Ursula Ribeiro de Almeida
Há alguns dias se noticiou na imprensa a exposição de dados pessoais de 1,3 milhão de alunos
e professores de instituição de ensino superior privada, que já estariam expostos há mais de 6
(seis) meses em razão de uma falha de segurança no sistema da Universidade. Não se trata de
caso isolado, pois nos últimos anos ocorreram diversos outros incidentes de segurança em
instituições de ensino públicas e privadas, que levaram à exposição de dados pessoais de
alunos, professores e outros funcionários.
A situação é preocupante porque as Universidades efetuam o tratamento de inúmeros dados
pessoais para a prestação do serviço de ensino (como, por exemplo, coleta e armazenamento
de nome completo, data de nascimento, RG, CPF, endereço, escolaridade) e inclusive de dados
sensíveis, como o registro da biometria dos alunos e funcionários para controle de acesso à
instituição e dados de saúde para concessão de bolsas ou inserção em programas especiais.
Até agosto de 2021 as instituições de ensino não poderão ser punidas pela ANPD (Agência
Nacional de Proteção de Dados) em caso de incidente de segurança devido à prorrogação da
vigência das penalidades previstas na Lei Geral de Proteção de Dados (LGPD). Entretanto,
outras punições podem ser aplicadas, mesmo antes da vigência da LGPD, cuja prorrogação da
vigência ainda é discutida no Congresso Nacional. Diante disso, o melhor caminho é adotar
medidas de prevenção e de segurança no tratamento de dados pessoais.
A proteção de dados pessoais como direito fundamental
Primeiramente, cumpre esclarecer que a proteção dos dados pessoais é um direito
fundamental resguardado pela Constituição Federal brasileira. O artigo 5°, inciso X, prevê que
“são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o
direito à indenização pelo dano material ou moral de sua violação”. O inciso XII, por sua vez,
dispõe que “é inviolável o sigilo da correspondência e das comunicações telegráficas, de
dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses
e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual
penal”.
Em precedente recente, o Plenário do Supremo Tribunal Federal confirmou a medida cautelar
concedida pela Ministra Rosa Weber para suspender a eficácia da Medida Provisória n°
954/2020, que determinava o compartilhamento de dados pessoais de empresas prestadoras
do serviço de telefonia com o Instituto Brasileiro de Geografia e Estatística – IBGE. De acordo
com a liminar deferida pela Ministra, a MP n° 954/2020 viola os direitos fundamentais dos
titulares dos dados pessoais:
“Tais informações, relacionadas à identificação – efetiva ou potencial – de
pessoa natural, configuram dados pessoais e integram, nessa medida, o
âmbito de proteção das cláusulas constitucionais assecuratórias da liberdade
individual (art. 5º, caput), da privacidade e do livre desenvolvimento da
personalidade (art. 5º, X e XII). Sua manipulação e tratamento, desse modo,
hão de observar, sob pena de lesão a esses direitos, os limites delineados pela
proteção constitucional.” [1]
Portanto, independentemente da vigência da LGPD, a proteção de dados pessoais constitui
direito fundamental. A importância da LGPD se dá no estabelecimento de critérios para o
tratamento de dados pessoais, assim como mecanismos para exercício dos direitos pelos
titulares, além do estabelecimento de órgão regulador para fixar normas técnicas de
segurança e aplicar sanções.
Não obstante a LGPD ainda não esteja vigente, os alunos das instituições de ensino podem
reivindicar a proteção de seus dados pessoais, bem como requerer indenização em caso de
incidente de segurança com base no Código de Defesa do Consumidor, tendo em vista que as
instituições de ensino são prestadoras de serviços e os seus alunos são consumidores de
acordo com os critérios legais.
