image/svg+xml
Análise de aplicação da LGPD numa instituição pública de ensino: Um estudo de caso
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1856-1872, jul./set. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1856
ANÁLISE DE APLICAÇÃO DA LGPD NUMA INSTITUIÇÃO PÚBLICA DE
ENSINO: UM ESTUDO DE CASO
ANÁLISIS DE APLICACIÓN DE LA LGPD EN UNA INSTITUCIÓN EDUCATIVA
PÚBLICA: UN ESTUDIO DE CASO
GDPR APPLICATION ANALYSIS IN A PUBLIC EDUCATIONAL INSTITUTION: A
CASE STUDY
Jackson Gomes Soares SOUZA
1
Francisco Rolfsen BELDA
2
Carlos Hideo ARIMA
3
RESUMO
: A intensificação na coleta, armazenamento e tratamento de dados pelas instituições
traz atenção quanto à proteção de dados pessoais. Esta pesquisa básica aplicada visa verificar,
por meio de um estudo de caso, a conformidade entre instrumentos normativos de proteção de
dados pessoais adotados por instituição pública de ensino tecnológico e o estabelecido pela Lei
Geral de Proteção de Dados Pessoais (LGPD). As respostas coletadas pelo questionário
estruturado foram tabuladas e tratadas, demonstrando a relação entre contexto institucional e as
dimensões analisadas para a implementação de protocolos e das boas práticas. Conforme os
resultados, considera-se a necessidade de implementação de um programa de governança em
privacidade que vá ao encontro das políticas institucionais.
PALAVRAS-CHAVE
: Lei Geral de Proteção de Dados Pessoais. LGPD. Ambientes para
ensino.
RESUMEN
: La intensificación en la recolección, almacenamiento y procesamiento de datos
por las instituciones llama la atención acerca de la protección de datos personales. Esta
investigación básica aplicada tiene como objetivo verificar, por un estudio de caso, la
conformidad entre los instrumentos normativos de protección de datos personales adoptados
por una institución de educación tecnológica pública y el establecido por la Ley General de
Protección de Datos (LGPD). Las respuestas obtenidas a partir de un cuestionario
estructurado fueron tabuladas y procesadas, evidenciando la relación entre el contexto
institucional y las dimensiones analizadas para la implementación de protocolos y buenas
prácticas. De acuerdo con los resultados, se considera la necesidad de implementar un
programa de gobernanza y privacidad que cumpla con las políticas institucionales.
1
Instituto Federal de Educação, Ciência e Tecnologia de São Paulo (IFSP), Campinas – SP – Brasil. Professor.
Doutorando em Educação Escolar (UNESP). ORCID: https://orcid.org/0000-0003-4952-8618. E-mail:
jackson@ifsp.edu.br
2
Universidade Estadual Paulista (UNESP), Bauru – SP – Brasil. Professor do Departamento de Comunicação
Social. Doutorado em Engenharia de Produção (EESC-USP). ORCID: https://orcid.org/0000-0001-6350-7026. E-
mail: belda@faac.unesp.br
3
Centro Estadual de Educação Tecnológica Paula Souza (CEETEPS), São Paulo – SP – Brasil. Professor do
Programa de Mestrado Profissional em Gestão e Tecnologia em Sistemas Produtivos e Pesquisador da Unidade de
Pós-Graduação, Extensão e Pesquisa do Centro Paula Souza. Doutorado em Controladoria e Contabilidade (USP).
ORCID: https://orcid.org/0000-0001-7922-0943. E-mail: charima@uol.com.br
image/svg+xml
Jackson Gomes Soares SOUZA; Francisco Rolfsen BELDA e Carlos Hideo ARIMA
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1856-1872, jul./set. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1857
PALABRAS CLAVE
: Ley General de Protección de Datos Personales. LGPD. Ambientes de
enseñanza.
ABSTRACT
: The intensification of data collection, storage and processing by institutions calls
attention to personal data protection. This basic applied research aims to verify, through a case
study, the compliance between a public institution of technological education’s data protection
regulation instruments and the addressed by the General Data Protection Law (GDPR). The
answers were collected by a structured questionnaire, being subsequently tabulated and
processed. The results demonstrate the relationship between the institutional context and
dimensions analyzed for the implementation of protocols, good practices and a privacy
governance program that meets institutional policies.
KEYWORDS
: General Data Protection Regulation. GDPR. Learning environments.
Introdução
Segundo Davenport (1998, p. 18), “dados são simples observações sobre o estado do
mundo” e tem como características ser: “facilmente estruturado, obtido por máquinas,
frequentemente quantificado e facilmente transferível”, enquanto informação seria um conjunto
de “dados dotados de relevância e propósito”, requerendo “unidade de análise, consenso em
relação ao significado e, necessariamente, mediação humana”. Tal mediação pode se apresentar
pela “interação entre humanos e os sistemas, trazendo consigo conceitos como a segurança da
informação e a privacidade envolvidos neste processo” (SOUZA; ARIMA; BELDA, 2020, p.
1310).
Estamos cercados por tecnologias diversas, de modo que a utilização de meios digitais
para os processos de ensino e aprendizagem está diretamente relacionada ao tratamento de
dados armazenados e utilizados pelas instituições, devendo estas adotar políticas de proteção
de dados e informações pessoais com base em legislação específica.
A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº. 13.709, de 14 de agosto de
2018 (BRASIL, 2018):
Dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por
pessoa natural ou por pessoa jurídica de direito público ou privado, com o
objetivo de proteger os direitos fundamentais de liberdade e de privacidade e
o livre desenvolvimento da personalidade da pessoa natural.
Com a promulgação da Emenda Constitucional nº. 115 (EC115), publicada em 11 de
f
evereiro de 2022 na Seção 1, Edição 30, Página 2 do Diário Oficial da União, a Constituição
Federal de 1988 brasileira passa a contemplar o rol de direitos e garantias fundamentais de
image/svg+xml
Análise de aplicação da LGPD numa instituição pública de ensino: Um estudo de caso
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1856-1872, jul./set. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1858
proteção de dados, fixando competência dos entes federativos em legislar sobre o tema
(BRASIL, 2022).
A Lei nº. 11.892, de 29 de dezembro de 2008 (BRASIL, 2008), além de outras
providências, institui que:
Os Institutos Federais são instituições de educação superior, básica e
profissional, pluricurriculares e
multicampi
, especializados na oferta de
educação profissional e tecnológica nas diferentes modalidades de ensino,
com base na conjugação de conhecimentos técnicos e tecnológicos com as
suas práticas pedagógicas, nos termos desta Lei.
Neste sentido, esta pesquisa tem como objetivo estudar os instrumentos normativos de
proteção de dados pessoais adotados numa instituição pública de ensino tecnológico e atuais
desfechos para o desenvolvimento de políticas e procedimentos em um de seus
campi
.
Fundamentação teórica
Para Pierre Lévy (2014, p. 23), “nós não sabemos ainda como transformar
sistematicamente dados em conhecimento”, trazendo a reflexão quanto a uma “memória digital
participativa, em vias de constituição, comum ao conjunto da humanidade em busca de
solucionar este problema de interoperabilidade semântica”.
Neste sentido, o autor estabelece uma unidade da natureza fundada na noção de
informação, abordando uma imagem sintética da natureza informacional e seu conceito
científico, concebendo a natureza da informação em camadas sucessivas: dos quarks aos
átomos, das moléculas aos organismos, dos sistemas nervosos aos fenômenos e dos símbolos
aos conceitos (LÉVY, 2014). Uma interpretação possível seria de que os dados equivaleriam a
símbolos, ainda que não modalizados, porém não sem significado.
Em 24 de outubro de 1995, o Parlamento Europeu e o Conselho da União Europeia
publicaram no Jornal Oficial nº. L 281 de 23/11/1995, páginas 31 a 50, a “Diretiva 95/46/CE
relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais
e à livre circulação desses dados” (UNIÃO EUROPEIA, 1995).
O Artigo 29 da Diretiva 95/46/CE estabeleceu a criação do “grupo de proteção das
pessoas no que diz respeito ao tratamento de dados pessoais”, de caráter consultivo e
independente, o “
Article 29 Working Party (WP29)”
, ou Grupo de Trabalho do Artigo 29
(GT29). Traz, ainda, a definição de dados pessoais fragmentando-a em 4 (quatro) pilares ou
elementos principais:
image/svg+xml
Jackson Gomes Soares SOUZA; Francisco Rolfsen BELDA e Carlos Hideo ARIMA
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1856-1872, jul./set. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1859
[...] ‘qualquer informação’, ‘relativa a’, ‘pessoa singular’, ‘identificada ou
identificável’. Os quatro pilares estão intimamente relacionados e apoiam-se
uns nos outros, determinando juntos se uma informação será ou não
considerada dado pessoal [...] (UNIÃO EUROPEIA, 2007, p. 6, grifo do
autor).
No Brasil, a LGPD, além de trazer uma definição similar de dado pessoal, regulamenta
em seus 10 (dez) capítulos:
‘Disposições gerais’; ‘tratamento de dados pessoais’; ‘direitos do titular’;
‘tratamento de dados pessoais pelo poder público’; ‘transferência
internacional de dados’; ‘agentes de tratamento de dados pessoais’; ‘segurança
e boas práticas’; ‘fiscalização’; ‘Autoridade Nacional de Proteção de Dados
(ANPD) e Conselho Nacional de Proteção de Dados Pessoais e da
Privacidade’ e ‘disposições finais e transitórias’ (BRASIL, 2018).
O artigo 6º da LGPD estabelece, entre outros, princípios a serem observados, de modo
que as políticas de tratamento adotadas permitam aos usuários estarem cientes das formas pelas
quais seus dados serão utilizados, possibilitando evitar ou reduzir a coleta e utilização de suas
informações por terceiros. Visando aplicar os conceitos, sintetizou-se os principais elementos
em dimensões, conforme a Tabela 1.
Tabela 1 –
Dimensões de proteção de dados pessoais
1.
Fundamentos (FUN)
: Preocupação com a “proteção de dados pessoais quando do seu tratamento,
inclusive nos meios digitais, com o objetivo de proteger os direitos fundamentais de liberdade, de
privacidade e o livre desenvolvimento da personalidade da pessoa natural” (BRASIL, 2018, s/p [web]).
2.
Princípios (PRI)
: Atendimento aos princípios da “finalidade, adequação, necessidade, livre acesso,
qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e
prestação de contas” (BRASIL, 2018, s/p [web]).
3.
Tratamento de dados pessoais (TRA)
: “Toda operação realizada com dados pessoais”, sendo
indispensável o consentimento do titular “por escrito ou por outro meio que demonstre a manifestação
de vontade” “livre e inequívoca” (BRASIL, 2018, s/p [web]).
4.
Direitos do titular (DIR)
: O direito de “revogação do consentimento”, “atualização”,
“anonimização”, “bloqueio” ou “eliminação” dos dados pessoais ao titular dos dados (BRASIL, 2018,
s/p [web]).
Fonte: Adaptado pelos autores com base na LGPD (BRASIL, 2018)
O capítulo 4º da LGPD regulamenta o tratamento pelo poder público, inclusive fazendo
referência direta no caput do artigo 23 à Lei nº 12.527, de 18 de novembro de 2011, também
conhecida como Lei de Acesso à Informação (LAI), devendo “[...] ser realizado para o
atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de
image/svg+xml
Análise de aplicação da LGPD numa instituição pública de ensino: Um estudo de caso
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1856-1872, jul./set. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1860
executar as competências legais ou cumprir as atribuições legais do serviço público” (BRASIL,
2018).
Adicionalmente, o artigo 50 faz, em seus três parágrafos, referências diretas a princípios
elencados no artigo 6º, tais como da finalidade, qualidade, segurança, prevenção e prestação de
contas.
Procedimentos metodológicos
Conforme classificação de pesquisa feita pelo cientista político Donald Stokes, esta é
uma pesquisa básica-aplicada, impulsionada pela curiosidade investigativa sobre fenômenos
particulares, não necessariamente visando “objetivos explanatórios gerais nem qualquer
utilização prática à qual se destinem seus resultados” (STOKES, 2005, p. 119).
Segundo Yin (2001, p. 11 e 47), o estudo de caso é uma inquirição empírica com foco
“em fenômenos contemporâneos inseridos em algum contexto da vida real”, tendo como pré-
requisito a sistematização de procedimentos por meio de protocolos.
Este estudo abrange o “
campus
Campinas vinculado ao Instituto Federal de Educação,
Ciência e Tecnologia de São Paulo – IFSP” e, por tratar-se de estudo de caso único, os dados
coletados e sua consequente análise não permitirão a generalização dos resultados (BRASIL,
2018). Para a coleta de dados, adota-se como instrumento um questionário digital estruturado
na plataforma
Google Forms
. Conta, ainda, com a participação voluntária de 80 docentes e
gestores cadastrados no “Sistema Unificado de Administração Pública” (SUAP) do
campus
,
tendo sido coletadas um total de 15 respostas.
Segundo Likert (1932), pesquisas que envolvam declarações de opinião e atitude são
consideradas um método indireto de aferir disposições que são mais facilmente significadas e
expressas na forma verbal, e podem, consequentemente, serem agrupadas em padrões. Utilizar-
se-á, portanto, da escala Likert, na qual as respostas obtidas emitem o grau de concordância dos
participantes com a frase, contemplando níveis de 1 a 5 da escala, classificados respectivamente
como: “Discordo totalmente”, “Discordo”, “Neutro”, “Concordo” e “Concordo totalmente”.
