Orientação para a utilização de dados corporativos da USP
- Objetivos
Esta orientação dispõe sobre os requisitos para o tratamento de dados corporativos pelos órgãos centrais da USP e suas Unidades, com o objetivo de proteger sua integridade, disponibilidade, bem como o de garantir a confidencialidade e a preservação dos direitos pessoais sobre eles, nos termos do que é definido em lei [Federal 2011: inciso II do art. 6º].
- Sobre os dados corporativos
Consideram-se dados corporativos o conjunto de registros, de natureza pessoal ou institucional, armazenados em meio digital ou não, que ficam sob tutela da USP, com a finalidade específica de prover andamento a todas as atividades acadêmicas e administrativas da instituição, visando o cumprimento da missão para a qual foi constituída [Estatuto 1988: art. 2º, Ética 2001: art. 36]. A USP gera e é depositária de dados corporativos e deve garantir sua integridade e confidencialidade em todas as operações nas quais estejam sendo manipulados, visando impedir a ocorrência de acessos não autorizados, evitando a ocorrência de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão [Federal 2011: art. 32, II e VII; Estadual 2011: art. 71, II e VII; Ética 2001: art. 33, art. 37, art. 38].
O dado corporativo tem sua origem vinculada nos processos informatizados da instituição e por meio desses, servidores, alunos e pessoas vinculadas a ela, fornecem seus dados pessoais, que devem estar protegidos, na forma da Lei [Constituição 1988: art. 5º, X; Federal 2011; Estadual 2011: art. 35]. Por exemplo, são dados corporativos: e-mails, data de nascimento, números de documentos, endereços, informações curriculares, frequências em salas de aulas ou vinculadas ao contrato de trabalho, avaliações de desempenho ou na carreira acadêmica, resultados de pesquisas, dentre inúmeras outras.
Por se tratar de dados que estão fora do domínio da unidade, esta poderá obtê-los, para seu uso ou controle, por meio dos procedimentos estabelecidos, sendo a replicação de dados, transferência de arquivos e webservices, as formas usuais encontradas no âmbito da TI [Federal 2011: art. 25, § 1º, art. 26, “caput”; Estadual 2011: § 1º, e art. 37, “caput”; Ética 2001: art. 35].
Entretanto, a unidade ou órgão deve se ater à existência de normas que regulam o uso e disponibilidade desses dados, para não incorrer em ações proibidas, como as de fornecimento de dados brutos, a terceiros e divulgação em âmbito público, sem prévia autorização da pessoa vinculada a ele [Federal 2011: art. 31, § 1º, I e II; Estadual 2011: art. 35, § 1º, 1 e 2, e § 5º; Ética 2001: art. 35]. Deve ficar atenta também na divulgação de dados sumarizados e globalizados, procurando inibir a exposição quando a distribuição desses dados se apresentar de tal forma que permita identificar o referido indivíduo.
- Sobre o uso dos dados corporativos
Tendo em vista a natureza de uso centralizada e descentralizada dos dados corporativos é comum a existência de procedimentos administrativos que necessitam de instâncias locais, geradas a partir do conjunto de dados mantidos de forma centralizada. Para atender esses processos, as Unidades devem fazer requisição prévia identificando:
– quais dados necessitam;
– a finalidade específica do uso dos dados;
– as pessoas que serão os pontos de contato para a troca dos dados entre a Unidade/órgão e o órgão central, neste caso, a Superintendência de Tecnologia da Informação (STI).
A Unidade/órgão, para habilitar-se a receber instâncias de dados centralizados, deve assegurar-se de que exista uma cadeia operacional para o tratamento dos dados corporativos na sua Unidade, mantendo atualizado o registro das pessoas que serão o contato para a troca da informação junto à STI, em consonância com a lei [Estadual 2011: art. 62].
Para cada conjunto de dados, a Unidade/órgão recebedor dos dados deve assegurar-se, previamente, de que disporá dos recursos necessários ao processamento da informação a ser recebida, de que esses recursos sejam adequadamente dimensionados e de que os procedimentos de acesso aos dados sejam periodicamente consultados, consideradas as restrições aplicáveis à finalidade pretendida.
Particular atenção deve ser dispensada aos dados que puderem ser acessados e utilizados por meio de dispositivos móveis, especialmente por equipamentos externos à Universidade.
A Unidade/órgão recebedor deverá também fornecer, sempre que solicitadas, informações adequadas a respeito dos critérios e procedimentos utilizados na manipulação dos dados em sua Unidade/órgão e comunicar imediatamente a STI sobre a ocorrência de qualquer incidente de segurança que possa acarretar prejuízo aos titulares de direito dos dados corporativos. Tal comunicação deverá mencionar, no mínimo:
I – descrição da natureza dos dados pessoais afetados;
II – informações sobre os titulares envolvidos;
III – indicação das medidas de segurança utilizadas para a proteção dos dados;
IV – riscos relacionados ao incidente e
V – medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos de prejuízo.
- Sobre os procedimentos operacionais
A STI publicará, sempre que considerar necessário, instruções normativas sobre como as Unidades devem proceder para efetuarem replicações e extrações de dados a partir dos bancos de dados centralizados, bem como recomendações sobre a criticidade dos dados e sua custódia por terceiros, para que as Unidades/órgãos recebedores desses dados realizem todas as operações de forma plenamente segura.
Referências:
[Constituição 1988] Constituição da Republica Federativa do Brasil de 1988. Localizador na Internet: http://www.planalto.gov.br/ccivil_03/Constituicao/Constituicao.htm
[Federal 2011] Lei Federal nº 12.527/11. Regula o acesso a informações previsto no inciso XXXIII do art. 5o, no inciso II do § 3o do art. 37 e no § 2o do art. 216 da Constituição Federal; altera a Lei no 8.112, de 11 de dezembro de 1990; revoga a Lei no 11.111, de 5 de maio de 2005, e dispositivos da Lei no 8.159, de 8 de janeiro de 1991; e dá outras providências. Localizador na Internet: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm
[Estadual 2012] Decreto Estadual nº 52.058/12. Regulamenta a Lei federal n° 12.527, de 18 de novembro de 2011, que regula o acesso a informações, e dá providências correlatas. Localizador na Internet: http://www.legislacao.sp.gov.br/legislacao/dg280202.nsf/5fb5269ed17b47ab83256cfb00501469/0d8cf8dcbd4ef45f83257a010046ef75?OpenDocument
[Estatuto 1988] Estatuto da USP, Resolução nº 3461, de 7 de outubro de 1988. Conjunto de regras de organização e funcionamento da USP. Localizador na Internet: http://www.leginf.usp.br/?cat=16
[Ética 2001] Código de Ética da USP. Resolução nº 4871, de 22 de Outubro de 2001. Destinado a nortear as relações humanas no interior de uma universidade, podendo contemplar tanto princípios universais quanto recomendações específicas, peculiares às instituições de ensino superior. Localizador na Internet: http://www.leginf.usp.br/?resolucao=resolucao-no-4871-de-22-de-outubro-de-2001