Lei Geral de Proteção de Dados e a Universidade Federal do Rio Grande do Sul

questões pontuais sob a ótica do regime de informação

Amanda Fernandes Marques^[1]

Universidade Federal do Rio Grande do Sul

fm.amanda@hotmail.com

Marcia H. T. de Figueredo Lima^[2]

Universidade Federal do Rio Grande do Sul

marciahelolima@ufrgs.br

____________________________

Resumo

Investiga o regime de informação da Universidade Federal do Rio Grande do Sul (UFRGS) sob a perspectiva da Lei Geral de Proteção de Dados (LGPD) através da análise de documentos institucionais selecionados e correlatos com esta legislação. Possui como possível cenário um novo regime de informação por meio da mudança nas rotinas de tratamento dos dados pessoais após a vigência da LGPD. Ressalta a metodologia do avanço deste artigo em razão da sua originalidade e contribuição para a Ciência da Informação. Apresenta traços de pesquisa básica, procedimentos bibliográficos, propriedades documentais, abordagem qualitativa e utiliza o estudo de caso como estratégia metodológica. Identifica, também na seção referente à metodologia, o locus da pesquisa, bem como apresenta os documentos institucionais eleitos e submetidos à análise. Exibe uma fundamentação teórica de caráter tanto explicativo, através da apresentação de conceitos referentes à LGPD e regime de informação, quanto associativo ao correlacionar estes dois assuntos. Reflete, por meio da análise dos documentos selecionados, a influência da LGPD no conteúdo destes documentos. Leva em consideração com base no referencial teórico a correspondências entre elementos do regime de informação da UFRGS e componentes do conteúdo normativo da LGPD. Averigua pontos de conformidade normativa no perpassar da investigação dos ditos documentos. Encerra com ponderações acerca dos documentos analisados e sugestões para futuros estudos.

Palavras-chave: Lei Geral de Proteção de Dados; regime de informação; Universidade Federal do Rio Grande do Sul.

BRAZILIAN GENERAL DATA PROTECTION LAW AND THE FEDERAL UNIVERSITY OF RIO GRANDE DO SUL

specific issues from the perspective of information regime

Abstract

This article aims to investigate the information regime of the Federal University of Rio Grande do Sul (UFRGS) from the perspective of the Brazilian General Data Protection Law (BGDPL) through the analysis of selected institutional documents related to this legislation. It has as a possible scenario of a new information regime through the change in the routines of processing personal data after the validity of the BGDPL. It emphasizes the methodology of the advancement of this article due to its originality and contribution to Information Science. It presents traces of basic research, bibliographic procedures, documentary properties, a qualitative approach and uses the case study as a methodological strategy. It also identifies, in the section referring to the methodology, the locus of the research, as well as presents the institutional documents chosen and subject to analysis. It displays a theoretical foundation of both an explanatory character, through the presentation of concepts related to the BGDPL and the information regime, and an associative one by correlating these two subjects. It reflects, through the analysis of the previous selected documents, the influence of the BGDPL on the content of these documents. It takes into account, based on the previously exposed theoretical framework, the correspondences between elements of the FURGS information regime and components of the normative content of the BGDPL. It investigates points of normative conformity in the course of the investigation of said documents. It ends with reflections on the analyzed documents and suggestions for future studies.

Keywords: Brazilian General Data Protection Law; information regime; Federal University of Rio Grande do Sul.

1  INTRODUÇÃO

A informação atualmente é considerada um objeto para o exercício do poder das mais diversas formas, com destaque para o âmbito jurídico. Está presente no direito de ser informado, informar e buscar informação para fundamentar decisões pessoais, coletivas e políticas na sociedade da informação. A informação também é utilizada como forma de controle pela população através da surveillance, mecanismo que instrumentaliza cidadãos pela informação sobre toda e qualquer decisão política que cause impacto na sociedade. Entende-se, portanto, que a informação permite o exercício do poder decisório pelos cidadãos, promovendo a democracia e a garantia de outros direitos fundamentais. Conforme Lima, Cordeiro e Gomes (2014, p. 8) “Considera-se que ocorre exclusão da cidadania quando o cidadão não tem acesso físico, virtual e intelectual à informação, o que pode significar exclusão do acesso a outros direitos”.

O direito à informação é uma garantida intrínseca à dignidade da pessoa humana, estando presente na Constituição Federal de 1988 no artigo 5º, inciso XIV e XXXIII; artigo 37, § 3º; inciso II e no artigo 216, § 2º, configurando-se como um direito irrenunciável, inalienável, inviolável e imprescritível. Seu regime legal consolidou-se em 2012 através da lei n. 12.527, de 18 de novembro de 2011, conhecida como Lei de Acesso à Informação (LAI), que garante ao cidadão o direito de acesso à informação pública proveniente de entidades do Estado ou sob sua tutela. Essa normatização é importante para “assegurar o desempenho de sua função pública nas democracias, proporcionando aos governados a informação indispensável para poderem influir em condições de igualdade na condução da sociedade.” (Lima; Cordeiro; Gomes; Oliveira, 2012).

A partir da criação da LAI, entende-se que foi aberto um espaço para discussão de outras legislações relacionadas à informação, desta vez que abarcasse outras instâncias informacionais. Neste sentido, criou-se a normativa jurídica que regulamenta a manipulação de dados pessoais: a lei n. 13.709, de 14 de agosto de 2018, chamada de Lei Geral de Proteção de Dados (LGPD).

A LGPD aborda toda e qualquer ação feita com dados pessoais de brasileiros e pessoas localizadas em território nacional, seja em meio físico ou eletrônico. Seu propósito é proteger a privacidade dos cidadãos através da autodeterminação informativa, obrigando instituições públicas e organizações privadas a tornarem mais transparente o modo como manipulam dados pessoais. Essa autodeterminação informativa atua como dispositivo jurídico que possibilita maior controle para o cidadão sobre o que pessoas físicas e jurídicas estão fazendo com os seus dados e para qual finalidade estão sendo utilizados, desde que “[...] a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional” (Brasil, 2018) para “[...] proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural” (Brasil, 2018).

O Brasil ocupa a sexta posição dos países com maior número de incidentes envolvendo vazamento de dados (Agência O Globo, 2017), o que demanda a investigação de limites ao direito à informação. A necessidade de uma legislação que regulamente a dinâmica entre a necessidade de dados para execução de serviços e oferecimento de produtos versus a garantia da privacidade dos cidadãos através da proteção dos seus dados pessoais se fez urgente.

A LGPD aplica-se a instituições públicas e privadas. Optou-se para este artigo, pela seleção de uma organização pública federal de ensino superior - a Universidade Federal do Rio Grande do Sul (UFRGS). Essa escolha justifica-se pela familiaridade das autoras com este ambiente e pela presença do curso de pós-graduação em Ciência da Informação. Para que uma análise de como a LGPD está sendo aplicada no locus da pesquisa, é necessário que se reconheça a existência de uma infraestrutura complexa conhecida como regime de informação, que compreende:

[…] sujeitos, instituições, regras e autoridades informacionais, os meios e os recursos preferenciais de informação, os padrões de excelência e os arranjos organizacionais de seu processamento seletivo, seus dispositivos de preservação e distribuição. (González de Gómez, 2002, p. 34).

 

Para que a UFRGS esteja em compliance com a LGPD, é fundamental que ocorra uma mudança nas ações que envolvam procedimentos, fluxos e metodologias nos processos que contenham dados pessoais, tornando esta estrutura mais transparente para o sujeito – reificado através de seus dados pessoais – acerca de como tais dados são manipulados, por quem e para qual finalidade, abrangendo desde estruturas físicas, recursos humanos, elementos documentais e processuais.