No que diz respeito à investigação dos instrumentos normativos adotados pelo IFSP em
a
tendimento aos requisitos abordados na LGPD, a pesquisa documental deste estudo contempla
o Estatuto da instituição e as Portarias mais recentes, que aprovam o Regimento Interno do
Comitê de Governança Digital e que atualizam a “Política de Segurança da Informação e
Comunicação – PoSIC”, assim como a “Política de Proteção de Dados Pessoais” (BRASIL,
2020).
image/svg+xml
Jackson Gomes Soares SOUZA; Francisco Rolfsen BELDA e Carlos Hideo ARIMA
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1856-1872, jul./set. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1861
Análise de dados
A interpretação dos resultados inicialmente será a partir da seguinte estrutura: PDP –
Perfil dos Participantes e CDI – Contexto da instituição.
Em seguida, serão investigadas dimensões de proteção de dados pessoais:
●
FUN – Fundamentos da proteção de dados pessoais;
●
PRI – Princípios da proteção de dados pessoais;
●
TRA – Tratamento de dados pessoais;
●
DIR – Direitos do titular de dados pessoais.
A amostra conta com 15 respostas coletadas. O perfil dos participantes caracteriza-se
conforme faixa etária, escolaridade, tempo na instituição e se a pessoa participante ocupa cargo
de gestão atualmente, conforme Tabela 2.
Tabela 2 –
Perfil dos participantes
Docentes
Faixa etária
Escolaridade
Tempo
instituição
Gestor
D1
30 a 39 anos
Mestrado
entre 4 e 10 anos
Não
D2
50 a 59 anos
Doutorado
entre 4 e 10 anos
Não
D3
30 a 39 anos
Mestrado
entre 4 e 10 anos
Não
D4
30 a 39 anos
Mestrado
entre 10 e 20 anos
Não
D5
50 a 59 anos
Doutorado
Mais de 20
anos
Sim
D6
40 a 49 anos
Doutorado
entre 4 e 10 anos
Sim
D7
60 a 69 anos
Doutorado
entre 4 e 10 anos
Não
D8
50 a 59 anos
Mestrado
entre 4 e 10 anos
Não
D9
30 a 39 anos
Doutorado
entre 4 e 10 anos
Sim
D10
40 a 49 anos
Doutorado
entre 4 e 10 anos
Sim
D11
50 a 59 anos
Doutorado
entre 4 e 10 anos
Não
D12
50 a 59 anos
Doutorado
entre 4 e 10 anos
Não
D13
40 a 49 anos
Mestrado
entre 4 e 10 anos
Não
D14
30 a 39 anos
Mestrado
entre 4 e 10 anos
Não
D15
18 a 29 anos
Mestrado
entre 4 e 10 anos
Não
Fonte: Resultados da pesquisa
O perfil do participante se altera conforme a escolaridade que possui, e observa-se que
apenas duas faixas etárias englobam 64% dos docentes, sendo essas de 30 a 39 anos e de 50 a
59 anos; enquanto na primeira faixa a maior concentração é de mestrados, na segunda, a maioria
possui doutorados.
A análise do contexto da instituição (CDI) abrange a investigação de:
●
CDI1 – Adoção de uma Política de Segurança da Informação e Comunicações (PoSIC)
suficientemente esclarecedora por parte da instituição;
●
CDI2 – Controles técnicos de proteção para os dados pessoais armazenados;
●
CDI3 – Transparência e livre acesso às informações e dados pessoais armazenados;
image/svg+xml
Análise de aplicação da LGPD numa instituição pública de ensino: Um estudo de caso
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1856-1872, jul./set. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1862
●
CDI4 – Treinamentos ou eventos que tratem da privacidade e proteção de dados pessoais
e operacionais;
●
CDI5 – Adoção de diferentes métodos de autenticação;
●
CDI6 – Comunicação, por meio de avisos, sobre privacidade e proteção de dados
pessoais;
●
CDI7 – Conscientização sobre segurança da informação;
●
CDI8 – Conscientização sobre proteção de informações confidenciais em formato
eletrônico.
Inicialmente, a ciência dos resultados quanto à adoção de uma Política de Segurança da
Informação e Comunicações (PoSIC) suficientemente esclarecedora por parte da instituição,
abordada pelo elemento CDI1, nos trará evidências de possíveis respostas neutras nas
afirmações sobre o contexto da instituição.
Conforme também pode ser visualizado pela Figura 1, 40% dos participantes concordam
que a instituição adota uma PoSIC; entretanto, 26,67% afirmam não terem ciência sobre seu
conteúdo, e 13,33%, que seu conteúdo não é suficientemente esclarecedor.
A despeito de 60% dos participantes não saberem dizer se a instituição adota uma
PoSIC, uma inferência prematura deste fenômeno poderia colocar em questão seu nível de
familiaridade com o tema abordado. Entretanto, os participantes complementam em suas
respostas que ‘na instituição os servidores pouco conhecem sobre a LGPD, e não há medidas
institucionais adotada para proteção de dados, ficando a cargo do bom senso do servidor a
proteção dos dados’, e ainda ‘não ter conhecimento algum sobre proteção de dados em nossa
instituição’.
Figura 1 –
Representação gráfica das respostas de CDI1
Fonte: Resultados da pesquisa
image/svg+xml
Jackson Gomes Soares SOUZA; Francisco Rolfsen BELDA e Carlos Hideo ARIMA
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1856-1872, jul./set. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1863
Para uma análise adequada, os fatores relacionados a este ponto são investigados com
maior profundidade tanto nos próximos elementos de CDI quanto, em seguida, nas análises das
dimensões de proteção de dados pessoais.
Em sequência, observa-se pela Figura 2 que o único aspecto que apresentou alto grau
de concordância (67%) foi CDI5, que se refere ao fato de a instituição adotar, para o acesso dos
usuários aos sistemas, diferentes métodos de autenticação, como por exemplo, usuário e senha,
biometria, tokens por aplicativos.
As demais respostas apresentam alto grau de discordância, podendo ser divididas em
dois grupos, um com 80% de discordância e outro com 60% de discordância. Com 80% estão
CDI4, CDI7 e CDI8, ao abordarem aspectos referentes à condução de treinamentos ou eventos
que tratem da privacidade e proteção de dados pessoais; à ciência do contexto da segurança da
informação; e de como proteger informações confidenciais em formato eletrônico.
Em seguida, com 60% de discordância, tem-se CDI2, CDI3 e CDI6, ao tratarem de
aspectos institucionais no tocante à implementação de controles técnicos para proteger dados
pessoais armazenados em seus sistemas; se oferece aos titulares de dados transparência e livre
acesso às informações e dados pessoais armazenados em seus sistemas; e a comunicação de
questões que sejam relacionadas à privacidade e proteção de dados.
Figura 2 –
Representação gráfica das respostas de CDI2 a CDI8
Fonte: Resultados da pesquisa
Destaca-
se também o fato de CDI2, CDI3 e CDI5 apresentarem um certo grau de
neutralidade em relação aos demais aspectos analisados, com destaque a 33% de CDI3, ao tratar
da transparência e livre acesso às informações, o que indica uma possível relação dos índices
aqui analisados com o fenômeno observado em CDI1.
image/svg+xml
Análise de aplicação da LGPD numa instituição pública de ensino: Um estudo de caso
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1856-1872, jul./set. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1864
A análise das dimensões de proteção de dados pessoais contemplará os Fundamentos
(FUN), Princípios (PRI), Tratamento (TRA) e Direitos do Titular (DIR).
No que diz respeito aos fundamentos de proteção de dados pessoais (FUN), tem-se como
pilar o disposto no caput do artigo 1º da LGPD, ao estabelecer que a instituição, em suas
diversas atividades, deve preocupar-se com a “proteção dos dados pessoais quando do seu
tratamento”, “inclusive nos meios digitais, com o objetivo de proteger os direitos fundamentais
de liberdade, de privacidade e o livre desenvolvimento da personalidade da pessoa natural”
(BRASIL, 2018).
Figura 3 –
Representação gráfica das respostas de FUN1
Fonte: Resultados da pesquisa
Conforme a Figura 3, observa-se que, apesar de 40% de concordância por parte dos
respondentes, há um alto grau (33%) de neutralidade se comparado ao total e, além disto,
aproximadamente 27% de discordância, trazendo assim resultados divergentes e inconclusivos.
A análise dos princípios de proteção de dados pessoais (PRI) abrange a investigação de
se, durante o processo de coleta e tratamento de dados pessoais, a instituição informa a seus
titulares:
●
PRI1 – “A(s) finalidade(s) específica(s) do uso desses dados” (BRASIL, 2018);
●
PRI2 – “O nível de comprometimento em atender à(s) finalidade(s) informada(s)”
(BRASIL, 2018);
●
PRI3 – “Se permite consulta gratuita e facilitada sobre a forma e duração do tratamento,
bem como a integralidade de seus dados pessoais” (BRASIL, 2018);
●
PRI4 – “Se permite a atualização de seus dados” (BRASIL, 2018);
●
PRI5 – “Se fornece acessibilidade e clareza de informações sobre a realização de
tratamento” (BRASIL, 2018);
●
PRI6 – “Se utiliza de medidas técnicas e administrativas aptas a proteger os dados
pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição,
perda, alteração, comunicação” (BRASIL, 2018);
image/svg+xml
Jackson Gomes Soares SOUZA; Francisco Rolfsen BELDA e Carlos Hideo ARIMA
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1856-1872, jul./set. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1865
●
PRI7 – “Se utilizam de medidas para prevenir a ocorrência de danos em virtude do
tratamento de dados pessoais”, como por exemplo, restrições em acessos e
autenticações, adoção de criptografias (BRASIL, 2018);
●
PRI8 – “Se impossibilitará a realização de tratamento para fins discriminatórios, ilícitos
ou abusivos”, desde a coleta à sua utilização, modificação, difusão e eliminação dos
dados (BRASIL, 2018);
●
PRI9 – “Se adotará medidas de observância o cumprimento das normas de proteção de
dados pessoais, se responsabilizando pela eficácia dessas medidas” (BRASIL, 2018).
A Figura 4 demonstra que as respostas apresentaram uma faixa entre 20% e 46,67% de
neutralidade, podendo indicar a necessidade de atenção aos princípios elencados pela LGPD,
em especial ao PRI6 - princípio da segurança, previsto pelo artigo 6º, inciso VII, que trata da
utilização, por parte da instituição, de “medidas técnicas e administrativas aptas a proteger
dados pessoais” (BRASIL, 2018).
Figura 4 –
Representação gráfica das respostas de PRI
Fonte: Resultados da pesquisa
Ainda analisando as respostas com alto índice de neutralidade quando comparadas aos
í
ndices de concordância e discordância, PRI8 - “princípio da não discriminação”, previsto pelo
artigo 6º, inciso IX, apesar dos 33,33% de concordância, apresenta um grau ainda maior (40%)
de neutralidade, fato que se associa aos 26,67% de discordância ao tratar da adoção de medidas
por parte da instituição que impossibilitem a “realização de tratamento para fins
discriminatórios, ilícitos ou abusivos” desde a coleta à sua utilização, modificação, difusão e
eliminação dos dados (BRASIL, 2018).
image/svg+xml
Análise de aplicação da LGPD numa instituição pública de ensino: Um estudo de caso
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1856-1872, jul./set. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1866
Neste mesmo intervalo de 40% de neutralidade, PRI5 - “princípio da transparência”,
previsto pelo artigo 6º, inciso VI, apresenta ainda 40% de discordância e atenta para possíveis
adequações por parte da instituição quanto à garantia, aos titulares, de acessibilidade e clareza
de informações sobre a “realização de tratamento e respectivos agentes responsáveis” pelo
tratamento de dados (BRASIL, 2018).
Situação análoga ocorre com PRI3 - “princípio do livre acesso”, previsto pelo artigo 6º,
inciso IV, que prevê que a instituição garanta aos titulares consulta “facilitada e gratuita sobre
a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais”
(BRASIL, 2018).
O princípio PRI9 - “princípio da responsabilização e prestação de contas”, elencado pelo
artigo 6º, inciso X, apresenta índices iguais de 33,33% para discordância, neutralidade e
concordância ao abordar a adoção de medidas de “observância e cumprimento das normas de
proteção de dados pessoais, se responsabilizando pela eficácia dessas medidas” (BRASIL,
2018).
O maior grau de discordância encontra-se em PRI1 e PRI2, com o índice de 53,33%.
PRI1 - “princípio da finalidade”, previsto pelo artigo 6º, inciso I, prevê que a “realização do
tratamento seja para propósitos legítimos, específicos, explícitos e informados ao titular, sem
possibilidade de tratamento posterior de forma incompatível com essas finalidades” (BRASIL,
2018).
No mesmo contexto, PRI2 - “princípios da adequação e necessidade”, previstos pelo
artigo 6º, incisos II e III, tratam do “nível de comprometimento em atender às finalidades do
tratamento de dados informadas ao titular, limitando o tratamento ao mínimo necessário”
(BRASIL, 2018).
PRI4 e PRI7 foram os únicos elementos que apresentaram grau de concordância
superior aos demais. Com 53,33% de concordância, PRI4 - “princípio da qualidade”, previsto
pelo artigo 6º, inciso V, prevê que “seja garantida ao titular a possibilidade de atualização,
exatidão, clareza e relevância de seus dados, de acordo com a necessidade e para o cumprimento
da finalidade de seu tratamento” (BRASIL, 2018).
