SEI/UFU - 3934084

Em resposta ao Ofício supracitado, vimos por este meio prestar as devidas informações que se seguem:

A Lei Geral de Proteção de Dados (LGPD) entrou e vigor no dia 19 de setembro de 2020. E "dispõe sobre o tratamento de dados pessoais (...) com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

Em síntese, garante a privacidade dos dados pessoais de todos os brasileiros. Portanto, implica diretamente em como órgãos e empresas, como a Universidade Federal de Uberlândia (UFU) (como um todo e todos seus servidores), trata os dados pessoais a que tem acesso.  

Dados pessoais são todas as informações referentes a pessoa identificada ou identificável, podendo ser o CPF, RG, matrícula, endereço e os dados pessoais sensíveis que podem ser opção religiosa, orientação sexual, etnia/raça, renda e dados de saúde por exemplo.

A forma de tratamento desses dados pessoais, isto é, como os servidores da UFU recebem, armazenam e distribuem esses dados, se não for realizado de acordo com a referida Lei, pode implicar em sanções a todos os envolvidos.

A Comissão LGPD é uma instância de orientação a respeito da referida lei. Vale ressaltar que isso não impede que os setores administrativos adotem medidas que entendam mais adequadas às suas rotinas.

A Comissão LGPD foi formada ao final de 2020 e tenta contribuir sobre os procedimentos para garantir a privacidade dos dados na Instituição. Verificando a legislação vigente do tema e outras experiências práticas, a Comissão elabora entendimentos a respeito de consultas que são encaminhadas, a fim de contribuir para possíveis soluções aos desafios apresentados. No entanto, reforçamos que a Comissão não é instância normativa sobre o assunto.

É definido na Lei o uso compartilhado de dados pessoais como: “comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados”. Portanto, verifica-se que é previsto o uso compartilhado de dados pessoais, e as bases de dados onde se encontram, entre órgãos públicos e empresas privadas.

O tratamento de dados pessoais pela administração pública é autorizado como uma das hipóteses do Art. 7º, quando for usado para “o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres (...)”.

Ou seja, a Lei permite o uso e compartilhamento de dados pessoais para a execução da política pública pela administração pública. No caso da UFU isso significa que o tratamento de dados pessoais e seu compartilhamento podem ser realizados para todas as ações que envolvam o funcionamento e a oferta de Educação Superior.

Portanto, eventual transferência de dados pessoais constantes nas bases de dados da Instituição para empresas privadas com a finalidade de execução de uma política pública está integralmente previsto na Lei, sendo necessário para tanto o respaldo em contratos, convênios ou instrumentos congêneres.

O artigo 16 da LGPD diz que é vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto: em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado.

A transferência de dados pessoais, assim como qualquer tratamento de dados pessoais, deve respeitar os princípios da LGPD, apresentados em seu art. 6º, quais sejam:

Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades;

Livre Acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento;

Qualidade dos Dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados

Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento;

Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

Não Discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos e;

Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

O Operador de Dados Pessoais é definido pela LGPD como “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”. Portanto, em outras palavras, seria outra pessoa jurídica que trata os dados pessoais, mas em nome do controlador. É como se uma ‘empresa A’ contratasse a ‘empresa B’ para realizar algum tratamento de dados pessoais. A ‘empresa B’ seria a operadora de dados pessoais enquanto a ‘empresa A’ seria a controladora de dados pessoais.

Esse tipo de tratamento deve ainda respeitar os princípios elencados no Art.6º da LGPD, e já citados acima.

Além disso, há uma responsabilização compartilhada entre esses agentes, pois mesmo que o tratamento de dados pessoais fique a cargo do operador, isso não exime a responsabilidade do controlador em toda definição e delimitação do tratamento dos dados pessoais. E, é ele quem afirma o que deve ser feito e como ser feito, enquanto que, o operador apenas executaria.

Portanto, toda definição de quais dados pessoais coletar, o porquê de se coletar tais dados pessoais, como tratar esses dados pessoais, onde armazenar e por quanto tempo armazenar esses dados pessoais são todas definições, a priori, do controlador.

Essa relação entre essas figuras deve ser precedida por contrato ou convênio, de forma que fique estabelecido entre as partes todo o tratamento dos dados pessoais, respeitados os princípios de finalidade, adequação, necessidade, livre acesso e os demais.

O WhatsApp Business é ferramenta de comunicação utilizada por empresas para sua comunicação, que pode ser feita com seus clientes e usuários.

A empresa pode utilizar de forma livre o WhatsApp Business e ao utilizar significa que está compactuando com a política de privacidade do WhatsApp Business. Isso fica claro na política de privacidade do WhatsApp Business quando diz que “se você está usando o WhatsApp para empresas como um provedor de serviço em nome de seus Clientes, estas políticas se aplicam a seu uso e ao uso feito por seus Clientes do WhatsApp para empresas”.

Sendo assim, diante dos conceitos apresentados anteriormente, pode-se entender o WhatsApp Business como o operador de dados pessoais, que trata dados pessoais em nome da empresa controladora. Isso acontece, pois ao utilizar e impor essa ferramenta para a comunicação tanto internamente como com o público externo, a empresa controladora está tacitamente concordando com toda coleta de dados que o WhatsApp (empresa operadora) realiza em seu nome, mesmo que essa coleta de dados seja muito superior ao necessário para a comunicação (infringindo princípios como da Adequação e Necessidade para o tratamento de dados pessoais à luz da LGPD).

Vejamos que, ao exigir a utilização do WhatsApp a empresa controladora está impondo essa necessidade a todos com quem ela for se comunicar.