Este trabalho tem como objetivo geral compreender, através da análise de documentos criados a partir da implementação da LGPD, como esta legislação está regulando o regime de informação da UFRGS quanto às questões informacionais – inferindo que houve mudanças nos processos, normas, fluxos de informação, recursos humanos, e outros elementos relativos a um regime de informação. O artigo se destaca pelo seu caráter original cujo propósito é contribuir para a área da Ciência da Informação, levando em conta que a LGPD é uma legislação recente e pela pouca quantidade de trabalhos referentes à associação desta lei com assuntos relacionados ao regime de informação.

2  METODOLOGIA

Este estudo examina documentos institucionais específicos com o objetivo de compreender a estrutura documental criado pela UFRGS após a vigência da LGPD. Ele destaca elementos normativos específicos do regime de informação da organização e suas ações relativas à proteção de dados. A realização da análise destes documentos torna-se fundamental para consolidar o conhecimento existente sobre regimes de informação e a oportunidade de contribuir com novos conhecimentos ao conectar duas áreas diferentes de pesquisa do evento recortado.

As palavras "dados" e "informação" são consideradas essenciais para contextualizar determinados aspectos desse trabalho. A LGPD define dados pessoais como toda "informação relacionada a pessoa natural identificada ou identificável" (Brasil, 2018), e este artigo usará os termos "dados" e "informação" para o mesmo propósito, usando os mesmos contextos.

A UFRGS é composta por suas Unidades Acadêmicas, órgãos de administração superior, institutos especializados, centros de estudos interdisciplinares e Hospital Veterinário, conforme seu regimento (UFRGS, 2019). Foi classificada como a terceira melhor universidade do Brasil pela Times Higher Education (2021), uma organização global que avalia as melhores universidades do mundo anualmente com base em fatores como ensino, pesquisa, citações e perspectivas internacionais.

Assim como outras instituições públicas de ensino superior, produz e publica os documentos que são fundamentais para seu funcionamento. Diversas categorias destes visam fornecer informações ao público interno e externo. A Universidade, rotineiramente, produz documentos, como políticas de avaliação, lista de aprovados no vestibular e procedimentos de prestação de serviços.

Para definir seu regime de informação pós-LGPD, este artigo examinou documentos institucionais da UFRGS relacionados àquela lei. A escolha foi baseada na leitura dos títulos dos documentos e selecionando apenas aqueles que se relacionavam com o objetivo deste trabalho. Os documentos técnicos de outras áreas foram descartados, por não serem pertinentes ao assunto deste trabalho. Os documentos selecionados são a Política de Proteção de Dados Pessoais da UFRGS, cujo propósito é definir as principais normas, princípios, objetivos e diretrizes em relação à proteção de dados que são aplicáveis à Universidade, para garantir o nível de privacidade e proteção aos dados pessoais determinados por legislação e a Política de Classificação e Compartilhamento de Dados da UFRGS, cujo objetivo é definir as principais normas, princípios, objetivos e diretrizes com relação à classificação e compartilhamento de dados que são aplicáveis à Universidade, para garantir o nível de privacidade proteção aos dados pela legislação competente à classificação e compartilhamento de dados.

O artigo possui caráter básico, com características de uma pesquisa documental e bibliográfica. Apesar de se parecer com um estudo aplicado, o objetivo foi aplicar o campo empírico com um modelo de ponderação teórica para se apropriar do tema. Relativo à ordem documental, um método para entender o regime de informação incorporado pela UFRGS posterior à vigência da LGPD é através do exame dos documentos institucionais que se relacionam com essa legislação. Isso é feito com o objetivo de identificar os fluxos, ferramentas e componentes fundamentais que constituem a base dessa estrutura.

A abordagem utilizada neste artigo é qualitativa, "centrando-se na compreensão e explicação das dinâmicas das relações sociais" (Gerhardt; Silveira, 2009, p. 34). O uso de várias fontes de pesquisa, a interpretação e discussão dos resultados da análise documental e a revisão da literatura usada no referencial teórico fornecem um entendimento mais profundo dos fenômenos por meio destas reflexões são características adicionais da pesquisa qualitativa presentes neste trabalho.

Trata-se de um estudo de caso para o qual é necessário "apreender a totalidade de uma situação e, criativamente, descrever, compreender e interpretar a complexidade de um caso concreto, mediante um mergulho profundo e exaustivo em um objeto delimitado", diz Martins (2008, p. 11). O foco do estudo neste artigo é o regime de informação da UFRGS, que foi criado ou alterado de acordo com a LGPD. Os documentos institucionais são o objeto do estudo. Como resultado, a caracterização do contexto – a aplicação da LGPD – está ligada ao regime de informação da UFRGS, então a análise que será apresentada neste artigo enquadra-se na estratégia proposta. Para atingir as considerações pretendidas, foi necessário entender os documentos institucionais e como eles se integram ao regime de informação da UFRGS sob a intervenção da LGPD.

 

3  LEI GERAL DE PROTEÇÃO DE DADOS E REGIME DE INFORMAÇÃO

Cada vez mais, o componente tecnológico da infocomunicação está presente na vida do sujeito. Castells (2017) afirma que isto é resultado do paradigma tecnológico que originou uma nova estrutura social baseada em redes digitais integradas, permitindo uma maior difusão de bens, serviços e informações, o que propiciou que o valor dos indivíduos fosse capitalizado utilizando dados pessoais. Legislações como a LGPD são necessárias no contexto da informação e do ambiente digital, onde nossas ações deixam marcas.

A LGPD é fundamentada por razões fáticas, éticas e legais e trabalha como um conjunto de orientações sobre o tratamento e proteção de dados pessoais (Botelho, 2020). A LGPD foi promulgada em 2018 e tornou-se vigente em setembro de 2020. Essa lei aplica-se a toda informação relacionada à pessoa natural identificada ou identificável (também utilizada como definição de dados pessoais pela própria lei) e dados referentes à raça, etnia, religião, opinião política, filiação a sindicado, saúde, vida sexual, dado genético ou biométrico (sintetizados através da denominação “dados sensíveis”). Possui incidência tanto sobre pessoas naturais ou pessoas jurídicas de direito público ou privado, sem distinção de suporte ou meio, independente do país ou sede do país em que esses dados se localizem, desde que a coleta ou operação tenha sido realizada em território nacional, com o intuito de oferta ou fornecimento de bens ou serviços (Brasil, 2018; Garcia; Aguilera Fernandes; Gonçalves; Pereira-Barretto, 2020).

Em relação ao seu aspecto prático, a lei versa sobre o tratamento desses dados pessoais, como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (Schwaitzer, 2020). A LGPD tem sido historicamente ligada ao direito à privacidade, sendo este um dos limites mais significativos do direito à informação. Por esta razão, para que o sujeito tenha autodeterminação informacional sobre seus dados pessoais “[...] é necessário atribuir-lhe certos direitos subjetivos em face daqueles responsáveis pelo controle de tais dados.” (Feigelson; Siqueira, 2019, p. 120).

