Artigos
21/11/2019

O Consentimento do aluno nos termos da LGPD

Jacobs Consultoria 

A necessidade de uma lei específica de Proteção de Dados surgiu da verificação da constante afronta a um direito básico, o Direito à Privacidade. Elabora-se, então, a Lei 13.709/18, que entrará em vigor em fevereiro de 2020, garantindo outros direitos, expressos ou não, como o Direito à Explicação e o Direito à Revisão.

O Direito à Explicação diz respeito ao direito do titular dos dados de receber informações suficientes e compreensíveis que lhe permita entender a lógica relacionada à decisão automatizada e os critérios utilizados para tratar seus dados pessoais para uma ou várias finalidades.

Já o Direito à Revisão é o direito do titular dos dados de requisitar a revisão, por um humano, de uma decisão automatizada que possa interferir nos seus interesses, especialmente os relacionados à definição do seu perfil pessoal, profissional, de consumo, de crédito ou aspectos de sua personalidade.

Neste ponto importante mencionar o Direito ao Desenvolvimento da Personalidade, irrenunciável e intransmissível, que assegura que todo indivíduo controle o uso de seu corpo, nome, imagem, aparência ou outros aspectos constitutivos da identidade. O Direito ao Desenvolvimento da Personalidade, o Direito à Explicação e o Direito à Revisão são aspectos da Autodeterminação Informativa, um dos fundamentos da disciplina da proteção de dados pessoais.

A Autodeterminação Informativa, portanto - inciso II do art. 2º da Lei 13.709/18 - surge no cenário dos direitos como um desmembramento do Direito à Privacidade, tendo como finalidade tutelar de forma mais eficiente o conjunto de dados considerados pessoais do cidadão, garantindo-lhes o controle. Já se discute, inclusive, se deve receber status de direito fundamental, considerando a sociedade da informação e a eventual ineficiência do Direito à Privacidade ou se continua como desmembramento deste. Estamos diante de um novo padrão de sociedade e também de inúmeros e crescentes casos de apropriação e utilização inadequada de informações pessoais, de modo que a proteção ao cidadão nesta seara não pode restringir-se ao aspecto da privacidade como conhecemos. A proteção dos dados pessoais há de merecer direito próprio e específico, alçado, sim, ao patamar de direito fundamental.

Dados pessoais são todos aqueles que identificam o titular do direito, sempre pessoa física, de forma direta ou indireta. Dados pessoais sensíveis são aqueles que, se vazados sem autorização, podem causar discriminação, como características físicas do titular, condições de saúde, vida sexual, posicionamentos políticos e crenças religiosas. Já o sujeito da sanção prevista na LGPD é todo aquele que faz tratamento dos dados pessoais, podendo ser pessoa física com fins econômicos ou pessoa jurídica de direito público ou privado.

Muito importante é diferenciar quando o sujeito de direitos precisará fornecer autorização para tratamento dos dados de quando há dispensa de autorização. Qualquer seja o caso, de toda forma, o tratamento precisa obedecer aos princípios citados e aos demais preceitos que asseguram a dignidade da pessoa humana.

 

Instituições de Ensino Superior

Em relação às Instituições de Ensino Superior, verificamos que a regra contida na LGPD é a da necessidade de o aluno, titular do direito, fornecer o consentimento para que possa haver tratamento de seus dados, o que inclui toda operação realizada com dados pessoais: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (art.5º,X da LGPD).

Caso o controlador necessite comunicar ou compartilhar os dados com outros controladores deverá obter novo e específico consentimento, ressalvadas as hipóteses de dispensa, abaixo esclarecidas.