Enquanto com 46,66% de concordância, PRI7 - “princípio da prevenção”, previsto pelo
artigo 6º, inciso VIII, trata da “adoção de medidas para prevenir a ocorrência de danos em
virtude do tratamento de dados pessoais”, como por exemplo, restrições de acessos e
autenticações e adoção de criptografias (BRASIL, 2018).
A análise do “tratamento de dados pessoais” (TRA) abrange a investigação de se a
in
stituição:
image/svg+xml
Jackson Gomes Soares SOUZA; Francisco Rolfsen BELDA e Carlos Hideo ARIMA
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1856-1872, jul./set. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1867
●
TRA 1 – solicita aos titulares ou responsáveis legais seu “consentimento por escrito ou
por algum outro meio que demonstre manifestação de vontade”, caso haja interesse no
tratamento de dados (BRASIL, 2018).
Observa-se que as respostas apresentam certo grau de neutralidade (26,67%) quando
comparado aos demais índices e, conforme também pode ser visualizado na Figura 5, o índice
total de discordância é de 40%, enquanto o total de concordância é de 33,33%.
No que diz respeito aos 40% de discordância, observa-se a necessidade por parte da
instituição em solicitar aos titulares ou responsáveis legais seu consentimento caso haja
interesse no tratamento de dados, indo ao encontro do previsto no artigo 7º da LGPD, inciso I
(BRASIL, 2018). Além deste, há outros nove incisos contendo as hipóteses que devem ser
atendidas para que possa ser realizado o tratamento de dados pessoais (BRASIL, 2018).
Figura 5 –
Representação gráfica das respostas de TRA
Fonte: Resultados da pesquisa
A análise dos “direitos do titular de dados” (DIR) abrange a investigação de se, quando
do término da finalidade específica do tratamento, a instituição garante aos titulares dos dados
o direito de: DIR1 – “Revogação do consentimento”; DIR2 – “Anonimização dos dados
pessoais”; DIR3 – “Bloqueio dos dados pessoais”; DIR4 – “Eliminação dos dados pessoais”
(BRASIL, 2018).
Observa-se pela Figura 6 que as respostas apresentaram uma faixa entre 40% e 60,00%
de neutralidade, podendo indicar a necessidade de atenção aos “direitos do titular de dados”
elencados pela LGPD, em especial ao DIR1 – “direito do titular de revogar seu consentimento”
previsto pelo artigo 18, inciso IX (BRASIL, 2018).
image/svg+xml
Análise de aplicação da LGPD numa instituição pública de ensino: Um estudo de caso
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1856-1872, jul./set. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1868
Figura 6 –
Representação gráfica das respostas de DIR
Fonte: Resultados da pesquisa
Considerações finais
Os resultados e as análises dos dados demonstram a relação entre o contexto
institucional e a investigação das dimensões que tangem fundamentos, princípios, tratamento
de dados pessoais e direitos do titular de dados, remetendo à necessidade de adequações por
parte da instituição que, apesar de adotar uma PoSIC, observa-se que grande parte dos
participantes afirmam não saber dizer que isto ocorre.
Tal afirmação corrobora com o alto grau de discordância quanto à adoção de controles
técnicos, transparência e livre acesso, treinamentos ou eventos que tratem da privacidade,
comunicação e conscientização sobre segurança da informação. A única exceção encontra-se
na adoção de diferentes métodos de autenticação por parte da instituição, o que aprimora
significativamente a segurança quanto aos controles de acesso.
Por sua vez, observa-se pelo mapa de calor da Figura 7 que a análise das dimensões
apresenta certo grau de neutralidade – região central do mapa –, quando comparado aos de
discordância e concordância.
image/svg+xml
Jackson Gomes Soares SOUZA; Francisco Rolfsen BELDA e Carlos Hideo ARIMA
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1856-1872, jul./set. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1869
Figura 7 –
Mapa de calor das respostas das dimensões de proteção de dados pessoais
Fonte: Resultados da pesquisa
As dimensões analisadas abordam elementos obrigatórios da LGPD ao tratar direitos
fundamentais previstos constitucionalmente, como de liberdade, de privacidade, livre
desenvolvimento da personalidade da pessoa natural pela proteção de dados pessoais, assim
como atendimento aos princípios elencados pela lei: finalidade, adequação, necessidade, livre
acesso, qualidade, transparência, segurança, prevenção, não discriminação, responsabilização.
Adicionalmente, quando do tratamento de seus dados pessoais, o consentimento do
titular deve demonstrar sua manifestação de vontade expressa e inequívoca, assim como os
direitos de revogação do consentimento, alteração, anonimização, bloqueio ou eliminação dos
dados pessoais. Deve-se, ainda, assegurar que cada ‘finalidade’ será única, legítima,
especificada, explicita e em ‘adequação’ ao contexto de cada finalidade informada, de modo
que a operação se limite à mínima ‘necessidade’ e permita seu ‘livre acesso’ integral, gratuito
e facilitado, garantindo a ‘qualidade dos dados’ pela sua exatidão, relevância, atualização e
‘transparência’, sem renunciar à adoção de medidas capazes de comprovar a ‘segurança’,
‘prevenção’, ‘não discriminação’, ‘responsabilização e prestação de contas’ por parte do agente
de tratamento.
A Figura 8 representa os elementos aqui discutidos e analisados, ilustrando o fluxo de
proteção de dados pessoais dentro da instituição.
image/svg+xml
Análise de aplicação da LGPD numa instituição pública de ensino: Um estudo de caso
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1856-1872, jul./set. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1870
Figura 8
– Fluxo de proteção de dados pessoais
Fonte: Elaborado pelo autor
As adequações necessárias ao
campus
apresentam-se no relacionamento do contexto
institucional com as dimensões de proteção de dados pessoais previstos pela LGPD,
demonstrando a necessidade de implementação de um programa de governança em privacidade
que vá ao encontro da PoSIC institucional, de forma transparente, com controles técnicos,
treinamentos, comunicações e conscientizações.
Tais medidas consolidam um elo de comprometimento e promovem uma relação de
confiança entre o titular de dados e a instituição, por serem efetivamente integradas, aplicáveis
e adaptativas.
image/svg+xml
Jackson Gomes Soares SOUZA; Francisco Rolfsen BELDA e Carlos Hideo ARIMA
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1856-1872, jul./set. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1871
REFERÊNCIAS
BRASIL.
Lei n. 11.892, de 29 de dezembro 2008
. Institui a Rede Federal de Educação
Profissional, Científica e Tecnológica, cria os Institutos Federais de Educação, Ciência e
Tecnologia, e dá outras providências. Brasília, DF: Presidência da Repúlica, 2008. Disponível
em: https://www.planalto.gov.br/ccivil_03/_ato2007-2010/2008/lei/l11892.htm. Acesso em:
13 dez. 2020.
BRASIL.
Lei n. 13.709, de 14 de agosto de 2018
. Lei Geral de Proteção de Dados Pessoais
(LGPD). Brasília, DF: Presidência da República, 2018. Disponível em:
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm. Acesso
em: 30 ago. 2020.
BRASIL.
Portaria IFSP n. 4296, de 14 de dezembro de 2020
. Aprova a atualização da
Política de Segurança da Informação e Comunicação - PoSIC no âmbito do Instituto Federal
de Educação, Ciência e Educação de São Pauto - IFSP. São Paulo: IFSP, 2020. Disponível
em: https://www.ifsp.edu.br/component/content/article?layout=edit&id=2679. Acesso em: 11
fev. 2022.
BRASIL.
Emenda Constitucional n. 115
. Altera a Constituição Federal para incluir a
proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a
competência privativa da União para legislar sobre proteção e tratamento de dados pessoais.
Brasília, DF: Atos do Congresso Nacional, 2022. Disponível em:
https://in.gov.br/en/web/dou/-/emenda-constitucional-n-115-379516387. Acesso em: 11 fev.
2022.
DAVENPORT, T. H.
Ecologia da informação:
Por que só a tecnologia não basta para o
sucesso na era da informação. São Paulo: Futura, 1998.
LÉVY, P.
A esfera semântica
. São Paulo: Annablume, 2014.
LIKERT, R. A technique for the measurement of attitudes.
Archives of Psychology
, v. 22, n.
140, p. 55, 1932. Disponível em: https://psycnet.apa.org/record/1933-01885-001. Acesso em:
06 nov. 2021.
SOUZA, J. G. S.; ARIMA, C. H.; BELDA, F. R. Análise de tratamento da segurança da
informação na gestão de riscos da governança de tecnologia da informação de uma instituição
de ensino público federal.
Revista Ibero-Americana de Estudos em Educação
, Araraquara,
v. 15, n. 3, p. 1309-1321, jul./set. 2020. Disponível em:
https://periodicos.fclar.unesp.br/iberoamericana/article/view/13584. Acesso em: 18 out. 2021.
STOKES, D. E.
O quadrante de Pasteur
: A ciência básica e a inovação tecnológica.
Campinas: Editora da Unicamp, 2005.
UNIÃO EUROPEIA.
Diretiva n. 95/46/CE, de 24 de outubro de 1995
. Relativa à protecção
das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação
desses dados. Estrasburgo: Parlamento Europeu, 1995. Disponível em: https://eur-
lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:31995L0046&from=EL. Acesso
em: 03 mar. 2021.
image/svg+xml
Análise de aplicação da LGPD numa instituição pública de ensino: Um estudo de caso
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1856-1872, jul./set. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1872
UNIÃO EUROPEIA. Opinion 4/2007 on the concept of personal data.
European
Commission
, 2007. Disponível em: https://ec.europa.eu/justice/article-
29/documentation/opinion-recommendation/files/2007/wp136_en.pdf. Acesso em: 03 mar.
2021.
YIN, R. K.
Estudo de caso
: Planejamento e métodos. 2. ed. Porto Alegre: Bookman, 2001.
Como referenciar este artigo
SOUZA, J. G. S; BELDA, F. R.; ARIMA, C. H. Análise de aplicação da LGPD numa
instituição pública de ensino: Um estudo de caso.
Revista Ibero-Americana de Estudos em
Educação
, Araraquara, v. 17, n. 3, p. 1856-1872, jul./set. 2022. e-ISSN: 1982-5587. DOI:
https://doi.org/10.21723/riaee.v17i3.16789
Submetido em
:
18/02/2022
Revisões requeridas em
: 27/03/2022
Aprovado em
: 10/05/2022
Publicado em
: 01/07/2022
Processamento e editoração: Editora Ibero-Americana de Educação.
Revisão, formatação, normalização e tradução.
image/svg+xml
Análisis de aplicación de la LGPD en una institución educativa pública: Un estudio de caso
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p.
1864-1880, jul./sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1864
ANÁLISIS DE APLICACIÓN DE LA LGPD EN UNA INSTITUCIÓN EDUCATIVA
PÚBLICA: UN ESTUDIO DE CASO
ANÁLISE DE APLICAÇÃO DA LGPD NUMA INSTITUIÇÃO PÚBLICA DE ENSINO:
UM ESTUDO DE CASO
GDPR APPLICATION ANALYSIS IN A PUBLIC EDUCATIONAL INSTITUTION: A
CASE STUDY
Jackson Gomes Soares SOUZA
1
Francisco Rolfsen BELDA
2
Carlos Hideo ARIMA
3
RESUMEN
: La intensificación en la recolección, almacenamiento y procesamiento de datos
por las instituciones llama la atención acerca de la protección de datos personales. Esta
investigación básica aplicada tiene como objetivo verificar, por un estudio de caso, la
conformidad entre los instrumentos normativos de protección de datos personales adoptados
por una institución de educación tecnológica pública y el establecido por la Ley General de
Protección de Datos (LGPD). Las respuestas obtenidas a partir de un cuestionario estructurado
fueron tabuladas y procesadas, evidenciando la relación entre el contexto institucional y las
dimensiones analizadas para la implementación de protocolos y buenas prácticas. De acuerdo
con los resultados, se considera la necesidad de implementar un programa de gobernanza y
privacidad que cumpla con las políticas institucionales.
PALABRAS CLAVE
: Ley General de Protección de Datos Personales. LGPD. Ambientes de
enseñanza.
RESUMO
: A intensificação na coleta, armazenamento e tratamento de dados pelas instituições
traz atenção quanto à proteção de dados pessoais. Esta pesquisa básica aplicada visa verificar,
por meio de um estudo de caso, a conformidade entre instrumentos normativos de proteção de
dados pessoais adotados por instituição pública de ensino tecnológico e o estabelecido pela
Lei Geral de Proteção de Dados Pessoais (LGPD). As respostas coletadas pelo questionário
estruturado foram tabuladas e tratadas, demonstrando a relação entre contexto institucional e
as dimensões analisadas para a implementação de protocolos e das boas práticas. Conforme
os resultados, considera-se a necessidade de implementação de um programa de governança
em privacidade que vá ao encontro das políticas institucionais.
1
Instituto Federal de Educación, Ciencia y Tecnología de São Paulo (IFSP), Campinas - SP - Brasil. Maestro.
Estudiante de Doctorado en Educación Escolar (UNESP). ORCID: https://orcid.org/0000-0003-4952-8618. E-
mail: jackson@ifsp.edu.br
2
Universidad Estatal Paulista (UNESP), Bauru - SP - Brasil. Profesor del Departamento de Comunicación Social.