Existem quatro personagens fundamentais para a dinâmica disposta pela LGPD. São estes: o titular de dados, o controlador, o operador e o encarregado, sendo o segundo e o terceiro também denominados agentes de tratamento. O primeiro, sujeito principal da referida lei, refere-se ao detentor dos dados pessoais. O controlador diz respeito à figura a quem cabem as decisões acerca do tratamento de dados pessoais, enquanto o operador realiza o tratamento em nome do controlador; ambos podem ser pessoas naturais ou jurídicas, de direito público ou privado. Por último, o encarregado de proteção de dados, é o personagem escolhido pelo controlador ou operador cuja função é intermediar a comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

A LGPD possui princípios norteadores. Para compreender uma lei em sua plenitude, deve-se analisar seus princípios, pois lei alguma possui a competência de antever as conjunturas nas quais regerá. Miranda (1996, p. 70) expõe que “os princípios, podem ser implícitos ou explícitos, e, não só condicionam a lógica do ordenamento jurídico, mas também fixam as diretrizes de sua interpretação”. Para além da observação da boa-fé, são estes os dez princípios da LGPD (Brasil, 2018): finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, responsabilização e da prestação de contas.

A LGPD também possui um rol de hipóteses jurídicas para o tratamento lícito de dados pessoais, ou seja, situações que permitem que o tratamento de dados ocorra: consentimento; cumprimento de obrigação legal ou regulatória pelo controlador; execução de contratos ou instrumentos anteriores a estes; exercício regular de direitos no âmbito judicial, administrativo e arbitral; proteção à vida ou incolumidade física do titular ou de terceiros; tutela da saúde (exclusivamente para profissionais da saúde, serviços de saúde ou autoridades sanitárias); proteção do crédito; interesses legítimos do controlador ou de terceiros; realização de estudos por órgão de pesquisa, garantindo a anonimização dos dados e o tratamento e uso compartilhado pela administração pública, necessários para a elaboração de políticas públicas. Para dados sensíveis, excluem-se as bases legais da execução de contrato, proteção do crédito e o interesse legítimo.

Por ser aplicável tanto no ambiente digital quanto físico, a LGPD abrangerá uma caracterização muito mais ampla do regime de informação de uma determinada situação ao levar em consideração estes dois tipos de cenários. O cenário do regime será significativamente mais dinâmico e, de acordo com González de Gomez e Chicanel (2008, p. 4) deve-se compreender um regime como um “instrumento analítico”. A partir desta compreensão:

 

O conceito de “regime de informação” contribuiria, ao dar visibilidade a estas questões, para uma melhor reflexão sobre essa passagem das dinâmicas sócio-culturais a outras configurações da informação, regulamentadas ou juridicamente definidas e explicitadas na ordem das políticas (leis, programas); passagem contínua, porém nem uniforme nem biunívoca (González de Gomez; Chicanel, 2008, p. 4).

 

Ademais, de que forma a LGPD se relaciona com o regime de informação? A produção e consumo de informações são o foco da sociedade contemporânea. Como resultado, a noção de regimes de informação pode ser aplicada à análise de uma variedade de contextos, sejam eles públicos ou privados, técnicos ou sociais, locais ou globais, e todos esses contextos possuem sujeitos, dispositivos tecnológicos, culturas, entre outros, inseridos em um meio de comunicação convencional (Bezerra; Silva; Guimarães; Souza, 2016).

É evidente que todo sistema de comunicação possui uma estrutura organizacional que os sujeitos inseridos devem seguir para que o fluxo de informações continue seu curso de maneira adequada e ininterrupta. Isso também se aplica ao fluxo de informações na situação analisada por este trabalho - uma instituição pública de ensino. A dinâmica desse sistema é conhecida como regime de informação. Frohmann (1995), um dos precursores sobre o conceito de regime de informação, afirma que para definirmos o regime informacional de alguma conjuntura, é necessário que o ambiente seja detalhado o bastante para caracterizar as interações entre os sujeitos, seus interesses, ferramentas utilizadas para comunicação e suas manifestações. O autor define regime de informação como:

 

[...] qualquer sistema ou rede mais ou menos estável na qual a informação flui através de determinados canais de produtores específicos, através de estruturas organizacionais específicas, para consumidores específicos ou usuários, de regime de informação. Radiodifusão, distribuição de filmes, publicações acadêmicas, bibliotecas, fluxos transfronteiras, e as infoestradas emergentes: todos eles são nós de redes de informação, ou elementos de um regime de informação específico. (Frohmann, 1995, p. 2).

 

Regimes de informação em regra são redes dinâmicas de grupos sociais em um determinado contexto; são fluxos de informações entre indivíduos em um determinado espaço que interagem usando tecnologias de comunicação. A análise de um regime de informação em uma esfera específica permite identificar os agentes atuantes do regime, como eles interagem, as regras e normas que o organizam e sistematizam e os princípios que norteiam as ações dos usuários. González de Gómez (2012, p. 43) propõe uma definição para regimes de informação:

 

[...] modo informacional dominante em uma formação social, o qual define quem são os sujeitos, as organizações, as regras e as autoridades informacionais e quais os meios e os recursos preferenciais de informação, os padrões de excelência e os modelos de sua organização, interação e distribuição, enquanto vigentes em certo tempo, lugar e circunstância. (González de Gómez, 2012, p. 43).

 

Os objetivos da LGPD e o conceito de regime de informação aproximam-se por um raciocínio apresentado por González de Gómez e Chicanel (2008, p. 4) onde regime delimita e estabiliza, “[...] seja pela sonegação e/ou substituição de informações, seja por efeitos não totalmente intencionais que resultantes daqueles atos seletivos de inclusão/exclusão de atores, conteúdos, ações e meios”.

Não é distante de um cenário criado pela LGPD o de um regime de informação cuja dinâmica do seu processo já é exposta ao firmar quem poderá e quem executará. Por um lado, o regime constrói um cenário por meio de suas particularidades. De outro lado, a LGPD regula juridicamente a cena caracterizando seus integrantes. E o regime seria afetado caso ocorresse mudanças na legislação, pois esta regula o regime. O "locus" do regime, bem como os recursos e ações de informação dos sujeitos, suas necessidades, interesses e ações informacionais também sofrerão mudanças se a ênfase da problemática jurídica modificar. (González de Gómez, Chicanel, 2008).

Portanto, a análise de um regime de informação permite uma melhor compreensão de seus componentes, o que resulta em uma melhor compreensão de sua dinâmica. Araújo (2014, online) aponta os elementos do regime através de: a) atores, através de pessoas ou organizações; b) ações de informação; c) os dispositivos representando as características regulatórias do regime; d) artefatos, os instrumentos utilizados para executar as ações de informação, englobando também os arquivos e documentos circulantes na dinâmica do regime de informação.

Braman (2004 apud Bezerra; Silva; Guimarães; Souza, 2016) elucida que o regime de informação é essencialmente um sistema de normas ou regras formais ou informais, implícitas ou explícitas:

 

[...] regime pode ser definido como um quadro normativo e regulatório internacional que é menos rígido e menos formal que o sistema jurídico, mas que serve para ligar todas as partes envolvidas em determinada matéria de interesse. Um regime inclui normas éticas e comportamentos, práticas culturais, hábitos, estruturas de conhecimento, formas organizacionais, processos decisórios individuais e do setor privado, as tecnologias, as leis formais e as regulamentações de governos oficialmente reconhecidos.

 

Um regime pode ser caracterizado através dos seus processos, efeitos e mudanças (Braman, 2004), atributos que podem ser encontrados em documentos institucionais da Universidade. Frohmann já afirmara que a representação dos regimes de informação permite investigar como “[…] estes se originam e se estabelecem, como determinam relações sociais, quais são as formas específicas de poder exercidas sobre eles e através deles” (Frohmann, 1995 apud Alves; Bezerra, 2019, p. 5). Ainda, eles podem desvelar o tipo de política e/ou regimento e podem interferir no arranjo desse regime. Os documentos institucionais neste caso serviriam como registros exemplares da influência da LGPD no regime de informação da UFRGS.

