Programa DE PROTEÇÃO DE DADOS DA UNIVERSIDADE DE BRASÍLIA
INTRODUÇÃO
A consolidação do Programa de Governança em Privacidade de Dados Pessoais da UnB compreende as diversas ações implementadas e/ou em implementação que visam resguardar os titulares de dados pessoais cujos dados estão sob custódia da Universidade, observando as finalidades institucionais e o compromisso social da Universidade de Brasília (UnB) com a sociedade.
As ações da Comissão Permanente de Proteção de Dados Pessoais (CPPD) estão amparadas no Art. 17 da Política de Proteção de Dados da UnB,
Art. 17. Compete à Comissão Permanente de Proteção de Dados Pessoais (CPPD) da UnB:
I. promover a implementação e o acompanhamento da Política de Proteção de Dados Pessoais na UnB;
II. identificar os mecanismos de tratamento e proteção de dados existentes na UnB;
III. apoiar as unidades administrativas e acadêmicas da Universidade na definição de procedimentos para o tratamento de dados pessoais e na interlocução com os titulares dos dados pessoais;
IV. apoiar as unidades administrativas e acadêmicas da Universidade no tratamento de dados pessoais;
V. fomentar a capacitação e sensibilização das unidades administrativas e acadêmicas quanto a adoção de procedimentos para adequação da UnB à LGPD;
VI. promover intercâmbio com outras instituições, buscando melhores práticas para a proteção de dados pessoais na UnB;
VII. apoiar o(a) Encarregado(a), para garantir a conformidade da Universidade com a LGPD.
Parágrafo único. A CPPD, quando necessário, poderá formar Grupo de Trabalho Técnico de caráter multidisciplinar para auxiliar nas funções junto ao Encarregado.
Nesse sentido, este programa está estruturado de forma a reconhecer boas práticas de governança na gestão de dados pessoais e prevê atividades e procedimentos a serem adotados no âmbito da atuação da UnB, em alinhamento à Política de Proteção de Dados da UnB, dos quais destacamos os seguintes subgrupos de atuação:
Diagnóstico Institucional;
Políticas e Boas Práticas;
Sensibilização e Comunicação;
Capacitação e Treinamento;
Impactos e Riscos à Privacidade;
Avaliação e Monitoramento
Os aspectos abordados foram homologados pela Comissão Permanente de Proteção de Dados da UnB e direcionam a atuação da Comissão e de toda a comunidade para a implementação da proteção de dados pessoais na Universidade. A atuação está estruturada na promoção do ensino, da pesquisa e da extensão, contexto que evidencia as principais características de uso dos dados tratados pela Universidade.
Desse modo, as ações de cada subgrupo de trabalho devem observar aspectos intrínsecos da realidade institucional, respeitando a autonomia universitária nos termos do seu estatuto e regimento geral. No contexto dos dados custodiados pela UnB, a maior parte do tratamento é realizado dispensando o consentimento dos titulares, por ocorrer no âmbito de execução de políticas públicas relacionadas à educação, pesquisa e assistência estudantil, são mais de 50 mil estudantes, incluindo graduação, pós-graduação e extensão.
Diagnóstico Institucional
O diagnóstico situacional consiste na avaliação do grau de conformidade da Universidade de Brasília com a Lei Geral de Proteção de Dados Pessoais (LGPD), Lei 13.709/2018, e tem como referência duas ações abrangentes realizadas em âmbito federal, são elas: ação do Tribunal Contas da União (TCU) Fiscalis 232/2020; TC 039.606/2020-1 (6418395) e a ação diagnóstica do Ministério da Economia (ME) OFÍCIO CIRCULAR SEI nº 2439/2020/ME (5509899).
Esses instrumentos nortearão a percepção da Comissão Permanente de Proteção de Dados Pessoais da UnB quanto a evolução dos aspectos a serem observados na promoção da proteção de dados e no tratamento deles na Universidade de Brasília.
Os principais aspectos a serem observados incluem a governança da proteção de dados, a regulação normativa, a conformidade do tratamento, o respeito aos direitos dos titulares e medidas de proteção de dados pessoais, incluindo àqueles em ambientes digitais. Além da publicação da Política de Proteção de Dados Pessoais da UnB, há necessidade de desenvolver a maturidade institucional promovendo ações de implementação da LGPD, observando ao menos os seguintes pontos:
Há políticas ou procedimentos para coletar consentimento para tratamento de dados pessoais? Menores de 18 anos?