Doctorado en Ingeniería de Producción (EESC-USP). ORCID: https://orcid.org/0000-0001-6350-7026. E-mail:
belda@faac.unesp.br
3
Centro Estatal de Educación Tecnológica Paula Souza (CEETEPS), São Paulo - SP - Brasil. Profesor del
Programa de Maestría Profesional en Gestión y Tecnología en Sistemas Productivos e Investigador de la Unidad
de Posgrado, Extensión e Investigación del Centro Paula Souza. Doctorado en Contraloría y Contabilidad (USP).
ORCID: https://orcid.org/0000-0001-7922-0943. E-mail: charima@uol.com.br
image/svg+xml
Jackson Gomes Soares SOUZA; Francisco Rolfsen BELDA y Carlos Hideo ARIMA
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p.
1864-1880, jul./sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1865
PALAVRAS-CHAVE
: Lei Geral de Proteção de Dados Pessoais. LGPD. Ambientes para
ensino.
ABSTRACT
: The intensification of data collection, storage and processing by institutions calls
attention to personal data protection. This basic applied research aims to verify, through a case
study, the compliance between a public institution of technological education’s data protection
regulation instruments and the addressed by the General Data Protection Law (GDPR). The
answers were collected by a structured questionnaire, being subsequently tabulated and
processed. The results demonstrate the relationship between the institutional context and
dimensions analyzed for the implementation of protocols, good practices and a privacy
governance program that meets institutional policies.
KEYWORDS
: General Data Protection Regulation. GDPR. Learning environments.
Introducción
Según Davenport (1998, p. 18), "los datos son simples observaciones sobre el estado del
mundo" y tienen como características: "fácilmente estructurados, obtenidos por máquinas, a
menudo cuantificados y fácilmente transferibles", mientras que la información sería un
conjunto de "datos dotados de relevancia y propósito", requiriendo "unidad de análisis,
consenso en relación con el significado y, necesariamente, mediación humana". Dicha
mediación puede presentarse por la "interacción entre humanos y sistemas, trayendo consigo
conceptos como la seguridad de la información y la privacidad involucradas en este proceso"
(SOUZA; ARIMA; BELDA, 2020, p. 1310).
Estamos rodeados de diversas tecnologías, por lo que el uso de medios digitales para los
procesos de enseñanza y aprendizaje está directamente relacionado con el tratamiento de los
datos almacenados y utilizados por las instituciones, y estas deben adoptar políticas de
protección de datos e información personal basadas en una legislación específica.
La Ley General de Protección de Datos Personales (LGPD), Ley No. 13.709, del 14 de
agosto de 2018 (BRASIL, 2018):
Prevé el tratamiento de datos personales, también en medios digitales, por una
persona física o por una entidad jurídica de Derecho público o privado, con el
objetivo de proteger los derechos fundamentales de libertad y privacidad y el
libre desarrollo de la personalidad de la persona física.
Con la promulgación de la Enmienda Constitucional No. 115 (EC115), publicado el 11
de febrero de 2022 en la Sección 1, Número 30, Página 2 del Boletín Oficial, la Constitución
Federal de Brasil de 1988 ahora contempla la lista de derechos y garantías fundamentales de
image/svg+xml
Análisis de aplicación de la LGPD en una institución educativa pública: Un estudio de caso
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p.
1864-1880, jul./sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1866
protección de datos, estableciendo la competencia de las entidades federativas para legislar
sobre el tema (BRASIL, 2022).
La Ley No. 11.892, de 29 de diciembre de 2008 (BRASIL, 2008), además de otras
medidas, establece que:
Los Institutos Federales son instituciones de educación superior, básica y
profesional, pluricurricular y
multicampamento
, especializadas en la provisión
de educación profesional y tecnológica en las diferentes modalidades de
enseñanza, basadas en la combinación de conocimientos técnicos y
tecnológicos con sus prácticas pedagógicas, de conformidad con esta Ley.
En este sentido, esta investigación tiene como objetivo estudiar los instrumentos
normativos de protección de datos personales adoptados en una institución pública de educación
tecnológica y los resultados
actuales
para el desarrollo de políticas y procedimientos en uno de
sus
campus
.
Fundamento teórico
Según Pierre Lévy (2014, p. 23), "todavía no sabemos transformar sistemáticamente los
datos en conocimiento", trayendo la reflexión sobre una "memoria digital participativa, en
proceso de constitución, común a toda la humanidad para resolver este problema de
interoperabilidad semántica".
En este sentido, el autor establece una unidad de la naturaleza basada en la noción de
información, abordando una imagen sintética de la naturaleza informativa y su concepto
científico, concibiendo la naturaleza de la información en capas sucesivas: de los quarks a los
átomos, de las moléculas a los organismos, de los sistemas nerviosos a los fenómenos y de los
símbolos a los conceptos (LÉVY, 2014). Una posible interpretación sería que los datos serían
equivalentes a símbolos, aunque no modalizados, pero no sin sentido.
El 24 de octubre de 1995, el Parlamento Europeo y el Consejo de la Unión Europea
publicaron en el Diario Oficial No. L 281 de 23/11/1995, páginas 31 a 50, "Directiva 95/46/CE
relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos" (UE, 1995).
El artículo 29 de la Directiva 95/46/CE estableció la creación del "grupo de protección
personal en lo que respecta al tratamiento de datos personales", de carácter consultivo e
independiente, el “
Article 29 Working Party (WP29)”
, O el Grupo de Trabajo del Artículo 29
(GT29). También trae la definición de datos personales fragmentándolos en 4 (cuatro) pilares
o elementos principales:
image/svg+xml
Jackson Gomes Soares SOUZA; Francisco Rolfsen BELDA y Carlos Hideo ARIMA
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p.
1864-1880, jul./sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1867
[...] «cualquier información», «relativa a», «persona física», «identificada o
identificable». Los cuatro pilares están estrechamente relacionados y se basan
entre sí, determinando conjuntamente si la información se considerará o no
como datos personales [...] (UE, 2007, p. 6, grifo del autor).
En Brasil, la LGPD, además de traer una definición similar de datos personales, regula
en sus 10 (diez) capítulos:
«Disposiciones generales»; «tratamiento de datos personales»; «derechos del
titular»; «tratamiento de datos personales por parte de las autoridades
públicas»; «transferencia internacional de datos»; «agentes del tratamiento de
datos personales»; «seguridad y buenas prácticas»; «supervisión»; 'Autoridad
Nacional de Protección de Datos (ANPD) y Consejo Nacional de Protección
de Datos Personales y Privacidad' y 'disposiciones finales y transitorias'
(BRASIL, 2018).
El artículo 6 de la LGPD establece, entre otros, principios a observar, de manera que las
políticas de tratamiento adoptadas permitan a los usuarios conocer las formas en que se
utilizarán sus datos, permitiendo evitar o reducir la recopilación y uso de su información por
parte de terceros. Para aplicar los conceptos, se resumieron los principales elementos en
dimensiones, según la Tabla 1.
Tabla 1
- Dimensiones de la protección de datos personales
1.
Fundamentos (FUN)
: Preocupación por la "protección de los datos personales cuando se procesan,
incluso en medios digitales, con el objetivo de proteger los derechos fundamentales de libertad,
privacidad y libre desarrollo de la personalidad de la persona física" (BRASIL, 2018, s/p [web]).
2.
Principios (PRI)
: Cumplimiento de los principios de "propósito, adecuación, necesidad, libre acceso,
calidad de datos, transparencia, seguridad, prevención, no discriminación, r
endición de cuentas y
rendición de cuentas" (BRASIL, 2018, s/p [web]).
3.
Tratamiento de datos personales (TRA):
"Toda operación realizada con datos personales", siendo
indispensable el consentimiento del titular "por escrito o por otro medio que demuestre la
manifestación de voluntad" "libre e inequívoco" (BRASIL, 2018, s/p [web]).
4.
Derechos del titular (DIR):
El derecho a "revocar el consentimiento", "actualizar", "anonimizar",
"bloquear" o "eliminar" los datos personales del interesado (BRASIL, 2018, s/p [web]).
Fuente: Adaptado por autores a partir de la LGPD (BRASIL, 2018)
El capítulo 4 de la LGPD regula el tratamiento por parte de las autoridades públicas,
incluyendo hacer referencia directa en el caput del artículo 23 a la Ley N° 12.527 de 18 de
noviembre de 2011, también conocida como Ley de Acceso a la Información (LAI), y debe
"[...] llevarse a cabo para cumplir con su propósito público, en pos del interés público, con el
image/svg+xml
Análisis de aplicación de la LGPD en una institución educativa pública: Un estudio de caso
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p.
1864-1880, jul./sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1868
objetivo de ejecutar competencias legales o cumplir con los deberes legales del servicio
público" (BRASIL, 2018).
Además, el artículo 50 hace referencias directas, en sus tres apartados, a los principios
enumerados en el artículo 6, como la finalidad, la calidad, la seguridad, la prevención y la
rendición de cuentas.
Procedimientos metodológicos
Según la clasificación de investigación realizada por el politólogo Donald Stokes, se
trata de una investigación básica-aplicada, impulsada por la curiosidad investigativa sobre
fenómenos particulares, no necesariamente dirigida a "objetivos explicativos generales o
cualquier uso práctico al que se destinen sus resultados" (STOKES, 2005, p. 119).
Según Yin (2001, p. 11 y 47), el estudio de caso es una investigación empírica centrada
en "fenómenos contemporáneos insertados en algún contexto de la vida real", teniendo como
requisito previo la sistematización de procedimientos a través de protocolos.
Este estudio cubre el "
campus
Campinas vinculado al Instituto Federal de Educación,
Ciencia y Tecnología de São Paulo - IFSP" y, por tratarse de un solo estudio de caso, los datos
recolectados y su consecuente análisis no permitirán la generalización de los resultados
(BRASIL, 2018). Para la recopilación de datos, se adopta un cuestionario digital estructurado
como instrumento en la plataforma Google
Forms
. También cuenta con la participación
voluntaria de 80 profesores y directivos inscritos en el "Sistema Unificado de Administración
Pública" (SUAP) del
campus
, y se recogieron un total de 15 respuestas.
Según Likert (1932), los estudios que involucran declaraciones de opinión y actitud se
consideran un método indirecto para evaluar disposiciones que se significan y expresan más
fácilmente en forma verbal y, en consecuencia, se pueden agrupar en patrones. Por ello, se
utilizará la escala Likert, en la que las respuestas obtenidas emiten el grado de acuerdo de los
participantes con la frase, contemplando niveles del 1 al 5 de la escala, clasificados
respectivamente como: "Totalmente en desacuerdo", "En desacuerdo", "Neutral", "Estoy de
acuerdo" y "Estoy totalmente de acuerdo".
Con respecto a la investigación de los instrumentos normativos adoptados por el IFSP
en cumplimiento de los requisitos abordados en la LGPD, la investigación documental de este
estudio incluye el Estatuto de la institución y las Ordenanzas más recientes, que aprueban el
Reglamento Interno del Comité de Gobernanza Digital y que actualizan la "Política de
image/svg+xml
Jackson Gomes Soares SOUZA; Francisco Rolfsen BELDA y Carlos Hideo ARIMA
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p.
1864-1880, jul./sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1869
Seguridad de la Información y la Comunicación - PoSIC”, así como la "Política de Protección
de Datos Personales" (BRASIL, 2020).
Análisis de datos
La interpretación de los resultados inicialmente se basará en la siguiente estructura: PDP
- Perfil de los Participantes y CDI - Contexto de la institución.
Las dimensiones de protección de datos personales se investigarán a continuación:
•
FUN - Fundamentos de la protección de datos personales;
•
PRI - Principios de protección de datos personales;
•
TRA - Tratamiento de datos personales;
•
DIR - Derechos del titular de los datos personales.
La muestra tiene 15 respuestas recogidas. El perfil de los participantes se caracteriza
según el grupo de edad, la escolaridad, el tiempo en la institución y si la persona participante
ocupa actualmente un puesto directivo, según la Tabla 2.
Tabla 2 -
Perfil de los participantes
Docentes
Grupo de
edad
Escolarización
Tiempo de la institución
Director
D1
30 a 39 años
Maestros
entre 4 y 10 años
No
D2
50 a 59 años
Doctorado
entre 4 y 10 años
No
D3
30 a 39 años
Maestros
entre 4 y 10 años
No
D4
30 a 39 años
Maestros
entre 10 y 20 años
No
D5
50 a
59 años
Doctorado
Más de 20 años
Sí
D6
40 a 49 años
Doctorado
entre 4 y 10 años
Sí
D7
60 a 69 años
Doctorado
entre 4 y 10 años
No
D8
50 a 59 años
Maestros
entre 4 y 10 años
No
D9
30 a 39 años
Doctorado
entre 4 y 10 años
Sí
D10
40 a 49 años
Doctorado
entre 4 y 10 años
Sí
D11
50 a 59 años
Doctorado
entre 4 y 10 años
No
D12
50 a 59 años
Doctorado
entre 4 y 10 años
No
D13
40 a 49 años
Maestros
entre 4 y 10 años
No
D14
30 a 39 años
Maestros
entre 4 y 10 años
No
D15
18 a 29 años
Maestros
entre 4 y 10 años
No
Fuente: Resultados de la búsqueda
El perfil del participante cambia según el nivel de educación que tenga, y se observa que
solo dos grupos de edad comprenden el 64% de los docentes, que tienen entre 30 y 39 años y
entre 50 y 59 años; mientras que en el primer rango la mayor concentración es la de maestrías,
en el segundo, la mayoría tiene doctorados.
El análisis del contexto de la institución (CDI) abarca la investigación de:
image/svg+xml
Análisis de aplicación de la LGPD en una institución educativa pública: Un estudio de caso
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p.