Ao relembrar e caracterizar o regime de informação como uma ferramenta de análise teórica, é possível examinar tal regime para que haja uma composição de “[…] um quadro analítico, em equilíbrio dinâmico, para a compreensão ampla e abrangente da política de informação […] em determinado campo jurídico e em determinado momento, considerando processos formais e informais nas tomadas de decisão” (Alves; Bezerra, 2019, p. 9). Por meio deste entendimento, fica claro o quão útil é associar a LGPD ao regime de informação para melhor interpretar os componentes de uma dinâmica informacional em determinadas situações. A presença da dita legislação permite identificar e caracterizar com sucesso os detalhes da situação em questão.

Ao longo da linha associativa da finalidade regulatória da LGPD e o caráter compositivo-procedimental do regime, é importante destacar alguns aspectos do último que estão presentes na legislação: a transparência entre as partes do relacionamento, a presença de uma estrutura regida por regulamentos cujo comportamento é apresentado no formato de rede, a necessidade de responsabilidade solidária da governança informacional entre o privado e público, e a existência do poder informacional como uma das formas de disposição dos componentes (Braman, 2004).

A LGPD atinge os objetivos do regime de informação estabelecendo padrões de execução de tarefas, pois, segundo Braman (2004, p. 25, tradução nossa)^[3] “o objetivo do regime é atingir efeitos específicos, com redução de incertezas no topo da lista. Isto pode ser alcançado coordenando políticas domésticas com regras comuns e procedimentos de soluções de controvérsias”.

 

4 O TRATAMENTO LEGAL DOS DADOS PESSOAIS NA UFRGS: DOCUMENTOS INSTITUCIONAIS

A seguir, inicia-se a análise dos documentos selecionados e brevemente apresentados na seção de Metodologia.

 

4.1 RESOLUÇÃO CSI Nº 1, DE 09 DE NOVEMBRO DE 2021: POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS DA UFRGS

Segundo o Manual de Padronização de Documentos Oficiais da Universidade Federal do Rio de Janeiro (UFRJ, 2016, p. 37), o conceito de resolução pode ser entendido como um “ato administrativo emanado de órgão colegiado registrando uma decisão ou uma ordem no âmbito de sua área de atuação, para disciplinar matéria de sua competência específica”. Esta definição está de acordo com o conteúdo da proposta exposta nas primeiras páginas do documento, elaborado pelo Comitê de Segurança da Informação (CSI), onde são exibidos os principais objetivos da Política de Proteção de Dados Pessoais da UFRGS, os quais incluem nortear os processos relativos à “[...] proteção de dados nas atividades da UFRGS, garantindo a privacidade dos dados pessoais que a universidade trata”. Além disso, o documento descreve os procedimentos técnicos e administrativos necessários para proteger os dados e a privacidade que todos os agentes públicos e demais executores da universidade devem seguir desde o início. Já uma política em si, conforme a norma ISO 9000:2015 (2015, p. 20) pode ser expressa como “intenções e direção de uma organização”.

Em seu conteúdo, a LGPD não traz de maneira literal que as instituições criem uma política de proteção de dados pessoais. Por outro lado, no seu teor, diz que uma instituição pode editar documentos infralegais, como uma política, para estabelecer diretrizes específicas de proteção de dados. Uma política de privacidade e proteção de dados pessoais deve explicar claramente como pretende tratar os dados dos titulares, quais fundamentos da dita legislação usará para fazer isso e para que fim. Deve estar disponibilizado de forma pública e atender de forma integral os princípios da LGPD (Brasil, 2018).

As ideias de Braman (2006), como parafraseado por Ferreira, Marques e Natale (2018), podem ser observadas da perspectiva dos documentos sobre privacidade e proteção de dados diante da natureza do documento a ser analisado e seu tópico específico. Estes autores afirmam que normativas como a LGPD regulam subdomínios institucionais que apresentam características de políticas de informação, incluindo os verbos que são usados para descrever o tratamento de dados pessoais em seu conteúdo, como processamento, armazenamento, distribuição, busca, uso e distribuição. Braman (2006, p. 70) define política de informação como todo instrumento jurídico que regula o “domínio da política de informação, comunicação e cultura”, incluindo também a política de proteção de dados da LGPD, que estabelece padrões, diretrizes, rumos e procedimentos que todas as organizações, sejam públicas ou privadas, devem seguir ao tratar os dados que circulam na organização. O princípio jurídico fundamental é garantir os direitos dos titulares e tomar medidas para assegurá-los e protegê-los, estabelecendo uma relação transparente e ética com os sujeitos cujos dados são tratados.

Devido à proposta do presente artigo, tornou-se necessário um resumo breve sobre política de informação. O conceito de regime de informação discutido nas seções anteriores está intrinsecamente relacionado a esse assunto. Essa ligação é reforçada por González de Gómez (2012, p. 43) que afirma “o regime de informação, como conceito analítico, remete às figuras contemporâneas do poder, mas colocando em questão os critérios prévios de definição e reconhecimento do que seja juntamente da ordem da política e da informação”.

A Política de Proteção de Dados Pessoais da UFRGS a ser analisada, desenvolvida pelo Encarregado de Dados/DPO da UFRGS, apresenta 14 capítulos em sua matéria, sendo do interesse desta pesquisa somente os seguintes pela relação direta com a proposta de investigação sob o viés composicional do regime de informação: capítulo V, referente ao tratamento de dados pessoais; capítulo IX, retenção de dados pessoais; capítulo X, relatórios de impacto e capítulo XI, privacidade desde a concepção. A seleção de capítulos teve em conta os destaques causados pela LGPD. Isso significa que foram escolhidos os procedimentos especificamente desenvolvidos e implementados pela UFRGS para estar em conformidade com a legislação acima mencionada, excluindo os capítulos somente destinados à introdução da matéria. Além disso, foi decidido situar o consulente sobre os conceitos adotados nesta Resolução, que fornecem transcrição literal do conteúdo normativo da lei.

O capítulo V fornece uma primeira descrição dos fundamentos de um regime de informação. Seu conteúdo usa verbos derivados do conceito de "tratamento de dados pessoais", mas adaptados para uma universidade pública. O tratamento de cada etapa do ciclo de vida do dado é reforçado nesta seção da resolução, considerando os elementos de um regime de informação. Tais elementos, estabelecidos por González de Gómez (2012) Braman (2006) e Frohmann (1995), definindo quais sujeitos tem autorização para tratar dados pessoais, limitando o acesso de terceiros somente mediante consentimento do titular e balizando o tratamento dos dados para que tal acesso somente ocorra por pessoa que precise para executar suas atividades profissionais relacionadas à UFRGS (art. 9, inciso II e art. 10); as normas éticas e comportamentais, ao salientar que os dados só poderão ser tratados mediante finalidade específica e “[…] de forma transparente e com respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e garantias individuais” (art. 9 e art. 12), e as estruturas organizacionais específicas (art. 9, inciso I e inciso III) ao estabelecer requisitos de segurança para processamento, armazenamento e eliminação de dados.

Os comentários teóricos de Braman (2004) na seção 3 podem ser usados para examinar esta correlação identificada, o regime determinado pela norma jurídica. Este paralelo faz com que os documentos institucionais sejam necessários quando as regras jurídicas afetam o regime de informação de um local. A normativa jurídica não especifica quais funções serão desempenhadas dentro de uma instituição, quais instrumentos serão usados ou qual fluxo de informações será descrito. Esta tarefa será realizada por meio de documentos como esta resolução e seu conteúdo, que abrange todos os capítulos por meio desta conceituação. Como resultado, o capítulo IX da presente Resolução, relativo à retenção de dados pessoais, fornece outras diretrizes para atender à LGPD. Podemos ver a necessidade de outras regras, bem como os padrões de privacidade e proteção de dados pessoais, neste caso específico.