A UnB possui políticas de classificação e de segurança das informações?
Quais são as ações de governança, estratégias e medidas necessárias para adequação à LGPD adotadas pela UnB?
Os responsáveis pelo tratamento de dados pessoais da Universidade foram identificados?
Há publicidade de informações de governança de dados pessoais da UnB?
Houve mapeamento de normativos que corroboram para a proteção de dados pessoais?
Foi realizado algum levantamento de contratos administrativos da UnB, com vistas a identificar aqueles que compartilham dados pessoais?
Quais são as categorias de titulares de dados pessoais (sensíveis, não sensíveis, menores de 18 anos) que possuem dados em tratamento na UnB?
Foi realizado mapeamento de dados e variáveis tratados pela Universidade?
Identificar bases legais e finalidades de tratamento pela UnB;
A UnB elaborou Relatório de Impacto à Proteção de Dados pessoais?
Há atendimento aos princípios da LGPD no tratamento realizado pela UnB?
Há rastreabilidade dos dados tratados pela UnB?
Há plano de capacitação que promova treinamento e conscientização para proteção de dados pelos servidores da Universidade? Incluindo equipes de tecnologia da informação?
Há ações implementadas para assegurar o direito dos titulares dos dados (Reclamações, alterações, denúncias etc.)?
A UnB compartilha dados com terceiros? Quais são esses dados?
Há um plano de resposta à incidentes? E um plano de gestão de riscos de segurança da informação?
Quais são as medidas de segurança adotadas pela Universidade para garantir a proteção de dados pessoais?
Há definição de papeis relacionados à segurança e privacidade de dados?
Há um sistema de gestão de segurança da informação?
A UnB adota conceitos de privacy by design no desenvolvimento de softwares?
Os resultados diagnósticos indicarão medidas e ações já adotadas pela UnB, aquelas que precisam ser qualificadas, ou que venham a ser implementadas para conformidade institucional.
Mapeamento de Dados
A identificação de variáveis de dados ocorre no âmbito do mapeamento de dados, e compreende recurso indispensável para que seja possível identificar as relações da Universidade com os dados pessoais, permitindo a identificação de unidades e servidores que coletam dados pessoais e os utilizam.
Um dos objetivos principais desse inventário de dados é possibilitar resposta a alguns questionamentos:
Em qual contexto os dados pessoais são coletados na Universidade?
Quais são as hipóteses de tratamento e bases legais que justificam o tratamento pela Universidade?
Há tratamento de dados de menores de 18 anos?
Os dados tratados são sensíveis?
Há compartilhamento internacional de dados? Onde ocorre?
Quais são os dados pessoais restritos?
É possível reduzir o uso de dados pessoais restritos?
Considerando a amplitude do tratamento, o mapeamento foi subdividido em etapas, são elas:
Etapa 1 – Dados tratados em sistemas eletrônicos adotados pela UnB: consiste em identificar as variáveis de dados pessoais coletadas de acordo com o sistema utilizado, incluindo sistemas legados;
Etapa 2 – Dados pessoais tratados fora de sistemas eletrônicos: trata-se da identificação do conjunto de variáveis de dados pessoais que é recolhida pelos servidores das unidades administrativas e acadêmicas na interação com estudantes, servidores e comunidade em geral que são mantidos em papel, na maioria das vezes, na própria unidade.
Políticas e Boas Práticas
A elaboração de normativos institucionais é fundamental para delinear os processos de atuação da Universidade na proteção de dados pessoais, se constituem como diretrizes e regras de negócio que oferecem segurança à atuação do Controlador, do Encarregado e de servidores que realizam o tratamento de dados pessoais em nome do Controlador. Devem ser elaboradas em linguagem simples e acessíveis aos titulares dos dados.