1864-1880, jul./sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1870
•
CDI1 – Adopción de una Política de Seguridad de la Información y las
Comunicaciones (PoSIC) suficientemente esclarecedora por parte de la institución;
•
CDI2 - Controles técnicos de protección de los datos personales almacenados;
•
CDI3 - Transparencia y libre acceso a la información y datos personales
almacenados;
•
CDI4 - Capacitación o eventos que cubren la privacidad y protección de datos
personales y operativos;
•
CDI5 - Adopción de diferentes métodos de autenticación;
•
CDI6 - Comunicación, a través de avisos, sobre privacidad y protección de datos
personales;
•
CDI7 - Conciencia de seguridad de la información;
•
CDI8 - Sensibilización sobre la protección de la información confidencial en
formato electrónico.
Inicialmente, la ciencia de los resultados con respecto a la adopción de una Política de
Seguridad de la Información y las Comunicaciones (PoSIC) suficientemente esclarecedora por
parte de la institución, abordada por el elemento CDI1, aportará evidencia de posibles
respuestas neutrales en las declaraciones sobre el contexto de la institución.
Como también se puede observar en la Figura 1, el 40% de los participantes está de
acuerdo en que la institución adopta un PoSIC; sin embargo, el 26,67% dice desconocer su
contenido, y el 13,33% que su contenido no es lo suficientemente esclarecedor.
A pesar de que el 60% de los participantes no puede decir si la institución adopta un
PoSIC, una inferencia prematura de este fenómeno podría cuestionar su nivel de familiaridad
con el tema abordado. Sin embargo, los participantes añaden en sus respuestas que "en la
institución los servidores saben poco sobre la LGPD, y no hay medidas institucionales
adoptadas para la protección de datos, estando a cargo del sentido común de la protección de
datos del servidor", y aún "sin tener ningún conocimiento sobre protección de datos en nuestra
institución".
image/svg+xml
Jackson Gomes Soares SOUZA; Francisco Rolfsen BELDA y Carlos Hideo ARIMA
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p.
1864-1880, jul./sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1871
Figura 1 -
Representación gráfica de las respuestas CDI1
Fuente: Resultados de la búsqueda
Para un análisis adecuado, los factores relacionados con este punto se investigan con
mayor profundidad tanto en los siguientes elementos de la CDI como en los análisis de las
dimensiones de protección de datos personales.
En secuencia, se observa de la Figura 2 que el único aspecto que presentó un alto grado
de acuerdo (67%) fue CDI5, que se refiere al hecho de que la institución adopta, para el acceso
de los usuarios a los sistemas, diferentes métodos de autenticación, como usuario y contraseña,
biometría, tokens por aplicaciones.
Las otras respuestas presentan un alto grado de desacuerdo, y se pueden dividir en dos
grupos, uno con un 80% de desacuerdo y el otro con un 60% de desacuerdo. Con un 80% son
CDI4, CDI7 y CDI8, cuando abordan aspectos relacionados con la realización de capacitaciones
o eventos que se ocupan de la privacidad y protección de datos personales; a la ciencia del
contexto de la seguridad de la información; y cómo proteger la información sensible en formato
electrónico.
Luego, con un 60% de desacuerdo, están CDI2, CDI3 y CDI6, cuando se trata de
aspectos institucionales respecto a la implementación de controles técnicos para proteger los
datos personales almacenados en sus sistemas; se ofrece a los interesados transparencia y libre
acceso a la información y los datos personales almacenados en sus sistemas; y la comunicación
de cuestiones relacionadas con la privacidad y la protección de datos.
image/svg+xml
Análisis de aplicación de la LGPD en una institución educativa pública: Un estudio de caso
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p.
1864-1880, jul./sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1872
Figura 2 -
Representación gráfica de las respuestas de CDI2 a CDI8
Fuente: Resultados de la búsqueda
También es destacable el hecho de que CDI2, CDI3 y CDI5 presentan un cierto grado
de neutralidad en relación con los otros aspectos analizados, especialmente el 33% de CDI3,
cuando se trata de transparencia y libre acceso a la información, lo que indica una posible
relación de los índices aquí analizados con el fenómeno observado en CDI1.
El análisis de las dimensiones de protección de datos personales incluirá los
Fundamentos (FUN), Principios (PRI), Tratamiento (TRA) y Derechos del Titular (DIR).
Con respecto a los motivos de protección de datos personales (FUN), las disposiciones
del artículo 1 de la LGPD se basan en las disposiciones del artículo 1 de la LGPD, estableciendo
que la institución, en sus diversas actividades, debe preocuparse por la "protección de los datos
personales cuando se procesan", "incluso en los medios digitales, con el objetivo de proteger
los derechos fundamentales de libertad, privacidad y el libre desarrollo de la personalidad de la
persona física" (BRASIL, 2018).
Figura 3 -
Representación gráfica de las respuestas de FUN1
Fuente: Resultados de la búsqueda
image/svg+xml
Jackson Gomes Soares SOUZA; Francisco Rolfsen BELDA y Carlos Hideo ARIMA
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p.
1864-1880, jul./sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1873
Según la Figura 3, se observa que, a pesar del 40% de acuerdo por parte de los
encuestados, existe un alto grado (33%) de neutralidad en comparación con el total y, además,
aproximadamente un 27% de desacuerdo, lo que trae resultados divergentes y no concluyentes.
El análisis de los principios de protección de datos personales (PRI) abarca la
investigación de si, durante el proceso de recopilación y procesamiento de datos personales, la
institución informa a sus titulares:
•
PRI1 – "Finalidad(es) específica(s) del uso de estos datos" (BRASIL, 2018);
•
PRI2 - "El nivel de compromiso para cumplir con el propósito (s) informado
(BRASIL, 2018);
•
PRI3 – "Se permite la consulta libre y fácil sobre la forma y la duración del
procesamiento, así como la integridad de sus datos personales" (BRASIL, 2018);
•
PRI4 - "Si permite la actualización de sus datos" (BRASIL, 2018);
•
PRI5 – "Si proporciona accesibilidad y claridad de la información sobre el
desempeño del tratamiento" (BRASIL, 2018);
•
PRI6 – "Si utiliza medidas técnicas y administrativas capaces de proteger los datos
personales del acceso no autorizado y situaciones accidentales o ilegales de
destrucción, pérdida, alteración, comunicación" (BRASIL, 2018);
•
PRI7 – "Se utilizan medidas para prevenir la ocurrencia de daños debidos al
procesamiento de datos personales", tales como restricciones de acceso y
autenticación, adopción de encriptaciones (BRASIL, 2018);
•
PRI8 – "Será imposible llevar a cabo el procesamiento con fines discriminatorios,
ilegales o abusivos", desde la recopilación hasta su uso, modificación, difusión y
eliminación de datos (BRASIL, 2018);
•
PRI9 – "Se adoptará el cumplimiento de las normas de protección de datos
personales, asumiendo la responsabilidad de la efectividad de estas medidas"
(BRASIL, 2018).
La Figura 4 muestra que las respuestas presentaron un rango entre 20% y 46.67% de
neutralidad, y pueden indicar la necesidad de prestar atención a los principios enumerados por
la LGPD, en particular el PRI6 - principio de seguridad, previsto en el Artículo 6, punto VII,
que trata del uso por parte de la institución de "medidas técnicas y administrativas capaces de
proteger datos personales" (BRASIL, 2018).
image/svg+xml
Análisis de aplicación de la LGPD en una institución educativa pública: Un estudio de caso
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p.
1864-1880, jul./sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1874
Figura 4 -
Representación gráfica de las respuestas PRI
Fuente: Resultados de la búsqueda
Aun analizando las respuestas con alto índice de neutralidad en comparación con las
tasas de acuerdo y desacuerdo, PRI8 - "principio de no discriminación", previsto en el artículo
6, punto IX, a pesar del acuerdo de 33.33%, presenta un grado aún mayor (40%) de neutralidad,
hecho que se asocia con 26.67% de desacuerdo cuando se trata de la adopción de medidas por
parte de la institución que imposibilitan "realizar un trato con fines discriminatorios, desde la
recopilación hasta su uso, modificación, difusión y eliminación de datos (BRASIL, 2018).
En este mismo intervalo de neutralidad del 40%, PRI5 - "principio de transparencia",
previsto en el artículo 6, punto VI, también presenta un 40% de desacuerdo y atención a posibles
ajustes por parte de la institución con respecto a la garantía, a los titulares, de accesibilidad y
claridad de la información sobre el "desempeño del tratamiento y los respectivos agentes
responsables" del procesamiento de datos (BRASIL, 2018).
Situación similar ocurre con PRI3 - "principio de libre acceso", previsto en el artículo
6, punto IV, que establece que la institución garantiza a los titulares "consultas facilitadas y
gratuitas sobre la forma y duración del procesamiento, así como sobre la integridad de sus datos
personales" (BRASIL, 2018).
El principio PRI9 - "principio de rendición de cuentas y rendición de cuentas",
enumerado por el artículo 6, punto X, presenta tasas iguales de 33,33% por desacuerdo,
neutralidad y acuerdo al abordar la adopción de medidas de "cumplimiento y cumplimiento de
las normas de protección de datos personales, siendo responsable de la efectividad de estas
medidas" (BRASIL, 2018).
image/svg+xml
Jackson Gomes Soares SOUZA; Francisco Rolfsen BELDA y Carlos Hideo ARIMA
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p.
1864-1880, jul./sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1875
El mayor grado de desacuerdo se da en PRI1 y PRI2, con un índice de 53,33%. PRI1 -
"principio de finalidad", previsto en el artículo 6, inciso I, establece que el "tratamiento es para
fines legítimos, específicos, explícitos e informados para el titular, sin posibilidad de
tratamiento adicional de manera incompatible con estos fines" (BRASIL, 2018).
En el mismo contexto, PRI2 - "principios de adecuación y necesidad", previstos en el
Artículo 6, puntos II y III, tratan del "nivel de compromiso para cumplir con los fines del
procesamiento de datos informados al titular, limitando el tratamiento al mínimo necesario"
(BRASIL, 2018).
PRI4 y PRI7 fueron los únicos elementos que presentaron un mayor grado de acuerdo
que los demás. Con un acuerdo del 53,33%, PRI4 - "principio de calidad", previsto en el artículo
6, inciso V, establece que "se garantiza al titular la posibilidad de actualización, exactitud,
claridad y pertinencia de sus datos, de acuerdo con la necesidad y para el cumplimiento de la
finalidad de su tratamiento" (BRASIL, 2018).
Mientras que con un 46,66% de acuerdo, PRI7 - "principio de prevención", previsto en
el artículo 6, punto VIII, se ocupa de la "adopción de medidas para prevenir la ocurrencia de
daños debidos al procesamiento de datos personales", como las restricciones de acceso y
autenticación y la adopción de cifrado (BRASIL, 2018).
El análisis del "procesamiento de datos personales" (TRA) abarca la investigación de si
la institución:
•
TRA 1 – solicita a los titulares legales o tutores su "consentimiento por escrito o
por cualquier otro medio que demuestre voluntad" si existe un interés en el
procesamiento de datos (BRASIL, 2018).
Se observa que las respuestas presentan un cierto grado de neutralidad (26,67%) en
comparación con los otros índices y, como también se puede ver en la Figura 5, el índice
discordante total es del 40%, mientras que el acuerdo total es del 33,33%.
Con respecto al 40% de desacuerdo, se observa la necesidad por parte de la institución
de solicitar a los titulares o tutores legales su consentimiento si existe interés en el tratamiento
de datos, de acuerdo con lo dispuesto en el artículo 7 de la LGPD, punto I (BRASIL, 2018).
Además de esto, hay otros nueve elementos que contienen las hipótesis que deben cumplirse
para que se pueda realizar el procesamiento de datos personales (BRASIL, 2018).
Figura 5 -
Representación gráfica de las respuestas TRA
image/svg+xml
Análisis de aplicación de la LGPD en una institución educativa pública: Un estudio de caso
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p.
1864-1880, jul./sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1876
Fuente: Resultados de la búsqueda
El análisis de los "derechos del interesado" (DIR) abarca la investigación de si, al final
del propósito específico del procesamiento, la institución garantiza a los interesados el derecho
a: DIR1 – "Retiro del consentimiento"; DIR2 - "Anonimización de datos personales"; DIR3 -
"Bloqueo de datos personales"; DIR4 - "Eliminación de datos personales" (BRASIL, 2018).
Se observa en la Figura 6 que las respuestas presentaron un rango entre 40% y 60.00%
de neutralidad, lo que puede indicar la necesidad de prestar atención a los "derechos del
interesado" enumerados por la LGPD, especialmente el DIR1 – "derecho del titular a revocar
su consentimiento" previsto en el Artículo 18, punto IX (BRASIL, 2018).
Figura 6 -
Representación gráfica de las respuestas de DIR
Fuente: Resultados de la búsqueda
Consideraciones finales
Los resultados y análisis de los datos demuestran la relación entre el contexto
institucional y la investigación de las dimensiones que atañen a fundamentos, principios,
tratamiento de datos personales y derechos del interesado, haciendo referencia a la necesidad
image/svg+xml
Jackson Gomes Soares SOUZA; Francisco Rolfsen BELDA y Carlos Hideo ARIMA
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p.
1864-1880, jul./sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1877
de adaptaciones por parte de la institución que, a pesar de adoptar un PoSIC, se observa que
gran parte de los participantes afirman no saber decir que esto ocurre.