A LGPD também traz a palavra “arquivamento”, uma etapa do ciclo de vida dos dados e, em vista disso, deve estar prevista na Política de Proteção de Dados Pessoais da UFRGS. A legislação possui outras normativas jurídicas que a complementam, como a Portaria do Arquivo Nacional n. 92 de 23 de setembro de 2011, que estabelece o Código de Classificação e a Tabela de Temporalidade e Destinação de Documentos de Arquivos das Instituições Federais de Ensino, que, por exemplo, determina que documentos contendo dados do histórico escolar são de retenção permanente e não podem ser eliminados.

O regime de informações da UFRGS está apresentando um novo elemento devido à complexidade das normas que interagem com a LGPD. As normas agora afetam os dados tratados simultaneamente. Como resultado, a LGPD não é uma regra que funciona sozinha; em vez disso, deve funcionar em conjunto com outros conteúdos legais. O inciso II do artigo 17 e o artigo 18, juntamente com suas subseções da norma interna da UFRGS, abrangem ambos os aspectos da retenção de dados pessoais sob a perspectiva da LGPD e a questão da temporalidade dos documentos no capítulo.

Em relação às finalidades de um regime de informação, explicado por Braman (2004) na seção 3 deste artigo, nota-se que a UFRGS está trabalhando para alcançar a conformidade esperada com a LGPD por meio da combinação de retenção e temporalidade de dados pessoais. Conforme acima mencionado, a ideia de complementar e seguir os padrões da LGPD, como no caso da retenção de dados descrita nesta Resolução, permite que haja mais certeza sobre como os serviços relacionados a esta atividade serão executados. Na estruturação do regime de informação da UFRGS, a busca pela conformidade com a LGPD o torna mais regulado e regulamentado legalmente.

Para os relatórios de impacto do capítulo X, o mapeamento de riscos associados ao uso dos dados é fundamental. Este documento auxilia o controlador a encontrar falhas ou processos que exigem cuidado extra (como o tratamento de dados sensíveis) ou que são propensos a invasões ou vazamento, colocando em risco a integridade do titular.

Este relatório é um instrumento novo desenvolvido para encontrar falhas no processo de tratamento e garantir melhorias na segurança dos dados em procedimentos específicos. Alves e Bezerra (2019) ao refletirem sobre as concepções de Braman (2004), pontuam em seu trabalho que “a formação de um regime é um processo pelo qual novas formas de política emergem no campo do pensamento e da ação política, demandando mudanças em leis e regulamentos”. No caso desta situação, após a publicação da LGPD, fez-se necessário um instrumento documental institucional para detalhar o cumprimento de determinadas medidas exigidas por lei, disponível de forma pública a fim também de cumprir com os direitos dos titulares acerca do princípio da transparência, conforme o art. 18 da LGPD.

O capítulo IX refere-se à privacidade desde a concepção, mais conhecida como privacy by design. Este conceito foi criado pela canadense Ann Cavoukian, cujo propósito é incorporar a privacidade em operações, ferramentas e estruturas de informação de maneira holística, integrativa e criativa desde seu início e/ou criação (Cavoukian, 2010). O conceito de privacidade na LGPD pode ser associado aos componentes essenciais do regime de informação, como os sujeitos, os dispositivos de informação e os artefatos de informação (González de Gómez, 2003).

Ou seja, que a privacidade esteja inserida desde o início de um processo. Se a privacidade não for implementada de forma integral e holística como proposta por Ann Cavoukian, não será possível arquitetar um regime de informação próprio daquele ambiente, delimitado pelas condições impostas pela LGPD.

 

4.2 RESOLUÇÃO CSI Nº 3, DE 07 DE DEZEMBRO DE 2021: POLÍTICA DE CLASSIFICAÇÃO E COMPARTILHAMENTO DE DADOS DA UFRGS

Este documento faz referência ao modo de categorização dos dados tratados pela UFRGS, classificação associada de maneira intrínseca com as condições e o tipo de compartilhamento. Para ir ao encontro do propósito desta pesquisa, foram analisados os capítulos IV e V, Classificação de Dados e Níveis de Compartilhamento de Dados, e Compartilhamento de Dados, respectivamente. Esta resolução interna está em consonância com o art. 50 da LGPD, cujo teor abrange os tópicos de boas práticas e governança acerca da privacidade e proteção de dados.

Seu conteúdo inclui uma classificação de compartilhamento no Capítulo IV. A LGPD não traz de forma literal que instituições públicas ou privadas categorizem seus compartilhamentos. No entanto, o Decreto no 10.046, de 9 de outubro de 2019, que regula o compartilhamento de dados no âmbito da administração pública federal, classifica os tipos de compartilhamento de dados de acordo com sua confidencialidade, descritos no artigo 5, os quais podem ser encontrados nos seguintes incisos (UFRGS, 2021):

I - compartilhamento amplo: dados públicos que não estão sujeitos a nenhuma restrição de acesso, cuja divulgação deve ser pública e garantida a qualquer interessado, na forma da legislação;

II - compartilhamento restrito: dados protegidos por sigilo, nos termos da legislação com concessão de acesso a todos os órgãos e entidades para a execução de políticas públicas;

III - compartilhamento específico: protegidos por sigilo, nos termos da legislação, com concessão de acesso a órgãos e entidades específicos, nas hipóteses e para os fins previstos em lei, cujo compartilhamento e regras sejam definidos pelo gestor de dados.

A correlação entre a classificação do compartilhamento e categorização dos dados mostra-se evidente quando é analisado o decreto e o 6º artigo deste documento, em especial os seguintes incisos:

I – compartilhamento amplo: dados funcionais e financeiros relacionados a cargos e funções públicas, destinados à transparência e controle social;

II – compartilhamento restrito: demais dados pessoais necessários ao cumprimento de legislação competente, incluindo dados pessoais sensíveis e relacionados a crianças e adolescentes.

Para fins de contextualização, é necessário fornecer exemplos das categorizações de compartilhamento e dados de dados: no inciso I do artigo 5º, podemos exemplificar o compartilhamento da lista de aprovados na forma de divulgação pública dos resultados do processo seletivo dos cursos superiores de graduação, incluindo a forma nominal dos classificados, a ordem de classificação e o cronograma das chamadas para matrícula, conforme exigido pela Lei no 13.826, de 13 de maio de 2019. No inciso II, uma situação específica pode exigir o compartilhamento de dados sensíveis, como dados de raça, para a validação e implementação da Lei no 12.711 de 29 de agosto de 2012, a "Lei de Cotas", que regula o acesso às universidades federais e instituições federais de ensino técnico de nível médio. A decisão do gestor de dados – a UFRGS – de compartilhar dados sigilosos de seus funcionários (como dados de escolaridade) com outras organizações para apoiar programas de desenvolvimento educacional ou capacitação pode ser consistente com o explicitado no inciso III.

Com relação ao artigo 6º desta Resolução, o inciso I refere-se ao artigo 23 da LGPD, onde pode ser localizada a publicização nominal dos ganhos ou benefícios recebidos pelos agentes públicos:

 

O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público [...].

 

Para ilustrar o inciso II do artigo 6º, apresentamos a situação do compartilhamento de dados pela Superintendência de Gestão de Pessoas (SUGESP) da UFRGS sobre crianças e adolescentes dependentes com a Receita Federal para fins de abatimento do imposto de renda. Isso está em conformidade com o Decreto no 9.580, de 22 de novembro de 2018, que regulamenta a tributação, fiscalização, arrecadação e administração do Imposto sobre Renda e Proventos de Qualquer Natureza.