Na UnB, tem destaque na proteção de dados pessoais a edição da Política de Proteção de Dados, dada pela Resolução CAD n. 0049, de 8 de novembro de 2021, que além de oferecer diretrizes gerais para a proteção de dados na universidade, cria a Comissão Permanente de Proteção de Dados da UnB. O Art. 7º da Política indica que
Na Universidade de Brasília, o tratamento de dados pessoais, nos ambientes digitais e não digitais, terá como finalidade propósitos legítimos, específicos, explícitos e informados ao seu titular e para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.
§1º A Universidade de Brasília poderá editar normas para regulamentar o tratamento de dados pessoais realizado para o atendimento de suas competências legais, nos termos dos artigos 7º, III, e 11, II, b e c da LGPD.
As boas práticas em relação à Proteção de Dados Pessoais na UnB também serão norteadas por políticas institucionais que apoiam a gestão de dados e informações coletados e utilizados pela comunidade universitária, como no caso das Políticas:
Política de Segurança da Informação e Comunicação (Resolução da Câmara de Planejamento e Administração n. 004/2018);
Política de Governança e Tecnologia da Informação e Comunicação (Resolução da Câmara de Planejamento e Administração n. 003/2018);
Política de Cookies (ainda a ser desenvolvida) - relacionada ao conjunto de procedimentos que norteiam a coleta de dados de navegação de usuários de portais eletrônicos, sendo uma boa prática adotá-la para os portais institucionais da Universidade de Brasília. É desejável que o titular ao navegar em portais institucionais seja orientado da coleta de dados pessoais diferenciando-os como: estritamente necessários; primários; funcionais; publicitários; temporários e persistentes.
Sensibilização e Comunicação
Essas ações podem ser realizadas por meio de banners informativos, reuniões abertas, informes, seminários, notícias, redes sociais e outros meios que sejam julgados necessários para que a comunidade esteja ciente das ações da UnB sobre a proteção de dados. As campanhas de sensibilização e comunicação visam oferecer à comunidade orientações que possam ser adotadas na atuação institucional de todos os envolvidos na proteção de dados pessoais custodiados pela UnB, sejam registrados em papel ou em meio digital.
As ações devem ser coordenadas pela Comissão Permanente de Proteção de Dados Pessoais (CPPD), mas podem ser realizadas por meio de parcerias com a Secretaria de Comunicação (SECOM) ou UnBTV. A parceria com essas unidades simplificará etapas de trabalho e favorecerá para que as comunicações sensibilizem o maior número de pessoas da Universidade.
O site Universidade de Brasília - Proteção de Dados Pessoais (LGPD) (unb.br) foi criado para proporcionar transparência das ações realizadas pela Universidade no que se refere à LGPD, além permitir o compartilhamento de dados do Encarregado de Proteção de Dados, também se constitui instrumento para difusão de conteúdos e procedimentos adotados e recomendados pela CPPD. O portal possui um conjunto de “perguntas e respostas” que devem ser reavaliadas sempre que a Comissão julgar necessário.
Capacitação e Treinamento
Os processos de capacitação devem ser programados em dois níveis, para a equipe que constitui a Comissão Permanente de Proteção de Dados e a formação de servidores técnicos que atuam no tratamento de dados pessoais nas unidades e departamentos da universidade.
Capacitação da Comissão de Proteção de Dados Pessoais - qualificar os servidores membros da comissão para que possam promover estratégias de implementação da Política de Proteção de Dados da UnB. Possibilitar o desenvolvimento de conhecimentos, habilidades e atitudes que permitam a orientação da comunidade sobre procedimentos de proteção de dados pessoais e seu tratamento.
Equipe de Tecnologia da Informação - as equipes que atuam na Secretaria de Tecnologia da Informação devem ser capacitadas para a implementação de medidas técnicas de segurança e de resposta à incidentes relacionados aos dados pessoais.
Capacitação de Servidores - promover o desenvolvimento de conhecimentos, habilidades e atitudes que permitam que o profissional atue com segurança no uso, compartilhamento e destinação de dados pessoais sob sua custódia. Adicionalmente, visa também promover a mudança de cultura para que os dados pessoais coletados sejam restritos ao necessário, observando a finalidade de tratamento definida em normativos e legislação da área.
A constituição de um Plano de Capacitação deve observar outros aspectos específicos como a formação de analistas de sistemas que compreendam o conceito de privacy by design, que consiste na ideia de que medidas técnicas e administrativas de privacidade e proteção de dados devem ser implementadas desde a concepção do desenvolvimento de um sistema.