Esta afirmación corrobora el alto grado de desacuerdo respecto a la adopción de
controles técnicos, transparencia y libre acceso, capacitación o eventos que se ocupen de la
privacidad, la comunicación y la concientización sobre la seguridad de la información. La única
excepción radica en la adopción por parte de la institución de diferentes métodos de
autenticación, lo que mejora significativamente la seguridad de los controles de acceso.
A su vez, se observa a través del mapa de calor de la Figura 7 que el análisis de las
dimensiones presenta un cierto grado de neutralidad -la región central del mapa- en
comparación con las de desacuerdo y acuerdo.
Figura 7 -
Mapa
de calor de las respuestas a las dimensiones de protección de datos
personales
Fuente: Resultados de la búsqueda
Las dimensiones analizadas abordan elementos obligatorios de la LGPD cuando se trata
de derechos fundamentales previstos constitucionalmente, como la libertad, la privacidad, el
libre desarrollo de la personalidad de la persona física para la protección de datos personales,
así como el cumplimiento de los principios enumerados por la ley: finalidad, adecuación,
necesidad, libre acceso, calidad, transparencia, seguridad, prevención, no discriminación,
rendición de cuentas.
image/svg+xml
Análisis de aplicación de la LGPD en una institución educativa pública: Un estudio de caso
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p.
1864-1880, jul./sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1878
Además, al tratar sus datos personales, el consentimiento del titular deberá demostrar su
expresión expresa e inequívoca de voluntad, así como los derechos a revocar el consentimiento,
alteración, anonimización, bloqueo o supresión de los datos personales. Asimismo, debe
garantizarse que cada «finalidad» sea única, legítima, especificada, explícita y «adecuada» al
contexto de cada finalidad informada, de modo que la operación se limite a la más mínima
«necesidad» y permita su «libre acceso» de forma completa, gratuita y facilitada, garantizando
la «calidad de los datos» por su exactitud, pertinencia, actualización y «transparencia», sin
renunciar a la adopción de medidas capaces de demostrar la «seguridad». «prevención», «no
discriminación», «rendición de cuentas y rendición de cuentas» por parte del agente de
tratamiento.
La Figura 8 representa los elementos discutidos y analizados aquí, ilustrando el flujo de
protección de datos personales dentro de la institución.
Figura 8
- Flujo de protección de datos personales
Fuente: Elaboración propia
Las adaptaciones necesarias al
campus
se presentan en la relación del contexto
institucional con las dimensiones de protección de datos personales proporcionadas por la
LGPD, demostrando la necesidad de implementar un programa de gobernanza de la privacidad
que cumpla con el PoSIC institucional, de manera transparente, con controles técnicos,
capacitación, comunicaciones y sensibilización.
image/svg+xml
Jackson Gomes Soares SOUZA; Francisco Rolfsen BELDA y Carlos Hideo ARIMA
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p.
1864-1880, jul./sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1879
Tales medidas consolidan un vínculo de compromiso y promueven una relación de
confianza entre el interesado y la institución, porque son efectivamente integradas, aplicables y
adaptativas.
REFERENCIAS
BRASIL.
Lei n. 11.892, de 29 de dezembro 2008
. Institui a Rede Federal de Educação
Profissional, Científica e Tecnológica, cria os Institutos Federais de Educação, Ciência e
Tecnologia, e dá outras providências. Brasília, DF: Presidência da Repúlica, 2008. Disponible
en: https://www.planalto.gov.br/ccivil_03/_ato2007-2010/2008/lei/l11892.htm. Acceso en: 13
dic. 2020.
BRASIL.
Lei n. 13.709, de 14 de agosto de 2018
. Lei Geral de Proteção de Dados Pessoais
(LGPD). Brasília, DF: Presidência da República, 2018. Disponible en:
www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm http://.
Acceso em: 30 agosto 2020.
BRASIL.
Portaria IFSP n. 4296, de 14 de dezembro de 2020
. Aprova a atualização da
Política de Segurança da Informação e Comunicação - PoSIC no âmbito do Instituto Federal
de Educação, Ciência e Educação de São Pauto - IFSP. São Paulo: IFSP, 2020. Disponible en:
https://www.ifsp.edu.br/component/content/article?layout=edit&id=2679. Acceso: 11 feb.
2022.
BRASIL.
Emenda Constitucional n. 115
. Altera a Constituição Federal para incluir a
proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a
competência privativa da União para legislar sobre proteção e tratamento de dados pessoais.
Brasília, DF: Atos do Congresso Nacional, 2022. Disponible en:
https://in.gov.br/en/web/dou/-/emenda-constitucional-n-115-379516387. Acceso: 11 feb.
2022.
DAVENPORT, T. H.
Ecologia da informação:
Por que só a tecnologia não basta para o
sucesso na era da informação. São Paulo: Futura, 1998.
LÉVY, P.
A esfera semântica
. São Paulo: Annablume, 2014.
LIKERT, R. A technique for the measurement of attitudes.
Archives of Psychology
, v. 22, n.
140, p. 55, 1932. Disponible en: https://psycnet.apa.org/record/1933-01885-001. Acceso: 06
nov. 2021.
SOUZA, J. G. S.; ARIMA, C. H.; BELDA, F. R. Análise de tratamento da segurança da
informação na gestão de riscos da governança de tecnologia da informação de uma instituição
de ensino público federal.
Revista Ibero-Americana de Estudos em Educação
, Araraquara,
v. 15, n. 3, p. 1309-1321, jul./set. 2020. Disponible en:
https://periodicos.fclar.unesp.br/iberoamericana/article/view/13584. Acceso: 18 oct. 2021.
STOKES, D. E.
O quadrante de Pasteur
: A ciência básica e a inovação tecnológica.
Campinas: Editora da Unicamp, 2005.
image/svg+xml
Análisis de aplicación de la LGPD en una institución educativa pública: Un estudio de caso
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p.
1864-1880, jul./sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1880
UNIÃO EUROPEIA.
Diretiva n. 95/46/CE, de 24 de outubro de 1995
. Relativa à protecção
das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação
desses dados. Estrasburgo: Parlamento Europeu, 1995. Disponible en: https://eur-
lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:31995L0046&from=EL. Acceso
em: 03 marzo 2021.
UNIÃO EUROPEIA. Opinion 4/2007 on the concept of personal data.
European
Commission
, 2007. Disponible en: https://ec.europa.eu/justice/article-
29/documentation/opinion-recommendation/files/2007/wp136_en.pdf. Acceso el: 03 marzo
2021.
YIN, R. K.
Estudo de caso
: Planejamento e métodos. 2. ed. Porto Alegre: Bookman, 2001.
Cómo hacer referencia a este artículo
SOUZA, J. G. S; BELDA, F. R.; ARIMA, C. H. Análisis de aplicación de la LGPD en una
institución educativa pública: Un estudio de caso.
Revista Ibero-Americana de Estudos em
Educação
, Araraquara, v. 17, n. 3, p. 1864-1880, jul./sept. 2022. e-ISSN: 1982-5587. DOI:
https://doi.org/10.21723/riaee.v17i3.16789
Enviado en
:
18/02/2022
Revisiones requeridas en
:27/03/2022
Aprobado en
: 10/05/2022
Publicado en
:01/07/2022
Procesamiento y edición:
Editora Ibero-Americana de Educação
.
Corrección, formateo, normalización y traducción.
image/svg+xml
GDPR application analysis in a public educational institution: A case study
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1855-1871, July/Sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1855
GDPR APPLICATION ANALYSIS IN A PUBLIC EDUCATIONAL INSTITUTION: A
CASE STUDY
ANÁLISE DE APLICAÇÃO DA LGPD NUMA INSTITUIÇÃO PÚBLICA DE
ENSINO: UM ESTUDO DE CASO
ANÁLISIS DE APLICACIÓN DE LA LGPD EN UNA INSTITUCIÓN EDUCATIVA
PÚBLICA: UN ESTUDIO DE CASO
Jackson Gomes Soares SOUZA
1
Francisco Rolfsen BELDA
2
Carlos Hideo ARIMA
3
ABSTRACT
: The intensification of data collection, storage and processing by institutions
calls attention to personal data protection. This basic applied research aims to verify, through
a case study, the compliance between a public institution of technological education’s data
protection regulation instruments and the addressed by the General Data Protection Law
(GDPR). The answers were collected by a structured questionnaire, being subsequently
tabulated and processed. The results demonstrate the relationship between the institutional
context and dimensions analyzed for the implementation of protocols, good practices and a
privacy governance program that meets institutional policies.
KEYWORDS
: General Data Protection Regulation. GDPR. Learning environments.
RESUMO
: A intensificação na coleta, armazenamento e tratamento de dados pelas
instituições traz atenção quanto à proteção de dados pessoais. Esta pesquisa básica aplicada
visa verificar, por meio de um estudo de caso, a conformidade entre instrumentos normativos
de proteção de dados pessoais adotados por instituição pública de ensino tecnológico e o
estabelecido pela Lei Geral de Proteção de Dados Pessoais (LGPD). As respostas coletadas
pelo questionário estruturado foram tabuladas e tratadas, demonstrando a relação entre
contexto institucional e as dimensões analisadas para a implementação de protocolos e das
boas práticas. Conforme os resultados, considera-se a necessidade de implementação de um
programa de governança em privacidade que vá ao encontro das políticas institucionais.
PALAVRAS-CHAVE
: Lei Geral de Proteção de Dados Pessoais. LGPD. Ambientes para
ensino.
1
Federal Institute of Education, Science and Technology of São Paulo (IFSP), Campinas – SP – Brazil. Teacher.
Doctoral Student in School Education (UNESP). ORCID: https://orcid.org/0000-0003-4952-8618. E-mail:
jackson@ifsp.edu.br
2
São Paulo State University (UNESP), Bauru – SP – Brazil. Professor at the Department of Social
Communication. PhD in Production Engineering (EESC-USP). ORCID: https://orcid.org/0000-0001-6350-7026.
E-mail: belda@faac.unesp.br
3
Paula Souza State Technological Education Center (CEETEPS), São Paulo – SP – Brazil. Professor of the
Professional Master's Program in Management and Technology in Productive Systems and Researcher at the
Graduate, Extension and Research Unit of the Paula Souza Center. Doctorate in Controllership and Accounting
(USP). ORCID: https://orcid.org/0000-0001-7922-0943. E-mail: charima@uol.com.br
image/svg+xml
Jackson Gomes Soares SOUZA; Francisco Rolfsen BELDA and Carlos Hideo ARIMA
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1855-1871, July/Sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1856
RESUMEN
: La intensificación en la recolección, almacenamiento y procesamiento de datos
por las instituciones llama la atención acerca de la protección de datos personales. Esta
investigación básica aplicada tiene como objetivo verificar, por un estudio de caso, la
conformidad entre los instrumentos normativos de protección de datos personales adoptados
por una institución de educación tecnológica pública y el establecido por la Ley General de
Protección de Datos (LGPD). Las respuestas obtenidas a partir de un cuestionario
estructurado fueron tabuladas y procesadas, evidenciando la relación entre el contexto
institucional y las dimensiones analizadas para la implementación de protocolos y buenas
prácticas. De acuerdo con los resultados, se considera la necesidad de implementar un
programa de gobernanza y privacidad que cumpla con las políticas institucionales.
PALABRAS CLAVE
: Ley General de Protección de Datos Personales. LGPD. Ambientes de
enseñanza.
Introduction
According to Davenport (1998, p. 18), "data are simple observations about the state of
the world" and have as characteristics to be: "easily structured, obtained by machines, often
quantified and easily transferable", while information would be a set of "data endowed with
relevance and purpose", requiring "unit of analysis, consensus in relation to the meaning and,
necessarily, human mediation". Such mediation may present itself by the "interaction between
humans and the systems, bringing with it concepts such as information security and privacy
involved in this process” (SOUZA; ARIMA; BELDA, 2020, p. 1310).
We are surrounded by diverse technologies, so the use of digital media for teaching
and learning processes is directly related to the treatment of data stored and used by
institutions, and they must adopt policies for the protection of personal data and information
based on specific legislation.
The General Data Protection Law (GDPR), Law no. 13,709, of August 14, 2018
(BRAZIL, 2018):
Provides for the processing of personal data, including in digital media, by
natural persons or legal entities of public or private law, in order to protect
the fundamental rights of freedom and privacy and the free development of
the personality of the natural person.
With the enactment of Constitutional Amendment No. 115 (EC115), published on
February 11, 2022 in Section 1, Issue 30, Page 2 of the Official Gazette of the Union, the
Brazilian Federal Constitution of 1988 now contemplates the list of fundamental rights and
guarantees of data protection, establishing the competence of the federative entities to
legislate on the subject (BRAZIL, 2022).
image/svg+xml
GDPR application analysis in a public educational institution: A case study
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1855-1871, July/Sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1857
Law No. 11.892, of December 29, 2008 (BRAZIL, 2008), among other provisions,
establishes that:
The Federal Institutes are multi-curricular and multi-campi institutions of
higher, basic and professional education, specialized in offering professional
and technological education in different modalities of education, based on
the combination of technical and technological knowledge with their
pedagogical practices, according to this Law.
In this sense, this research aims to study the normative instruments for personal data
protection adopted in a public technological educational institution and current outcomes for
the development of policies and procedures in one of its campuses.
Theoretical Background
For Pierre Lévy (2014, p. 23), "we still do not know how to systematically transform
data into knowledge", bringing the reflection regarding a "participatory digital memory, in the
process of constitution, common to the whole of humanity in search of solving this problem
of semantic interoperability".