Desta forma, começa-se a examinar as correlações com as partes constitutivas de um regime de informação. Nesse documento, é possível identificar três componentes principais: o fluxo de informação, as relações de poder e os sujeitos, com ênfase no compartilhamento.

Em relação ao fluxo de informação, os procedimentos de classificação de dados e determinação de níveis de compartilhamento demonstram aspectos da natureza seletiva dessas ações e são maneiras notáveis de delinear o fluxo de informação de um regime de informação em um determinado ambiente. A "produção, organização, comunicação e transferência de informações" (Bezerra; Silva; Guimarães; Souza, 2016, p. 61) é uma das partes de um fluxo de informação que são feitas por indivíduos com poder e conhecimento em um determinado contexto. Conforme afirmado por González de Gómez (1999), as ações seletivas desses processos são relevantes. A mesma autora  usa o termo "cadeia de informação" para descrever "[...] um processo sequencial, no qual a informação circularia entre diferentes atores, organizações e finalidades" (González de Gómez, 2012, p. 45). Portanto, é possível fazer uma comparação entre o fluxo de informação (ou também chamado de cadeia de informação) e os pontos apresentados nos capítulos IV e V desta resolução - Classificação de Dados e Níveis de Compartilhamento - onde a LGPD define claramente quais dados são públicos sem restrições de acesso aos sujeitos - e onde os dados protegidos são usados para compartilhamento e acesso.

A LGPD afeta a definição do fluxo de informações ao determinar o tipo de compartilhamento. Como mencionado, os dois tipos de compartilhamento, amplo e restrito, limitam o tipo de dados que podem ser compartilhados. Nissenbaum (2011 apud González de Gómez, 2015, p. 353) discute como os fluxos de informação podem proteger a privacidade dos dados pessoais nesse contexto:

 

[....] neste ponto de vista, privacidade surge como um direito a um fluxo «adequado» das informações, tal como definido por um contexto específico (2010,107 e seguintes). Tais contextos ou «esferas da vida» podem incluir, por exemplo, educação, mercado, vida política, e assim por diante. Para um determinado contexto, um conjunto específico de normas informativas definem os fluxos habituais ou esperados de informações dentro desse contexto. Estes, por sua vez, são definidos por três parâmetros: os atores envolvidos (por exemplo, como assunto, remetente e/ou destinatário); atributos (os tipos de informação); e «princípios» de transmissão que determinar “as restrições sob as quais os fluxos de informação (Nissenbaum, 2011, p.33 apud González de Gómez, 2015, p. 353).

 

Cada componente do documento analisado pode ser localizado diante dessa citação. A Resolução atual, analisada no contexto do tratamento de dados pessoais e sensíveis na UFRGS, é o conjunto de normas. Quando se trata dos parâmetros de permissão de acesso, a afirmação diz que os atores envolvidos são agentes ou cidadãos que têm ou não permissão para acessar dados específicos; características e tipos de informações são compatíveis com a classificação detalhada dos dados apresentada no documento; e por último, os princípios se encaixam na categorização do compartilhamento de dados, ou seja, as regras que regulam todo o fluxo de informações. A influência da LGPD ao impor a elaboração de documentos como o analisado explica a privacidade mencionada na citação.

As relações de poder dentro do fluxo de informação de uma norma devem ser claras para que ele seja plenamente executado. Em vários de seus trabalhos, Michel Foucault diz que as relações são o meio pelo qual o poder pode ser definido. O autor descreve relação de poder como algo que "[...] não se dá, não se troca nem se retoma, mas se exerce, só existe em ação; [...] poder não é principalmente a manutenção e reprodução das relações econômicas, mas acima de tudo uma relação de força" (Foucault, 2004, p. 175).

Só será viável o poder normativo da LGPD se houver um regime de informação que trate dados pessoais por entidades públicas e privadas, com sujeitos, instrumentos, regras e fluxos de informação específicos. Em outras palavras, deve haver um conjunto específico de elementos de um cenário específico com um regime de informação específico. A lei não é necessária se não há uma circunstância ou um propósito para sua aplicação. Segundo Brígido (2013, p. 59), em seu estudo sobre a análise do poder sob a perspectiva de Michel Foucault, "[...] a questão das leis, consideradas como os meios nos quais [instituições ou seres humanos] se baseiam para o exercício do poder", a LGPD pode ser considerada uma maneira de definir as relações de poder informacional dentro da UFRGS; e no caso específico dos dados pessoais e dados sensíveis, determina quem poderá ter acesso (o que implica a restrição para outros), de que forma poderá ter acesso e em quais condições este acesso será concedido. Portanto, o documento analisado é um instrumento institucional que estabelece e revela as relações de poder criadas pela LGPD.

Segundo Foucault (2004), o poder não pode ser possuído, controlado ou utilizado. Portanto, para que a LGPD cumpra suas obrigações legais, é necessário fornecer evidências de que os sujeitos presentes no fluxo de informações do compartilhamento de dados são aqueles que experimentam e representam essas relações de força. Aqui deve ser levado em consideração o segmento das ações dos sujeitos quanto ao compartilhamento de informações em suas práticas regidas pela LGPD do que seu uso no formato de armazenamento (Ekbia; Evans, 2009). A noção de regime de informação, no contexto desta Resolução examinada nesta subseção, particularmente os capítulos IV e V, permite entender como os sujeitos devem se comportar sob as diretrizes da LGPD. Isso é particularmente verdadeiro quando se trata de permissões, restrições ou limitações de acesso para determinadas pessoas em circunstâncias específicas, bem como a designação, quando necessário, de grupos autorizados a tomar decisões sobre o compartilhamento.

A exigência de proteção do direito à privacidade no que diz respeito ao sujeito, bem como o fato de que "os coletivos formados ou atuantes nas redes, como sujeitos relacionais, demandariam novas normas de acesso às informações de e sobre seus participantes, e, ao parecer, teriam certo poder na reformulação da morfologia das redes" (González de Gómez, 2015, p. 353), obrigam os sujeitos inseridos em um regime de informação a comportarem-se em conformidade com o contexto imponente da LGPD. Em relação a esta citação, podemos mostrar como os dados dos servidores da UFRGS são compartilhados com outros órgãos públicos com fins específicos e em conformidade legal. Isso cria uma dinâmica de relações de poder com direções ambivalentes, mas sempre seguindo o padrão normativo da lei. O sujeito é tanto o executor do cumprimento da lei quanto o indivíduo que sofre os efeitos da norma. Araújo (2014) acrescenta que a representação das ações e dispositivos desses atores ajuda a descrever melhor seu comportamento, incluindo os dispositivos e instrumentos determinantes.

Devido ao exposto, é possível verificar a existência de uma conexão entre as relações entre o poder, os sujeitos e os fluxos de informação presentes no regime de informação representado e materializado nesta norma interna da UFRGS. Essa combinação abrangente de elementos do regime de informação, implementado de acordo com as leis de privacidade e proteção de dados pessoais, cumpre a ideia central da LGPD: proteger os direitos dos titulares de dados pessoais com o objetivo de atender ao direito à privacidade. Gonzalez de Gómez e Chicanel (2008, p. 4) mostram como essa dinâmica se move e como ela se torna equilibrada:

 

O regime de informação remete à distribuição do poder formativo e seletivo de “testemunhos” sociais - entre atores e agências organizacionais, setores de atividades, áreas do conhecimento, regiões locais e redes internacionais e globais -, seja na medida em que definem, constroem e estabilizam as zonas e recursos de visibilidade social regulada, seja pela sonegação e/ou substituição de informações, seja por efeitos não totalmente intencionais que resultantes daqueles atos seletivos de inclusão/exclusão de atores, conteúdos, ações e meios. Cada vez que mudam os eixos de ênfases e relevância dos atores sociais e suas demandas e interesses, mudariam também todos ou muitos dos parâmetros que configuram o “locus” de entendimento e definição de recursos e ações de informação.

