Entidade encaminhou requerimento com 42 questões referentes aos protocolos de proteção de informações pessoais e de interesse científico — entre elas, se o armazenamento é controlado pela USP ou por terceiros e se docentes e alunos podem ter acesso aos seus dados

A Adusp encaminhou ao reitor da USP, Vahan Agopyan, um requerimento de informações sobre a coleta, o tratamento e a proteção dos dados pessoais de docentes e alunos obtidos por meio das plataformas informáticas adotadas pela universidade para as aulas a distância durante a pandemia da Covid-19.

O requerimento tem por base o inciso XXXIII do artigo 5º da Constituição Federal, segundo o qual “todos têm direito a receber dos órgãos públicos informações de seu interesse particular, ou de interesse coletivo ou geral, que serão prestadas no prazo da lei”, e a Lei de Acesso à Informação (Lei 12.527/2011).

Em suas considerações preliminares, o requerimento — assinado pelo presidente da Adusp, professor Rodrigo Ricupero — observa que “informações de interesse público não restaram devidamente publicizadas”, uma vez que os atos e decisões da administração da universidade sobre os procedimentos da modalidade remota de educação “não são transparentes, carecendo de informações fundamentais para a averiguação do respeito às garantias dos servidores e alunos da instituição”.

Especificamente, aponta a Adusp, a universidade “deixou de dar publicidade para questões referentes aos protocolos de proteção de dados pessoais e de segurança de informações científicas”.

O pedido leva em consideração “a necessidade de observância da realidade que se impõe, de fluxo e captação de dados pessoais consoante prediz a Lei Geral de Proteção de Dados (LGPD), cujas disposições merecem desde já observância, considerando que os contratos referentes a plataformas e serviços virtuais, bem como o manejo de dados coletados agora na universidade, perdurarão até sua entrada em vigor”.

Utilização de softwares e relação com prestadores de serviços 

A Adusp apresenta 42 questionamentos divididos em três blocos. O primeiro é voltado às plataformas utilizadas para as aulas virtuais e outras formas de comunicação entre docentes e alunos. Nesse bloco, o requerimento solicita informações sobre as seguintes questões, entre outras:

  • qual(is) programa/software(s) é(são) utilizado(s) para qual tipo de atividade remota (realização de aulas por meio telemático, troca de e-mails, entre outros);
  • qual(is) empresa(s) é(são) fornecedora(s) dos serviços, com indicação se são nacionais ou estrangeiras;
  • o inteiro teor do contrato com a(s) empresa(s) prestadora(s) dos serviços e se houve licitação, incluindo indicação do valor e duração dos serviços contratados;
  • se há avisos sobre a política de privacidade e proteção de dados e possibilidade de opção op out, com uso do serviço mesmo em desacordo de alguma cláusula;
  • o teor integral da política de privacidade e proteção de dados da empresa operadora/prestadora do serviço;
  • se a universidade investe em servidores próprios e quanto;
  • especificamente no caso dos e-mails funcionais, se a caixa postal dos professores, técnicos e estudantes da USP é administrada por alguma empresa privada; se os servidores de e-mail da universidade estão hospedados nas dependências da USP ou em servidores de empresas privadas; em não sendo na USP, onde e com quais protocolos de segurança.

Onde e como os dados são armazenados?

O segundo bloco trata da coleta, tratamento e armazenamento de dados. A Adusp questiona, entre outros itens:

  • se a universidade possui o levantamento de quais tipos de dados e concernentes a quais titulares são coletados e tratados no processo de aulas virtuais, de troca de e-mails e outros, se houver; se sim, quais são;
  • se esses dados são usados por terceiros — ou se compõem base de dados sobre o qual terceiro tem acesso; se sim, quem é o terceiro; se sim, para qual finalidade o terceiro usa e com fulcro em qual base legal;
  • quais são os protocolos de segurança de informação usados pelo sistema e pelo servidor do controlador e do operador do tratamento de dados pessoais;
  • onde e como os dados são armazenados e se é possível a portabilidade dos dados para outra empresa/servidor, caso a universidade deseje;
  • se os dados são tratados ou armazenados no Brasil ou em território estrangeiro;
  • se houve análise de risco sobre o processo de coleta e tratamento de dados;
  • como é feito o processo de tratamento de dados pessoais que podem gerar riscos aos titulares e que possam impor restrições não previstas em lei aos usuários de serviços públicos, conforme previsto na LGPD e decorrente do sistema normativo protetor dos consumidores e dos usuários de serviços públicos;
  • se e como é feita a anonimização e a guarda dos dados pessoais;
  • se há análise do impacto financeiro de eventuais falhas e vazamentos na atividade de troca de informações e armazenamento de dados, considerando como potencialmente afetados os membros da comunidade acadêmica e o desenvolvimento científico do país;
  • como é feita a governança do banco de dados decorrente dos tratamentos realizados;
  • quem tem acesso aos dados pessoais coletados e quais são os graus de privilégios de acesso, em relação ao controlador, ao operador e a terceiros, se houver.

Bases de dados são controladas pela USP ou por terceiros?

O terceiro bloco trata das informações funcionais dos docentes e discentes. Entre outras questões, a Adusp solicita esclarecimentos sobre:

  • que tipo de informações dos docentes são coletadas pela universidade e onde são armazenadas (servidores próprios ou de empresas contratadas);
  • se as bases de dados que armazenam informações pessoais e funcionais, informações de pesquisas científicas e informações de comunicações virtuais entre docentes e discentes são operadas e controladas pela universidade ou por outros;
  • em sendo por terceiros, quem são e qual o teor dos contratos com a prestadora do serviço;
  • se, além do prestador de serviço, as bases de dados são acessadas por terceiros para alguma finalidade específica;
  • quais informações dos alunos compõem a base de dados;
  • como são tratadas as informações de propriedade intelectual, científica e de patente;
  • se os docentes e discentes têm acesso às suas informações, e se podem realizar a retificação e solicitar o descarte delas; quais são os procedimentos para tanto;
  • se há análise do impacto financeiro de eventuais falhas e vazamentos na atividade de troca de informações e armazenamento de dados, considerando como potencialmente afetados os membros da comunidade acadêmica e o desenvolvimento científico do país;
  • como é feita a governança do banco de dados de informações científicas;
  • quem é o controlador dos dados? Quais critérios de segurança do armazenamento, usos, formas de acesso e mecanismos de controle social da sua utilização com fundamento e base legal nas finalidades indicadas;
  • se há compartilhamento da base de dados com outras entidades estatais e/ou privadas; se sim, quais;
  • se há parâmetros de confiabilidade da segurança de informação usados pelo sistema e pelo servidor do controlador de dados e do operador.

O requerimento foi protocolado no último dia 2/9. De acordo com a Lei de Acesso à Informação, a resposta deve ser encaminhada no prazo máximo de 20 dias.