A regra, portanto, é a necessidade de consentimento. As exceções são discriminadas na norma, quais sejam:

  • Para cumprimento de obrigação legal ou regulatória pelo controlador, caso em que a controladora deve identificar a lei/norma específica que demonstre com clareza a sua obrigação;
  • Uso dos dados pela administração pública, para tratamento e uso de dados necessário à execução de políticas públicas;
  • Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  • Quando necessário para execução de contrato ou procedimento preliminar relacionado a contrato do qual seja parte o titular, a pedido do titular;
  • Para exercício regular de direitos em processo judicial, administrativo ou arbitral. Neste caso importante verificar que esta hipótese justifica a retenção dos dados por prazo adicional ao encerramento do relacionamento entre controlador e titular, pelo menos até o término dos prazos prescricionais para cada caso específico;
  • Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  • Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; 
  • Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. Vale salientar que o conceito de interesse legítimo é vago e não aponta nenhuma finalidade objetiva em particular, tornando a exceção bastante flexível;
  • Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente, ou seja, sempre em conformidade com o Código de Defesa do Consumidor e a Lei do Cadastro Positivo.
  • Para dados tornados manifestamente públicos pelo titular de direitos, exceção prevista no parágrafo 4º do art. 7º.

A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas na lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular. A controladora no caso específico, ou seja, a IES, deve se comprometer a resguardar a qualidade dos dados, que precisam ser fidedignos e atuais. Caso contrário o titular pode ser afetado de alguma maneira por uma decisão equivocada.

 

Consentimento informado

Como já afirmamos, a regra da lei é a da necessidade de consentimento do titular. Este consentimento é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. É livre uma vez que o usuário não pode ser compelido a consentir e o tratamento de seus dados pessoais devem ser necessários à prestação dos serviços em questão. Inequívoca é a manifestação sobre a qual não pairam dúvidas, dependendo de um ato positivo do usuário. O consentimento não pode ser passivo, de forma que o silêncio não indica aceitação.

O consentimento informado é uma manifestação expressa da autonomia da vontade, isento de dúvidas, em que os responsáveis pelo tratamento dos dados explicam ao titular do direito as vantagens ou inconvenientes do fornecimento dos dados. Respeita-se a capacidade de autodeterminação do indivíduo, que deve realizar escolhas sem intervenção e compreendendo o escopo do contrato ao qual está aderindo.

Lembrando que a coleta de dados deve ser vinculada a uma ou mais finalidades específicas e informadas na respectiva política de tratamento de dados, sendo coibido o uso de informações para fins não previstos, pelo menos não sem prévio conhecimento e consentimento do usuário.

 

O consentimento do aluno

A educação é um direito social, assegurada pela Constituição Federal de 1988 como direito público subjetivo, estando regulamentada por marcos legais como a Lei de Diretrizes e Bases da Educação Nacional. Assegura-se a coexistência de estabelecimentos de ensinos públicos e privados, sendo estes últimos reconhecidos como prestadores de serviços educacionais.

Para a prestação destes serviços as Instituições de Ensino Superior precisam se utilizar de dados pessoais dos alunos. Desde antes da matrícula, em verdade, durante os processos de seleção para as vagas disponíveis, a Instituição trata dados pessoais dos candidatos. Matriculados, ora alunos, têm a frequência em aulas controlada, participam de atividades complementares e cursos de extensão, todos documentados pela IES. São eventualmente transferidos, participam de atividades devidamente avaliadas pelo professor, dentre inúmeras outras ações coordenadas entre os atores da educação, aqui considerados aluno, professor e a instituição em si, definida como controladora pela LGPD.

Tais ações, atividades e obrigações das IES são previstas em leis gerais e específicas próprias, o que demonstra que, quando da realização das atividades corriqueiras, as instituições estão verdadeiramente cumprindo obrigação legal ou regulatória.

Razão pela qual, acertadamente, a lei dispensa o consentimento do aluno nestes casos específicos, ressalvando que a IES não deixará de ser obrigada a respeitar todos os pormenores previstos na lei. Nos casos em que os dados dos alunos forem utilizados para fins não acadêmicos, como, por exemplo, atividades de marketing ou transferidos para terceiros, o consentimento, como regra, é imprescindível.

Assine

Assine gratuitamente nossa revista e receba por email as novidades semanais.

×
Assine

Está com alguma dúvida? Quer fazer alguma sugestão para nós? Então, fale conosco pelo formulário abaixo.

×