 

Como resultado, esta resolução refere-se a esta dinâmica mencionada na citação. O documento descreve as relações de poder entre os sujeitos que podem ou não ter acesso ao fluxo de dados pessoais e informações, bem como a classificação dos tipos de compartilhamento no regime moldado pela LGPD. Este caso deve ser pensado como uma equação cujas variáveis vêm de várias fontes e orientações. Essas variáveis "[...] combinadas, definem os modos de distribuição – entre diferentes atores sociais, atividades e regiões - da potência construtiva e do poder seletivo que se manifestam na geração, circulação, acesso e uso de informação" (González de Gómez; Chicanel, 2008, p. 5).

 

 

 

 

 

5 CONSIDERAÇÕES FINAIS

Conforme demonstrado nas seções anteriores, é possível concluir que a LGPD afeta o regime de informação da UFRGS de tal maneira que altera os hábitos e práticas de tratamento de dados. Além disso, a LGPD incentivou a criação de documentos institucionais que estão presentes na dinâmica do regime de informação e foram desenvolvidos para apoiar a conformidade com essa legislação.

Além disso, a legislação analisada criou formas de fluxo de informações; um dos instrumentos desta implementação é o relatório de impacto na proteção de dados pessoais. Conforme mencionado, este documento requer um mapeamento dos riscos associados às operações de tratamento de dados pessoais, bem como uma lista de mudanças necessárias para mitigar esses riscos. Outros elementos do regime são afetados pela criação deste documento. Esses elementos incluem estruturas de conhecimento, organização, processos de tomada de decisão e uso de tecnologia, todos necessários para que o regime de informações da UFRGS se adeque à LGPD.

Tratando-se dos documentos analisados, é evidente que contribuíram para a consonância jurídica-institucional posto que estão presente no regime de informação, delineando seus componentes e encaminhando-o para o objetivo de conformidade.

O personagem principal da LGPD é o titular de dados, pois a criação desta legislação foi motivada principalmente pelo tratamento indevido dos dados. Portanto, não é surpresa que esta legislação tenha como objetivo fornecer maior autodeterminação informativa para o titular dos dados.

A LGPD, que foi criada em 2018 e está vigente desde 2021, ainda não prevê todas as situações possíveis no setor público ou privado. Até o momento, a ANPD publicou vários documentos instrutivos destinados ao poder público, consolidando o que já foi escrito na legislação. Um desses documentos é o Guia Orientativo para Tratamento de Dados Pessoais pelo Poder Público.

Como resultado, a ANPD deverá desenvolver e apresentar novas definições nos próximos anos para melhorar a instrução sobre o tratamento de dados pelas organizações públicas e privadas. Como resultado, essas publicações esperadas podem afetar o regime de informação da UFRGS, permitindo futuras investigações; sejam atualizações deste artigo como elaboração de pesquisas originais.

Pode-se considerar a pergunta do início do artigo respondida. Ao examinar os documentos institucionais relacionados à LGPD, foi possível caracterizar o regime de informação da UFRGS analisando seus elementos em relação ao conteúdo da lei. Isso levou à conclusão de que a publicação desses documentos implicou em mudanças no regime para alcançar a adequação pretendida.

O objetivo deste artigo pode ser considerado alcançado ao analisar os documentos selecionados, pois a pesquisa destes permitiu identificar a influência da LGPD no regime de informação da UFRGS. A intervenção desta legislação no referido regime já é evidente pela própria criação destes documentos. Em resumo, após a conclusão das investigações necessárias e a consecução do objetivo, espera-se que este trabalho possa servir de inspiração para futuras pesquisas sobre o assunto.

 

REFERÊNCIAS

 

AGÊNCIA O GLOBO. Brasil é o país mais vulnerável a vazamento de informações, diz pesquisador. Revista Pequenas Empresas & Grandes Negócios, [S. l.], 14 set.

2017. Disponível em: https://revistapegn.globo.com/Tecnologia/noticia/2017/09/brasil-e-o-pais-mais- vulneravel-vazamento-de-informacoes-diz-pesquisador.html. Acesso em: 03 abr. 2021.

 

ALVES, Thiara dos Santos; BEZERRA, Arthur Coelho. Informação, política e poder: 20 anos do conceito de “regime de informação” em Maria Nélida González de Gómez. In: ENCONTRO NACIONAL DE PESQUISA E PÓSGRADUAÇÃO EM CIÊNCIA DA INFORMAÇÃO (ENANCIB), 10., Florianópolis, Anais... Florianópolis: [S.n.], 2019. Disponível em: http://hdl.handle.net/20.500.11959/brapci/122938. Acesso em: 13 abr. 2022.

 

ARAÚJO, Ronaldo Ferreira de. Atores e ações de informação em redes sociais na internet: pensando os regimes de informação em ambientes digitais. DataGramaZero, [S.l.], v. 15, n. 3, 2014. Disponível em: http://hdl.handle.net/20.500.11959/brapci/8239. Acesso em: 19 abr. 2022.

 

BEZERRA, Emy Pôrto; SILVA, Zayr Cláudio Gomes da; GUIMARÃES, Ítalo José Bastos; SOUZA, Edivanio Duarte de. Regime de informação: abordagens conceituais e aplicações práticas. Em Questão, Porto Alegre, v. 22, n. 2, p. 60-86, ago. 2016. Disponível em: http://dx.doi.org/10.19132/1808-5245222.60-86. Acesso em: 12 set. 2021.

 

BOTELHO, Marcos. A proteção de dados pessoais enquanto direito fundamental: considerações sobre a lei geral de proteção de dados pessoais. Argumenta Journal Law, Jacarezinho, n. 32, p. 191-207, 2020. Disponível em:

https://core.ac.uk/reader/327193050. Acesso em: 07 jul. 2021.

 

BRAMAN, Sandra. Change of state: Information, policy, and power. Cambridge, MA: MIT Press, 2006.

 

BRAMAN, Sandra. The emergent global information policy regime. In: BRAMAN, Sandra (Ed.). The emergent global information policy regime. Hampshire: Palgrave, 2004. Disponível em: http://people.tamu.edu/~braman/bramanpdfs/022_emergentregime.pdf. Acesso em: 01 out. 2021.

 

BRASIL. Arquivo Nacional. Portaria nº 92, de 23 de setembro de 2011. Diário Oficial da União, Brasília, 26 de setembro de 2011.

 

BRASIL. Constituição da República Federativa do Brasil de 1988. Brasília, 5 de outubro de 1988. Disponível em: https://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 10 jan. 2023.

 

BRASIL. Decreto nº 10.046, de 9 de outubro de 2019. Dispõe sobre a governança no compartilhamento de dados no âmbito da administração pública federal e institui o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados. Brasília, 9 de outubro de 2019. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/decreto/D10046.htm. Acesso em: 01 jan. 2023.

 

BRASIL. Lei nº 12.527, de 18 de novembro de 2011. Regula o acesso a informações previsto no inciso XXXIII do art. 5º , no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro de 1991; e dá outras providências. Brasília, 18 de novembro de 2011. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm. Acesso em: 01 jan. 2023.