Impactos e Riscos à Privacidade
A avaliação dos riscos à privacidade de dados deve ser considerada prática contínua quando do tratamento de dados pessoais pela UnB. Os procedimentos podem variar de acordo com o risco de exposição dos dados durante o tratamento, em casos que há um alto risco de exposição, deve-se considerar a elaboração de Relatórios de Impacto à Proteção de Dados (RIPD).
O RIPD é conceituado pela LGPD e deve conter a “descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco” (Art. 5º, XVII).
A partir desses aspectos a Comissão Permanente de Proteção de Dados (CPPD), juntamente com o encarregado de proteção de dados devem manter sob sua custódia os RIPD para consulta em caso de incidente, ou em caso de monitoramento da Administração Superior da UnB e da Agência Nacional de Proteção de Dados (ANPD).
O modelo de registro do RIPD está disponível no anexo e compreende estrutura adaptada do Guia de Boas Práticas - Lei Geral de Proteção de Dados Pessoais, elaborado por equipe multidisciplinar coordenada pelo Ministério da Economia.
Não são todas as operações de tratamento que requerem a elaboração de um RIPD, as hipóteses que justificam a elaboração desses relatórios devem ser identificadas quando da realização do mapeamento dos dados pessoais utilizados pela Universidade de Brasília. Esse mapeamento, deve se aprofundar e subsidiar a elaboração de um inventário de dados.
Cabe destacar que aspectos relacionados à mitigação de riscos não contemplados nos RIPDs devem ser abordados pelo GT responsável por este tópico. Ações de segurança e prevenção de violação de dados são necessárias para mitigar riscos gerais e promover a conformidade da UnB no que tange a privacidade de dados pessoais.
Avaliação e Monitoramento
A avaliação e o monitoramento deste Programa de Proteção de Dados Pessoais devem ser pautados em indicadores que permitam aferir o grau de evolução e desempenho da Universidade na busca por conformidade com a Lei Geral de Proteção de Dados e com a Política de Proteção de Dados da UnB.
Os indicadores devem permitir mensuração da implementação da Lei, por meio deste Programa, com vistas à compatibilizar os direitos fundamentais de proteção e uso dos dados pessoais de titulares em tratamento pela Universidade, incluindo compartilhamento de dados sob gestão da UnB em contextos internacionais.
O fomento a auditorias internas, alinhadas às auditorias externas realizadas pelo Tribunal de Contas da União (TCU) e Controladoria Geral da União (CGU) auxiliarão nos processos de avaliação para retroalimentar as ações previstas no âmbito deste programa de Proteção de Dados.
Considerações Finais
Tendo em vista o exposto no presente programa, para cada tópico foi criado um Grupo de Trabalho (GTs), que poderão ter atuação perene (atuando de forma contínua e sempre que necessário) ou temporária (com prazo definido para realização de entregas), para tratar dos tópicos mencionados, conforme detalhado na tabela abaixo:
|
GRUPO DE TRABALHO |
ATUAÇÃO |
MEMBROS |
|
|
1 |
Diagnóstico Institucional |
Foco no levantamento de informações referente às questões relacionadas nos tópicos de a - o. Também inclui a análise e proposição de dados resultantes do inventário de dados pessoais. |
Encarregado de Proteção de Dados (CPPD) Faculdade de Ciência da Informação (FCI) |
|
2 |
Políticas e Boas-Práticas |
O GT de políticas tem como objetivo atuar nas lacunas institucionais que remetem a definição de procedimentos, proposição de fluxos de trabalho observando boas práticas institucionais consolidadas. |
Decanato de Ensino de Graduação (DEG) Faculdade de Direito (FD) |
|
3 |
Sensibilização e Comunicação |
A comunicação e sensibilização são ferramentas fundamentais no alinhamento conceitual da LGPD, no envolvimento de servidores técnicos e docentes para atuar com práticas seguras de proteção de dados pessoais. |
Serviço de Informação ao Cidadão (SIC) Decanato de Planejamento, Orçamento e Avaliação Institucional (DPO) Decanato de Pesquisa e Inovação (DPI) |
