técnicas e administrativas adotadas pela Universidade para a proteção de dados pessoais sob sua custódia. Devendo coletar informações que possibilitem o acompanhamento dos eventos relacionados ao tratamento de dados pessoais, sendo indispensável, fomentar a adoção de técnicas Privacy by Design e Privacy by Default quando produzir softwares que realizem tratamento de dados pessoais.
SENSIBILIZAÇÃO E COMUNICAÇÃO
Como primeira entrega desse eixo, foi elaborado site institucional (https://www.protecaodedados.unb.br/) para proporcionar transparência às ações realizadas pela Universidade no que se refere à LGPD. Assim, além de permitir o compartilhamento de dados do Encarregado de Proteção de Dados, o site também se constitui como importante instrumento para difusão de conteúdos e procedimentos adotados e recomendados pela CPPD.
Como segunda entrega desse eixo, propõe-se que seja realizada campanha de comunicação e sensibilização de proteção de dados na UnB, visando oferecer à comunidade informações e orientações que possam ser adotadas na atuação institucional.
As ações de sensibilização e comunicação referentes à proteção de dados pessoais custodiados pela UnB serão coordenadas e executadas por meio de parcerias com a Secretaria de Comunicação (SECOM).
CAPACITAÇÃO E TREINAMENTO
Os processos de capacitação devem ser programados em três níveis, conforme detalhado abaixo:
Capacitação da Comissão de Proteção de Dados Pessoais - qualificar os servidores membros da comissão para que possam promover estratégias de implementação e desenvolvimento da Política de Proteção de Dados da UnB. Também é necessário fomentar o desenvolvimento de conhecimentos, habilidades e atitudes que permitam a orientação da comunidade sobre procedimentos de proteção de dados pessoais e seu tratamento;
Capacitação da Equipe de Tecnologia da Informação - as equipes que atuam na Secretaria de Tecnologia da Informação devem ser capacitadas para a implementação de medidas técnicas de segurança e de resposta à incidentes relacionados aos dados pessoais, deve observar outros aspectos específicos como a formação de analistas de sistemas que compreendam e adotem o conceito de privacy by design, que consiste na ideia de que medidas técnicas e administrativas de privacidade e proteção de dados que devem ser implementadas desde a concepção do desenvolvimento de um sistema;
Capacitação de Agentes de Tratamento de Dados Pessoais - promover o desenvolvimento de conhecimentos, habilidades e atitudes que permitam que o profissional atue com segurança no uso, compartilhamento e destinação de dados pessoais sob sua custódia. Adicionalmente, visa também promover a mudança de cultura para que os dados pessoais coletados sejam restritos ao necessário, observando a finalidade de tratamento definida em normativos e legislação da área.
As diretrizes de Capacitação da LGPD na UnB foram delineadas no âmbito do Plano de Capacitação Institucional, por meio do Programa de Desenvolvimento de Pessoas (PDP), em alinhamento com as políticas institucionais de capacitação do Governo Federal. No programa previsto para 2023 foi incluída a necessidade de desenvolvimento de competências e habilidades sobre o tema.
A viabilidade e execução das ações de capacitação serão pactuadas com o Decanato de Gestão de Pessoas (DGP), especificamente, com atuação junto à Coordenadoria de Capacitação PROCAP.
Além disso, por meio do site institucional da proteção de dados foram divulgados os cursos referentes a proteção de dados pessoais oferecidos pela Escola Nacional de Administração Pública (ENAP), que podem ser acessados e cursados remotamente por servidores da Universidade, podendo colaborar para o desenvolvimento das competências e habilidades necessárias à UnB.
IMPACTOS E RISCOS À PRIVACIDADE
A avaliação dos riscos à privacidade de dados deve ser considerada prática contínua no tratamento de dados pessoais pela UnB. Os procedimentos podem variar de acordo com o risco de exposição dos dados durante o tratamento, em casos que há um alto risco de exposição, deve-se considerar a elaboração de Relatórios de Impacto à Proteção de Dados (RIPD).
O RIPD é conceituado pela LGPD e deve conter a “descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco” (Art. 5º, XVII).
A partir desses aspectos a CPPD e o encarregado de proteção de dados devem colaborar com a criação dos relatórios gerais e orientar as unidades administrativas e acadêmicas quando houver necessidade de criação de relatórios em contextos específicos no âmbito da atuação da UnB, visando atender a demandas da Administração Superior e eventuais solicitações da Agência Nacional de Proteção de Dados (ANPD).
A elaboração do RIPD deve considerar o conjunto de Macro Atividades institucionais, relacionadas a promoção do Ensino, Pesquisa, Extensão e Gestão institucional. Não são todas as operações de tratamento que requerem a elaboração de um RIPD, devendo ser observado o volume de operações de tratamento, a variedade dos dados, se trata de dados sensíveis ou não, se os dados são acessados por muitos operadores, ou ainda, se há tratamento conjunto com outros operadores ou se há compartilhamento internacional.
De forma complementar, a Universidade deverá elaborar um Plano de Resposta à Incidentes, que inclua a participação da Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (ETIR), buscando estabelecer procedimentos de identificação, registro, monitoramento e comunicação de incidentes relacionados aos dados pessoais tratados pela UnB.
CONSIDERAÇÕES FINAIS
Tendo em vista o exposto no presente programa, segue compilação das entregas iniciais propostas para a promoção da adequação da UnB à LGPD, que deverão ser alvo de atuação da CPPD:
|
Após o alcance das entregas relacionadas no quadro acima, deverá ser reavaliada a necessidade de delineamento de novas ações ou de atualização do presente programa.
Referências
BRASIL. Lei 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm> Acesso em: maio/2022.
MINISTÉRIO DA ECONOMIA. Secretaria de Governo Digital. Guia de Boas Práticas Lei Geral de Proteção de Dados (LGPD). Disponível em: <https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias/guia_lgpd.pdf> Acesso em maio/2022.
MINISTÉRIO DAS COMUNICAÇÕES. Subsecretaria Executiva de Planejamento e Tecnologia da Informação Coordenação-Geral de Tecnologia da Informação. Programa de Governança em Privacidade do MCOM. Disponível em: <https://www.gov.br/mcom/pt-br/acesso-a-informacao/transparencia-e-prestacao-de-contas/programa-de-governanca-em-privacidade/ProgramadeGovernanaemPrivacidadedoMCaLGPD_mcom.pdf> Acesso em: maio/2022.
UNIVERSIDADE DE BRASÍLIA. Conselho de Administração. Resolução n. 49, de 8 de novembro de 2021. Estabelece a Política de Proteção de Dados Pessoais da Universidade de Brasília, institui a Comissão Permanente para Proteção de Dados Pessoais e dá outras orientações para implementação da Lei Geral de Proteção de Dados Pessoais (LGPD) na UnB. Disponível em: <https://sei.unb.br/sei/publicacoes/controlador_publicacoes.php?acao=publicacao_visualizar&id_documento=8126497&id_orgao_publicacao=0> Acesso em: maio/2022.
Documento assinado eletronicamente por Rodrigo de Freitas Nogueira, Encarregado pelo Tratamento dos Dados Pessoais da Universidade de Brasília (UnB), em 21/12/2022, às 11:28, conforme horário oficial de Brasília, com fundamento na Instrução da Reitoria 0003/2016 da Universidade de Brasília. |
A autenticidade deste documento pode ser conferida no site http://sei.unb.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0, informando o código verificador 8998933 e o código CRC 5671A784. |