In this sense, the author establishes a unity of nature founded on the notion of
information, addressing a synthetic image of the informational nature and its scientific
concept, conceiving the nature of information in successive layers: from quarks to atoms,
from molecules to organisms, from nervous systems to phenomena, and from symbols to
concepts (LÉVY, 2014). One possible interpretation would be that data would be equivalent
to symbols, albeit unmodalized, but not meaningless.
On October 24, 1995, the European Parliament and the Council of the European Union
published in the Official Journal No. L 281 of 23/11/1995, pages 31 to 50, the "Directive
95/46/EC on the protection of individuals with regard to the processing of personal data and
on the free movement of such data". (UNIÃO EUROPEIA, 1995).
Article 29 of Directive 95/46/EC established the creation of the advisory and
independent "Working Party on the Protection of Individuals with regard to the Processing of
Personal Data", the "Article 29 Working Party (WP29)". It also provides a definition of
personal data, fragmenting it into 4 (four) pillars or main elements:
[...]'any information', 'relating to', 'natural person', 'identified or identifiable'.
The four pillars are closely related and support each other, together
determining whether or not information will be considered personal data [...]
(UNIÃO EUROPEIA, 2007, p. 6, emphasis added).
image/svg+xml
Jackson Gomes Soares SOUZA; Francisco Rolfsen BELDA and Carlos Hideo ARIMA
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1855-1871, July/Sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1858
In Brazil, the GDPR besides bringing a similar definition of personal data, regulates in
its 10 (ten) chapters:
‘General provisions'; 'processing of personal data'; 'data subject rights';
'processing of personal data by public authorities'; 'international data
transfer'; 'personal data controllers'; 'security and good practices';
'supervision'; 'National Data Protection Authority (ANPD) and National
Council for Personal Data Protection and Privacy' and 'final and transitory
provisions'. (BRAZIL, 2018).
Article 6 of the GDPR establishes, among others, principles to be observed, so that the
treatment policies adopted allow users to be aware of the ways in which their data will be
used, making it possible to avoid or reduce the collection and use of their information by third
parties. In order to apply the concepts, the main elements have been summarized in
dimensions, as shown in Table 1.
Table 1 –
Personal Data Protection Dimensions
1.
Foundations (FUN):
Concern with the "protection of personal data when processed, includin
g in
digital media, in order to protect the fundamental rights of freedom, privacy and the free development
of the personality of the natural person". (BRAZIL, 2018, s/p [web]).
2.
Principles (PRI):
Meeting the principles of "purpose, appropriateness, necessity, open access, data
quality, transparency, security, prevention, non-discrimination, accountability, and responsibility”
(BRAZIL, 2018, s/p [web]).
3.
Processing of personal data (TRA):
"Any operation performed with personal data", being
indispensable the c
onsent of the data subject "in writing or by any other means demonstrating the
expression of will" "free and unequivocal".
(BRAZIL, 2018, s/p [web]).
4.
4. Rights of the data subject (DIR):
The right to "withdraw consent", "update", "anonymize", "block"
or "delete" personal data to the data subject (BRAZIL, 2018, s/p [web]).
Source: Adapted by the authors based on the GDPR (BRAZIL, 2018)
Chapter 4 of the GDPR regulates the treatment by the public authorities, including
making direct reference in the caput of Article 23 to Law No. 12,527 of November 18, 2011,
also known as the Law of Access to Information (LAI), and must "[...] be carried out for the
fulfillment of its public purpose, in pursuit of the public interest, with the aim of executing the
legal powers or fulfilling the legal attributions of the public service” (BRAZIL, 2018).
Additionally, article 50 makes, in its three paragraphs, direct references to principles
listed in article 6, such as purpose, quality, safety, prevention and accountability.
image/svg+xml
GDPR application analysis in a public educational institution: A case study
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1855-1871, July/Sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1859
Methodological Procedures
According to the classification of research made by political scientist Donald Stokes,
this is basic-applied research, driven by investigative curiosity about particular phenomena,
not necessarily aiming at “general explanatory goals nor any practical use to which its results
are destined” (STOKES, 2005, p. 119).
According to Yin (2001, p. 11 and 47), the case study is an empirical inquiry focused
“on contemporary phenomena inserted in some real-life context”, having as a prerequisite the
systematization of procedures through protocols.
This study covers the “Campinas campus linked to the Federal Institute of Education,
Science and Technology of São Paulo – IFSP” and, as it is a single case study, the data
collected and its consequent analysis will not allow the generalization of the results (BRAZIL,
2018). For data collection, a structured digital questionnaire on the Google Forms platform
was adopted as an instrument. It also counts on the voluntary participation of 80 teachers and
managers registered in the “Unified Public Administration System” (SUAP in the Portuguese
acronym) of the campus, having collected a total of 15 responses.
According to Likert (1932), surveys involving statements of opinion and attitude are
considered an indirect method of gauging dispositions that are more easily signified and
expressed in verbal form, and can, consequently, be grouped into patterns. Therefore, the
Likert scale will be used, in which the answers obtained show the degree of agreement of the
participants with the sentence, contemplating levels from 1 to 5 of the scale, classified
respectively as: "I completely disagree", "I disagree", “Neutral”, “Agree” and “Completely
Agree”.
Regarding the investigation of the normative instruments adopted by the IFSP in
compliance with the requirements addressed in the GDPR, the documentary research of this
study includes the institution's Statute and the most recent Ordinances, which approve the
Internal Regulations of the Digital Governance Committee and update the "Information and
Communication Security Policy - PoSIC", as well as the "Personal Data Protection Policy”
(BRAZIL, 2020).
image/svg+xml
Jackson Gomes Soares SOUZA; Francisco Rolfsen BELDA and Carlos Hideo ARIMA
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1855-1871, July/Sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1860
Data Analysis
The interpretation of the results will initially be from the following structure: PDP -
Participants' Profile and CDI - Context of the institution.
Next, personal data protection dimensions will be investigated:
●
FUN – Foundations of personal data protection;
●
PRI – Principles of personal data protection;
●
TRA – Processing of personal data;
●
DIR – Rights of the personal data subject.
The sample has 15 collected answers. The profile of the participants is characterized
according to age, education, time in the institution and whether the participant currently holds
a management position, according to Table 2.
Table 2 –
Participant Profile
Professors
Age
Education
How long in the institution
Manager
D1
30
-
39
Master’s
between
4
and
10
years
No
D2
50
-
59
Doctorate
between
4
and
10
years
No
D3
30
-
39
Master’s
between
4
and
10
years
No
D4
30
-
39
Doctorate
between
10
and
20
years
No
D5
50
-
59
Doctorate
More than
20
years
Yes
D6
40
-
49
Doctorate
between
4
and
10
years
Yes
D7
60
-
69
Doctorate
between
4
and
10
years
No
D8
50
-
59
Master’s
between
4
and
10
years
No
D9
30
-
39
Doctorate
between
4
and
10
years
Yes
D10
40
-
49
Doctorate
between
4
and
10 years
Yes
D11
50
-
59
Doctorate
between
4
and
10
years
No
D12
50
-
59
Doctorate
between
4
and
10
years
No
D13
40
-
49
Master’s
between
4
and
10
years
No
D14
30
-
39
Master’s
between
4
and
10
years
No
D15
18
-
29
Master’s
between
4
and
10
years
No
Source: Research results
The participant's profile changes according to their education, and it is observed that
only two age brackets encompass 64% of the teachers, these being 30 to 39 years old and 50
to 59 years old; while in the first bracket the highest concentration is of master's degrees, in
the second, most have doctorates.
The analysis of the context of the institution (CDI) covers the investigation of:
●
CDI1 – Adoption of a sufficiently clarifying Information and Communications
Security Policy (PoSIC) by the institution;
●
CDI2 – Technical protection controls for stored personal data;
●
CDI3 – Transparency and free access to stored personal data and information;
image/svg+xml
GDPR application analysis in a public educational institution: A case study
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1855-1871, July/Sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1861
●
CDI4 – Training or events that address privacy and protection of personal and
operational data;
●
CDI5 – Adoption of different authentication methods;
●
CDI6 – Communication, via notices, about privacy and personal data protection;
●
CDI7 – Information Security Awareness;
●
CDI8 – Awareness about protection of confidential information in electronic format.
Initially, the awareness of the results regarding the adoption of a sufficiently clarifying
Information and Communication Security Policy (PoSIC) by the institution, addressed by the
element CDI1, will bring us evidence of possible neutral answers in the statements about the
context of the institution.
As can also be seen in Figure 1, 40% of the participants agree that the institution
adopts a PoSIC; however, 26.67% say they are not aware of its content, and 13.33%, that its
content is not enlightening enough.
Despite 60% of the participants not being able to say whether the institution adopts a
PoSIC, a premature inference of this phenomenon could call into question their level of
familiarity with the topic in question. However, the participants add in their answers that 'in
the institution the employees know little about the GDPR, and there are no institutional
measures adopted for data protection, leaving it up to the good sense of the employee to
protect the data', and also 'not having any knowledge about data protection in our institution’.
Figure 1 –
Graphical representation of ICD1 responses
4
Source: Research results
4
Não sei dizer se a instituição adota uma PoSIC = I can't tell if the institution adopts a PoSIC; A
instituição não adota uma PoSIC = The institution does not adopt a PoSIC; A instituição adota uma PoSIC,
porém não tenho ciência sobre seu conteúdo = The institution adopts a PoSIC, but I am not aware of its content;
A instituição adota uma PoSIC, porém seu conteúdo não é suficientemente esclarecedor = The institution adopts
a PoSIC, but its content is not sufficiently clarifying; A instituição adota uma PoSIC suficientemente
esclarecedora = The institution adopts a PoSIC that is sufficiently clear
image/svg+xml
Jackson Gomes Soares SOUZA; Francisco Rolfsen BELDA and Carlos Hideo ARIMA
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1855-1871, July/Sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1862
For a proper analysis, the factors related to this point are investigated in greater depth
both in the next ICD elements and then in the analyses of the personal data protection
dimensions.
Next, it can be seen from Figure 2 that the only aspect that showed a high degree of
agreement (67%) was ICD5, which refers to the fact that the institution adopts, for user access
to the systems, different authentication methods, such as user and password, biometrics,
tokens by applications.
The other answers show a high degree of disagreement, and can be divided into two
groups, one with 80% disagreement and the other with 60% disagreement. CDI4, CDI7 and
CDI8 have 80% disagreement, when they talk about aspects related to conducting training or
events that deal with privacy and protection of personal data; awareness of the context of
information security; and how to protect confidential information in electronic format.
Next, with 60% of disagreement, are CDI2, CDI3, and CDI6, when addressing
institutional aspects regarding the implementation of technical controls to protect personal
data stored in its systems; whether it offers data subjects transparency and free access to the
information and personal data stored in its systems; and the communication of issues that are
related to privacy and data protection.
Figure 2 –
Graphical representation of responses from CDI2 to CDI8
5
Source: Research results
It is also noteworthy that ICD2, ICD3 and ICD5 present a certain degree of neutrality
in relation to the other aspects analyzed, with emphasis on the 33% of ICD3, when dealing
5
Discordo totalmente = Completely disagree; Discordo = Disagree; Neutro = Neutral; Concordo =
Agree; Concordo totalmente = Completely agree
image/svg+xml
GDPR application analysis in a public educational institution: A case study
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1855-1871, July/Sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1863
with transparency and free access to information, which indicates a possible relationship of
the indexes analyzed here with the phenomenon observed in ICD1.
The analysis of the personal data protection dimensions will contemplate the
Fundamentals (FUN), Principles (PRI), Treatment (TRA) and Rights of the Data Subject
(DIR).
With regard to the fundamentals of personal data protection (FUN), the pillar is the
provision in the first sentence of Article 1 of the GDPR when it establishes that the institution,
in its various activities, must be concerned with the "protection of personal data when
processing", "including in digital media, in order to protect the fundamental rights of freedom,
privacy and the free development of the personality of the natural person". (BRAZIL, 2018).
Figure 3 –
Graphic representation of FUN1 responses
Source: Research results
●
According to Figure 3, it can be observed that, despite 40% of respondents agreeing,
there is a high degree (33%) of neutrality if compared to the total, and, in addition,
approximately 27% of disagreement, thus bringing divergent and inconclusive results.
●
The analysis of personal data protection principles (PRI) covers the investigation of
whether, during the process of collecting and processing personal data, the institution
informs its data subjects:
●
PRI1 - "The specific purpose(s) of the use of such data" (BRAZIL, 2018);
●
PRI2 - "The level of commitment to meet the informed purpose(s)" (BRAZIL, 2018);
●
PRI3 - "Whether it allows free and facilitated consultation about the form and
duration of the treatment, as well as the completeness of its personal data" (BRAZIL,
2018);
●
PRI4 - "Whether it allows the updating of its data" (BRAZIL, 2018);
●
PRI5 - "Whether it provides accessibility and clarity of information about the
performance of treatment" (BRAZIL, 2018);
image/svg+xml
Jackson Gomes Soares SOUZA; Francisco Rolfsen BELDA and Carlos Hideo ARIMA
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1855-1871, July/Sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1864
●
PRI6 - "If uses technical and administrative measures suitable to protect personal data
from unauthorized access and accidental or unlawful situations of destruction, loss,
alteration, communication" (BRAZIL, 2018);
●
PRI7 - "They use measures to prevent the occurrence of damage due to the processing
of personal data," such as restrictions on access and authentication, adoption of
encryption (BRAZIL, 2018);
●
PRI8 - "It will be impossible to carry out treatment for discriminatory, illicit or
abusive purposes", from the collection to its use, modification, dissemination and
elimination of the data (BRAZIL, 2018);
●
PRI9 - "It will adopt measures of compliance with the standards of protection of
personal data, being responsible for the effectiveness of these measures" (BRAZIL,
2018).