|
4 |
Capacitação e Treinamento |
A dimensão de capacitação no âmbito da Proteção de dados tem como foco colaborar com o desenvolvimento de servidores técnicos e docentes de forma aprofundada, favorecendo a diminuição de riscos decorrente de tratamento de dados. |
Decanato de Gestão de Pessoas (DGP) |
|
5 |
Impactos e Riscos à Privacidade |
O mapeamento de riscos e a elaboração de Relatórios de Impactos à Proteção de Dados (RIPD) deve observar padrões adotados pela administração pública e colaborar para diminuição de incidentes relacionados aos dados pessoais sob custódia da UnB. |
Secretaria de Tecnologia da Informação (STI)
|
|
6 |
Avaliação e Monitoramento |
Este GT deve atuar no levantamento de indicadores que permitam aferir a evolução da implementação da LGPD na UnB, assim como, fomentar ajustes a partir da avaliação e do monitoramento deste Programa. |
Faculdade UnB/Ceilândia (FCE) Faculdade UnB/Planaltina (FUP) |
Os GTs deverão se reunir paralelamente às reuniões gerais da Comissão para promover encaminhamentos na proposição de ações sobre o tema que está vinculado. Na reunião seguinte à definição dos Grupos será apresentado por cada GT propostas de encaminhamentos para o primeiro ciclo do programa. Após aprovação pela Comissão, as propostas serão incluídas neste processo para registro e acompanhamento .
Referências
BRASIL. Lei 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm> Acesso em: maio/2022.
MINISTÉRIO DA ECONOMIA. Secretaria de Governo Digital. Guia de Boas Práticas Lei Geral de Proteção de Dados (LGPD). Disponível em: <https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias/guia_lgpd.pdf> Acesso em maio/2022.
MINISTÉRIO DAS COMUNICAÇÕES. Subsecretaria Executiva de Planejamento e Tecnologia da Informação Coordenação-Geral de Tecnologia da Informação. Programa de Governança em Privacidade do MCOM. Disponível em: <https://www.gov.br/mcom/pt-br/acesso-a-informacao/transparencia-e-prestacao-de-contas/programa-de-governanca-em-privacidade/ProgramadeGovernanaemPrivacidadedoMCaLGPD_mcom.pdf> Acesso em: maio/2022.
UNIVERSIDADE DE BRASÍLIA. Conselho de Administração. Resolução n. 49, de 8 de novembro de 2021. Estabelece a Política de Proteção de Dados Pessoais da Universidade de Brasília, institui a Comissão Permanente para Proteção de Dados Pessoais e dá outras orientações para implementação da Lei Geral de Proteção de Dados Pessoais (LGPD) na UnB. Disponível em: <https://sei.unb.br/sei/publicacoes/controlador_publicacoes.php?acao=publicacao_visualizar&id_documento=8126497&id_orgao_publicacao=0> Acesso em: maio/2022
 | Documento assinado eletronicamente por Giovany de Jesus Malcher Figueiredo, Professor de Magistério Superior do Instituto de Exatas (IE), em 24/08/2022, às 19:45, conforme horário oficial de Brasília, com fundamento na Instrução da Reitoria 0003/2016 da Universidade de Brasília. |
| | Documento assinado eletronicamente por Rodrigo de Freitas Nogueira, Encarregado pelo Tratamento dos Dados Pessoais da Universidade de Brasília (UnB), em 31/08/2022, às 14:43, conforme horário oficial de Brasília, com fundamento na Instrução da Reitoria 0003/2016 da Universidade de Brasília. |
| | Documento assinado eletronicamente por Flávia Reis de Andrade, Professor da Faculdade de Ceilândia (FCE), em 20/09/2022, às 09:55, conforme horário oficial de Brasília, com fundamento na Instrução da Reitoria 0003/2016 da Universidade de Brasília. |
| | Documento assinado eletronicamente por Carlos José Sousa Passos, Professor da Faculdade de Planaltina (FUP), em 21/09/2022, às 15:16, conforme horário oficial de Brasília, com fundamento na Instrução da Reitoria 0003/2016 da Universidade de Brasília. |
 | A autenticidade deste documento pode ser conferida no site http://sei.unb.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0, informando o código verificador 8297248 e o código CRC DCC674BE. |