A proteção de dados pessoais dos alunos e o direito do consumidor
De acordo com a legislação consumerista, o prestador de serviço deve garantir a segurança do
consumidor. Se a prestação de serviços causar danos aos consumidores decorrentes de
“defeitos relativos à prestação dos serviços”, o fornecedor é responsabilizado objetivamente,
ou seja, “independentemente da existência de culpa” (art. 14, caput, da Lei n° 8.078/90). “O
serviço é defeituoso quando não fornece a segurança que o consumidor dele pode esperar,
levando-se em consideração as circunstâncias relevantes” (art. 14, § 1°, da Lei n° 8.078/90).
O ensino superior precisa coletar e tratar dados pessoais – e, em alguns casos, dados sensíveis
– para a prestação de serviço de educação. O serviço pode ser considerado defeituoso se não
garantir a proteção de dados pessoais dos estudantes, cuja exposição por falha de segurança
da instituição de ensino configura dano moral em razão da violação do direito à privacidade
e à intimidade. Os alunos podem sofrer também dano material dependendo das
consequências do vazamento de seus dados.
A proteção de dados pessoais por meio de ação judicial individual
A tutela dos direitos dos estudantes, professores e funcionários pode se dar em ação judicial
individual para reparação de danos morais e materiais em caso de incidente de segurança
decorrente da exposição de dados pessoais. Na medida em que a sociedade se conscientiza
quanto à relevância da proteção de dados pessoais, o ajuizamento de ação judicial pelo titular
para requerer indenização em caso de uso indevido de seus dados ou falha de segurança será
cada vez mais frequente.
A proteção de dados pessoais no âmbito do direito coletivo: o papel dos órgãos de defesa do
consumidor, Ministério Público e associações
É cabível a proteção de dados pessoais no âmbito coletivo, seja pela via administrativa ou pela
judicial. Os órgãos de defesa do consumidor podem aplicar sanção às Universidades pela falha
na prestação de serviço, como já ocorreu em incidentes de segurança em outros setores.
O Ministério Público é outro ator importante na proteção de dados dos estudantes. Segundo
precedente do Supremo Tribunal Federal, o Ministério Público pode ajuizar ação civil pública
para proteção de interesses individuais homogêneos que tenham relevância social. 2 Assim,
poderá o Ministério Público instaurar inquérito civil para apurar incidentes de segurança no
tratamento de dados de alunos por instituições de ensino superior, bem como ajuizar ação
civil pública para requerer a reparação dano material e até mesmo dano moral coletivo se
entender que houve falha no sistema de segurança.
A importância imediata da proteção de dados para instituições de ensino
Diante do cenário de progressiva conscientização quanto à importância da proteção dos dados
pessoais e do risco decorrente de incidentes de segurança, é indispensável que as instituições
de ensino superior adotem medidas técnicas e administrativas para proteção de dados dos
seus alunos, professores e funcionários, mesmo que a vigência da LGPD seja prorrogada.
Em caso de incidente de segurança, as instituições de ensino podem apresentar defesa para
afastar a sua responsabilidade se demonstrarem que adotaram as medidas técnicas e
organizacionais para proteção dos dados. A responsabilidade poderia ser afastada se for
demonstrada que houve uma violação de segurança com utilização de tecnologia avançada,
que dificilmente poderia ser evitada.
O Código de Defesa do Consumidor permite que a exclusão da responsabilidade do prestador
de serviço se for demonstrado que o defeito decorreu de culpa exclusiva de terceiro (art. 14, §
3°, II, da Lei n° 8.078/90), que poderia ocorrer em caso de um ataque malicioso com uso de
técnica nova. A própria LGPD também isenta o controlador de responsabilidade se comprovar
que observou a legislação de proteção de dados no tratamento de dados pessoais – adotando
as medidas técnicas e organizacionais adequadas – ou que a culpa decorreu exclusivamente de
terceiro (art. 43, II e III, da Lei n° 13.709/2018).
[1] STF, ADI 6387, rela. Mina. Rosa Weber, j. 24/04/2020, DJe 27/07/2020.
[2] STF, Pleno, RE 631.111/GO, rel. Min. Teori Zavascki, j. 07/08/2014, DJe 30/10/2014.