Figure 4 shows that the answers presented a range between 20% and 46.67% of
neutrality, which may indicate the need for attention to the principles listed by the GDPR,
especially PRI6 - the security principle, provided for in Article 6, item VII, which deals with
the use, by the institution, of "technical and administrative measures to protect personal data”
(BRAZIL, 2018).
Figure 4 –
Graphical Representation of PRI Responses
Source: Research results
Still analyzing the answers with a high rate of neutrality when compared to the rates of
agreement and disagreement, PRI8 - "principle of non-discrimination", foreseen by article 6,
item IX, despite the 33.33% of agreement, presents an even higher degree (40%) of neutrality,
image/svg+xml
GDPR application analysis in a public educational institution: A case study
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1855-1871, July/Sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1865
a fact that is associated with the 26.67% of disagreement when dealing with the adoption of
measures by the institution that make it impossible to "perform treatment for discriminatory,
illicit or abusive purposes" from the collection to its use, modification, dissemination and
elimination of the data (BRAZIL, 2018).
In this same range of 40% of neutrality, PRI5 - "transparency principle", provided for
by Article 6, item VI, still shows 40% of disagreement and draws attention to possible
adjustments by the institution regarding the guarantee, to the holders, of accessibility and
clarity of information about the "conduct of processing and respective agents responsible" for
data processing (BRAZIL, 2018).
An analogous situation occurs with PRI3 - "principle of free access", provided by
Article 6, item IV, which provides that the institution must guarantee that data subjects are
consulted "easily and free of charge on the form and duration of the processing, as well as on
the completeness of their personal data" (BRAZIL, 2018).
The principle PRI9 - "principle of accountability and responsibility", listed by Article
6, item X, presents equal rates of 33.33% for disagreement, neutrality and agreement when
addressing the adoption of measures of "observance and compliance with the standards of
personal data protection, taking responsibility for the effectiveness of these measures"
(BRAZIL, 2018).
The highest degree of disagreement is found in PRI1 and PRI2, with the index of
53.33%. PRI1 - "principle of purpose", provided by Article 6, item I, provides that the
"performance of the processing is for legitimate, specific, explicit purposes and informed to
the data subject, without the possibility of further processing in a manner incompatible with
these purposes" (BRAZIL, 2018).
In the same context, PRI2 - "principles of adequacy and necessity", provided by
Article 6, items II and III, address the "level of commitment to meet the purposes of data
processing informed to the data subject, limiting the processing to the minimum necessary”
(BRAZIL, 2018).
PRI4 and PRI7 were the only elements that presented a higher degree of agreement
than the others. With 53.33% of agreement, PRI4 - "principle of quality", provided by Article
6, item V, provides that "the holder is guaranteed the possibility of updating, accuracy, clarity
and relevance of their data, according to the need and for the fulfillment of the purpose of
their treatment" (BRAZIL, 2018).
While with 46.66% agreement, PRI7 - "prevention principle", provided by Article 6,
item VIII, deals with the "adoption of measures to prevent the occurrence of damage due to
image/svg+xml
Jackson Gomes Soares SOUZA; Francisco Rolfsen BELDA and Carlos Hideo ARIMA
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1855-1871, July/Sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1866
the processing of personal data", such as access restrictions and authentications and adoption
of encryptions (BRAZIL, 2018).
The analysis of the "processing of personal data" (TRA) covers the investigation of
whether the institution:
● TRA 1
- asks the data subjects or legal guardians for their "consent in writing or by
some other means that demonstrates manifestation of will" if there is interest in data
processing (BRAZIL, 2018).
It can be observed that the answers present some degree of neutrality (26.67%) when
compared to the other indexes and, as can also be visualized in Figure 5, the total index of
disagreement is 40%, while the total of agreement is 33.33%.
With respect to the 40% of disagreement, it is observed the need on the part of the
institution to ask the holders or legal guardians for their consent if there is interest in data
processing, meeting the provisions of Article 7 of the GPDR, item I (BRAZIL, 2018). In
addition, there are nine other items containing the hypotheses that must be met in order to
carry out the processing of personal data (BRAZIL, 2018).
Figure 5 –
Graphical Representation of TRA Responses
Source: Research results
The analysis of the "rights of the data subject" (DIR) covers the investigation of
whether, upon the termination of the specific purpose of the processing, the institution
guarantees data subjects the right to: DIR1 - "Revocation of consent"; DIR2 -
"Anonymization of personal data"; DIR3 - "Blocking of personal data"; DIR4 - "Deletion of
personal data" (BRAZIL, 2018).
It can be observed from Figure 6 that the responses presented a range between 40%
and 60.00% of neutrality, which may indicate the need for attention to the "rights of the data
subject" listed by the GPDR, especially to DIR1 - "right of the data subject to revoke his or
her consent" provided by Article 18, item IX (BRAZIL, 2018).
image/svg+xml
GDPR application analysis in a public educational institution: A case study
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1855-1871, July/Sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1867
Figure 6 –
Graphical representation of DIR's responses
Source: Research results
Final remarks
The results and the data analysis demonstrate the relationship between the institutional
context and the investigation of the dimensions that touch on fundamentals, principles,
treatment of personal data and rights of the data subject, referring to the need for adjustments
by the institution that, despite adopting a PoSIC, it is observed that a large part of the
participants affirm not being able to say that this occurs.
Such statement corroborates the high degree of disagreement about the adoption of
technical controls, transparency and free access, training or events that deal with privacy,
communication and awareness about information security. The only exception is the adoption
of different authentication methods by the institution, which significantly improves security as
to access controls.
In turn, it can be seen from the heat map in Figure 7 that the analysis of the
dimensions presents a certain degree of neutrality - central region of the map - when
compared to those of disagreement and agreement.
image/svg+xml
Jackson Gomes Soares SOUZA; Francisco Rolfsen BELDA and Carlos Hideo ARIMA
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1855-1871, July/Sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1868
Figure 7 –
Heat map of the answers of the personal data protection dimensions
6
Source: Prepared by the authors
The dimensions analyzed address mandatory elements of the GDPR when dealing
with fundamental rights constitutionally provided, such as freedom, privacy, free development
of the personality of the natural person through the protection of personal data, as well as
compliance with the principles listed by law: purpose, adequacy, necessity, free access,
quality, transparency, security, prevention, non-discrimination, accountability.
Additionally, when processing their personal data, the consent of the holder must
demonstrate their express and unequivocal manifestation of will, as well as the rights of
revocation of consent, alteration, anonymization, blocking or elimination of the personal data.
It must also ensure that each 'purpose' will be unique, legitimate, specified, explicit and in
'adequacy' to the context of each informed purpose, so that the operation is limited to the
minimum 'necessity' and allows its full 'free access', free of charge and facilitated,
guaranteeing the 'data quality' through its accuracy, relevance, updating and 'transparency',
without renouncing to the adoption of measures capable of proving the 'security', 'prevention',
'non-discrimination', 'accountability and responsibility' of the processing agent.
Figure 8 represents the elements discussed and analyzed here, illustrating the flow of
personal data protection within the institution.
6
Discordo totalmente = Completely disagree; Discordo = Disagree; Neutro = Neutral; Concordo =
Agree; Concordo totalmente = Completely agree
image/svg+xml
GDPR application analysis in a public educational institution: A case study
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1855-1871, July/Sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1869
Figure 8
– Flow of personal data protection
7
Source: Prepared by the authors
The necessary adjustments to the campus are presented in the relationship of the
institutional context with the dimensions of personal data protection provided by the GDPR,
demonstrating the need to implement a privacy governance program that meets the
institutional PoSIC, in a transparent way, with technical controls, training, communications
and awareness.
Such measures consolidate a link of commitment and promote a relationship of trust
between the data subject and the institution, as they are effectively integrated, applicable and
adaptive.
7
Contexto da instituição: Normas, políticas, procedimentos, controles e protocolos internos = Context
of the institution: Norms, policies, procedures, internal controls and protocols; Fundamentos: Liberdade,
privacidade e livre desenvolvimento da personalidade da pessoa natural = Foundations: Freedom, privacy and
free development of the personality of the natural person; Princípios: Finalidade, adequação, necessidade, livre
acesso, qualidade, transparência, segurança, prevenção, não discriminação e responsabilização = Principles:
Purpose, appropriateness, necessity, open access, quality, transparency, safety, prevention, non-discrimination,
and accountability; Tratamento: Consentido, legal, finalístico, específico, formal, acessível e revigável =
Treatment: Consent, legal, finalistic, specific, formal, accessible and revigable; Direitos do titular: Pivacidade,
intimidade e liberdade de acesso, informação, correção, anonimização, portabilidade, eliminação e revogação =
Rights of the holder: Pivacity, intimacy and freedom of access, information, correction, anonymity, portability,
deletion and revocation
image/svg+xml
Jackson Gomes Soares SOUZA; Francisco Rolfsen BELDA and Carlos Hideo ARIMA
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1855-1871, July/Sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1870
REFERENCES
BRAZIL.
Lei n. 11.892, de 29 de dezembro 2008
. Institui a Rede Federal de Educação
Profissional, Científica e Tecnológica, cria os Institutos Federais de Educação, Ciência e
Tecnologia, e dá outras providências. Brasília, DF: Presidência da Repúlica, 2008. Available
at: https://www.planalto.gov.br/ccivil_03/_ato2007-2010/2008/lei/l11892.htm. Access on: 13
Dec. 2020.
BRAZIL.
Lei n. 13.709, de 14 de agosto de 2018
. Lei Geral de Proteção de Dados Pessoais
(LGPD). Brasília, DF: Presidência da República, 2018. Available at:
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm. Access
on: 30 Aug. 2020.
BRAZIL.
Portaria IFSP n. 4296, de 14 de dezembro de 2020
. Aprova a atualização da
Política de Segurança da Informação e Comunicação - PoSIC no âmbito do Instituto Federal
de Educação, Ciência e Educação de São Pauto - IFSP. São Paulo: IFSP, 2020. Available at:
https://www.ifsp.edu.br/component/content/article?layout=edit&id=2679. Access on: 11 Feb.
2022.
BRAZIL.
Emenda Constitucional n. 115
. Altera a Constituição Federal para incluir a
proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a
competência privativa da União para legislar sobre proteção e tratamento de dados pessoais.
Brasília, DF: Atos do Congresso Nacional, 2022. Available at: https://in.gov.br/en/web/dou/-
/emenda-constitucional-n-115-379516387. Access on: 11 Feb. 2022.
DAVENPORT, T. H.
Ecologia da informação:
Por que só a tecnologia não basta para o
sucesso na era da informação. São Paulo: Futura, 1998.
LÉVY, P.
A esfera semântica
. São Paulo: Annablume, 2014.
LIKERT, R. A techniqueforthemeasurementofattitudes.
Archives ofPsychology
, v. 22, n.
140, p. 55, 1932. Available at: https://psycnet.apa.org/record/1933-01885-001. Access on: 06
Nov. 2021.
SOUZA, J. G. S.; ARIMA, C. H.; BELDA, F. R. Análise de tratamento da segurança da
informação na gestão de riscos da governança de tecnologia da informação de uma instituição
de ensino público federal.
Revista Ibero-Americana de Estudos em Educação
, Araraquara,
v. 15, n. 3, p. 1309-1321, jul./set. 2020. Available at:
https://periodicos.fclar.unesp.br/iberoamericana/article/view/13584. Access on: 18 Oct. 2021.
STOKES, D. E.
O quadrante de Pasteur
: A ciência básica e a inovação tecnológica.
Campinas: Editora da Unicamp, 2005.
UNIÃO EUROPEIA (EU).
Diretiva n. 95/46/CE, de 24 de outubro de 1995
. Relativa à
protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre
circulação desses dados. Estrasburgo: Parlamento Europeu, 1995. Available at em: https://eur-
lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:31995L0046&from=EL. Access
on: 03 Mar. 2021.
image/svg+xml
GDPR application analysis in a public educational institution: A case study
RIAEE
– Revista Ibero-Americana de Estudos em Educação, Araraquara, v. 17, n. 3, p. 1855-1871, July/Sept. 2022. e-ISSN: 1982-5587
DOI: https://doi.org/10.21723/riaee.v17i3.16789
1871
UNIÃO EUROPEIA (EU). Opinion 4/2007 ontheconceptofpersonal data.
European
Commission
, 2007. Available at: https://ec.europa.eu/justice/article-
29/documentation/opinion-recommendation/files/2007/wp136_en.pdf. Access on: 03 Mar.
2021.
YIN, R. K.
Estudo de caso
: Planejamento e métodos. 2. ed. Porto Alegre: Bookman, 2001.
How to reference this article
SOUZA, J. G. S; BELDA, F. R.; ARIMA, C. H. GDPR application analysis in a public
educational institution: a case study.
Revista Ibero-Americana de Estudos em Educação
,
Araraquara, v. 17, n. 3, p. 1855-1871, July./Sept. 2022. e-ISSN: 1982-5587. DOI:
https://doi.org/10.21723/riaee.v17i3.16789
Submitted
:
18/02/2022
Revisions required
: 27/03/2022
Approved
: 10/05/2022
Published
: 01/07/2022
Processing and publishing by the Editora Ibero-Americana de Educação.
Correction, formatting, standardization and translation.