Assim, um conjunto de dados pessoais são coletados na utilização dessa ferramenta, e muitos desses dados não são utilizados pelo controlador. Por exemplo, no caso da UFU, se utilizando o WhatsApp para comunicação com seus servidores, estaria coletando dados como “dados de uso e de registro”, “dados sobre conexões e dispositivos” e “dados de localização”. Informações estas que não seriam utilizadas pela UFU, apenas pelo WhatsApp em suas aplicações.

2- Se a UFU exigir a utilização do WhatsApp Business para sua comunicação passa então ser responsável pela coleta de dados que a ferramenta faz;

3- Essa coleta de dados envolve um conjunto de informações que não são necessárias para a UFU e

4- Apesar de não utilizar parte dos dados pessoais coletados a UFU não deixa de ter responsabilidade sobre sua coleta.

Não obstante esse risco apresentado, pode-se levar em consideração legislação federal sobre os direitos do usuários dos serviços públicos para verificar a utilização parcial da ferramenta. Isso vai ao encontro às práticas largamente difundidas no período de pandemia como forma de viabilizar a comunicação da Instituição com sua comunidade. Em outras palavras, é direito do usuário do serviço público, no art. 5 da LEI Nº 13.460, DE 26 DE JUNHO DE 2017, “aplicação de soluções tecnológicas que visem a simplificar processos e procedimentos de atendimento ao usuário e a propiciar melhores condições para o compartilhamento das informações”.

Sendo assim, é possível pensar em uma utilização com minimização de riscos para a Instituição.

Essa utilização seria restrita à comunicação entre a Instituição (seus setores administrativos e acadêmicos) e o usuário dos serviços prestados pela UFU, excluindo a comunicação da UFU com seus servidores e colaboradores.

Explica-se essa opção: a comunicação da Instituição com seus servidores, ao exigir pela UFU a comunicação utilizando a ferramenta WhatsApp Business, será permeada pela exigência institucional. Portanto, passa a ter efeito de obrigatoriedade, não deixando opção ao servidor, que não seja utilizar a ferramenta e concordar com a coleta de todos aqueles dados pessoais definidos em sua política de privacidade (os quais muitos não serão utilizados pela Instituição).

Situação diversa ocorre quando a Instituição oferece como uma opção, a fim de facilitar a comunicação com seus usuários, a utilização do WhatsApp Business. O usuário pode escolher ou não usar a ferramenta de comunicação, mas isso não o proíbe de optar pela comunicação institucional já estabelecida, como e-mail institucional, telefones institucionais ou outras ferramentas de comunicação com as quais a UFU tenha contrato ou convênio.

Em resumo: enquanto a utilização do WhatsApp Business seria uma obrigação institucional na comunicação entre a UFU e seus servidores, a utilização da mesma ferramenta para comunicação com seus usuários seria apenas mais uma ferramenta facilitadora da comunicação institucional.

Para que essa utilização seja com o mínimo de riscos possíveis temos as seguintes considerações:

1- O setor acadêmico ou administrativo que optar por utilizar o WhatsApp Business para sua comunicação deve fazê-lo apenas para comunicação institucional com seus usuários e não para com seus servidores;

2- O número de telefone a ser utilizado deve ser o telefone do setor e não telefone pessoal de algum servidor;

3- O telefone celular a ser utilizado deve ser um telefone celular do setor e não telefone pessoal de servidor;

4- Deve-se apresentar um texto padrão a toda mensagem inicial da conversa. Essa mensagem deve conter informação sobre a coleta de dados feita pelo WhatsApp, deve-se esclarecer a utilização da ferramenta para comunicação, apresentar os canais de LGPD da UFU e informar que a utilização da ferramenta é opção do usuário e que caso não concorde pode utilizar os canais institucionais já estabelecidos (e citados). Um exemplo de texto será anexado ao presente documento.

No presente documento foi apresentado uma breve explicação da LGPD na UFU, o conceito e exigências de compartilhamento de dados pessoais, o conceito e exigências do operador de dados pessoais e informações gerais do WhatsApp Business à luz da LGPD.

Diante o exposto verifica-se a possibilidade de utilização da ferramenta exclusivamente para a comunicação dos setores administrativos e acadêmicos com os usuários do serviço público da UFU e, desde que, observadas as considerações propostas. Além disso, essa ferramenta não deve ser utilizada para a comunicação institucional da UFU com seus servidores. Para tanto, reforçamos os canais institucionais já existentes bem como as ferramentas cuja UFU possui contrato ou convênio com a empresa responsável (ex: TEAMS e KAIZALA).

___________________________________________________________________________________________________________________________________________

Olá. Obrigado por seu contato com o (setor administrativo ou acadêmico). O horário de atendimento do setor é: de segunda a sexta feira das XX:00 às XX:00

Informamos que fazemos a utilização do WhatsApp Business para comunicação com os usuários do serviço público da UFU.

Ao utilizar essa ferramenta você concorda com o WhatsApp Business utilizar seus dados pessoais conforme definidos em sua política de privacidade. Os dados coletados estão definidos aqui.

Caso não concorde, você pode entrar em contato utilizando os canais de comunicação do (setor administrativo ou acadêmico) já estabelecidos, qual sejam: (email institucional e telefone institucional).

Documento assinado eletronicamente por Thiago Callado Kobayashi, Presidente, em 20/09/2022, às 14:22, conforme horário oficial de Brasília, com fundamento no art. 6º, § 1º, do Decreto nº 8.539, de 8 de outubro de 2015.

A autenticidade deste documento pode ser conferida no site https://www.sei.ufu.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0, informando o código verificador 3934084 e o código CRC 24195456.