 

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília , 14 de agosto de 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 01 jan. 2023.

 

BRASIL. Lei nº 12.711, de 29 de agosto de 2012. Dispõe sobre o ingresso nas universidades federais e nas instituições federais de ensino técnico de nível médio e dá outras providências. Brasília, 29 de agosto de 2012. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12711.htm. Acesso em: 01 jan. 2023.

 

BRÍGIDO, Edimar Inocêncio. Michel Foucault: uma análise de poder. Revista de Direito Econômico e Socioambiental, Curitiba, v. 4, n. 1, p. 56-75, jan./jun. 2013. Disponível em: https://dialnet.unirioja.es/descarga/articulo/6172849.pdf. Acesso em: 27 maio 2022.

 

CASTELLS, Manuel. A sociedade em rede. 18. ed. São Paulo: Paz e Terra, 2017.

 

CAVOUKIAN, Ann. Privacy by design: the 7 foundational principles. 2010. Disponível em: https://iapp.org/media/pdf/resource_center/pbd_implement_7found_principles.pdf Acesso em: 16 maio 2022.

 

EKBIA, Hamid R.; EVANS, Tom P. Regimes of information: land use, management, and policy. The Information Society, v. 25, n. 5, p. 328-343, set. 2009. Disponível em: https://www.tandfonline.com/doi/abs/10.1080/01972240903212789. Acesso em: 30 jun. 2022.

 

FEIGELSON, Bruno; SIQUEIRA, Antonio Henrique Albani (coord.). Comentários à lei geral de proteção de dados: Lei /2018. São Paulo: Revista dos Tribunais, 2019.

 

FERREIRA, Daniela A. A.; MARQUES, Rodrigo M.; NATALE, Alexandra. A política de informação na arena da privacidade dos dados pessoais. In: ENCONTRO NACIONAL DE PESQUISA EM CIÊNCIA DA INFORMAÇÃO, 19., 2018, Londrina. Anais… Londrina: ENANCIB, 2018, p. 3119-3138. Disponível em: https://bit.ly/2BcTxup . Acesso em: 08 abr. 2022.

 

FOUCAULT, Michel. Microfísica do poder. 23. ed. São Paulo: Graal, 2004.

 

FROHMANN, B. Talking information policy beyond information science: applying the actor network theory. In: OLSON, H. A.; WARD, D. B. (Eds.). ANNUAL CONFERENCE OF THE CANADIAN ASSOCIATION FOR INFORMATION

SCIENCE, 23., 1995, Edmonton, Alberta, Proceedings… 1995. Disponível em: http://www.caiscsi. ca/proceedings.1995/frohmann_1995.pdf. Acesso em: 18 set. 2021.

 

GARCIA, Lara Rocha; AGUILERA-FERNANDES, Edson; GONÇALVES, Rafael

Augusto Moreno; PEREIRA-BARRETTO, Marcos Ribeiro. Lei Geral de Proteção de Dados (LGPD): guia de implantação. São Paulo: Blucher, 2020.

 

GERHARDT, Tatiana Engel; SILVEIRA, Denise Tolfo (Orgs.). Métodos de pesquisa. Porto Alegre: Editora da UFRGS, 2009. Disponível em: https://lume.ufrgs.br/handle/10183/52806. Acesso em: 15 out. 2021.

 

GONZÁLEZ DE GÓMEZ, Maria Nélida. O caráter seletivo das ações de informação. Informare, Rio de Janeiro, v.5, n.2, p.7-31, 1999. Disponível em: https://ridi.ibict.br/handle/123456789/126. Acesso em: 18 abr. 2022.

 

GONZÁLEZ DE GÓMEZ, Maria Nélida. Novos cenários políticos para a informação. Ciência da Informação, Brasília, v. 31, n. 1, p. 27-40, jan./abr. 2002. Disponível em: http://revista.ibict.br/cienciadainformacao/index.php/ciinf/article/view/170/149. Acesso em: 25 set. 2021.

 

GONZÁLEZ DE GÓMEZ, Maria Nélida. Regime de informação: construção de um conceito. Informação & sociedade: estudos, João Pessoa, v. 22, n. 3, p.43-60, 2012. Disponível em: http://www.ies.ufpb.br/ojs/index.php/ies/article/view/14376. Acesso em: 20 set. 2021.

 

GONZÁLEZ DE GÓMEZ, Maria Nélida. As relações entre ciência, estado e sociedade: um domínio de visibilidade para as questões da informação. Ciência da Informação, v. 32, n. 1, p. 60-76, 2003. Disponível em: https://www.scielo.br/j/ci/a/KQV7G77RcxK7F6cCH96pVDb/?lang=pt. Acesso em: 24 jun. 2021.

 

GONZÁLEZ DE GÓMEZ, Maria Nélida. Validade científica: da epistemologia à politica e à ética. Liinc em Revista, Rio de Janeiro, v. 11, n. 2, p. 339-359, nov. 2015. Disponível em: https://brapci.inf.br/index.php/res/download/95204. Acesso em: 01 maio. 2022.

 

GONZÁLEZ DE GÓMEZ, Maria Nélida; CHICANEL, Marize. A mudança de regimes de informação e as variações tecnológicas. In: ENCONTRO NACIONAL DE PESQUISA EM CIÊNCIA DA INFORMAÇÃO, 9. 2008, São Paulo. Anais... São Paulo: USP, 2008. Disponível em: http://repositorios.questoesemrede.uff.br/repositorios/handle/123456789/1626?show=full. Acesso em: 02 abr. 2022.

 

LIMA, Marcia H. T. de Figueredo; CORDEIRO, Helena Duarte; GOMES, Claudiana. Antecedentes e perspectivas do direito à informação no Brasil: a Lei de Acesso à Informação como marco divisor. In: MOURA, Maria Aparecida (org.). A construção social do acesso público à informação no Brasil: conceito, historicidade e repercussões. Belo Horizonte: UFMG, 2014. cap. 2, p. 47-70.

 

LIMA, Marcia H. T. de Figueiredo; CORDEIRO, Helena Cristina Duarte; GOMES, Claudia Almeida de Souza; OLIVEIRA, Carlos Eduardo Silva de. Uma análise do estatuto princípio-epistemológico do direito à informação na lei de acesso à informação (lei 12527/2011). In: ENCONTRO NACIONAL DE PESQUISA E PÓSGRADUAÇÃO EM CIÊNCIA DA INFORMAÇÃO (ENANCIB), 13., Rio de Janeiro, Anais... Rio de Janeiro: [S.n.], 2012. Disponível em: http://repositorios.questoesemrede.uff.br/repositorios/bitstream/handle/123456789/10 81/LIMA%3BCORDEIRO%3BGOMES%3BOLIVEIRA.pdf?sequence=1. Acesso em:

15 set. 2021.

 

MARTINS, Gilberto Andrade. Estudo de caso: uma reflexão sobre a aplicabilidade em pesquisa no Brasil. Revista de Contabilidade e Organizações, [S. l.], v. 2, n. 2, p. 9-18, 2008. Disponível em: https://www.revistas.usp.br/rco/article/view/34702. Acesso em: 31 mar. 2022.

 

MIRANDA, Rosângelo Rodrigues. A proteção constitucional da vida privada. São Paulo: Led, 1996.

 

SCHWAITZER, Lenora Beaurepaire da Silva. LGPD e acervos históricos: impactos e perspectivas. Archeion Online, João Pessoa, v. 8, n. 2, p.36-51, out./dez. 2020. Disponível em: https://periodicos.ufpb.br/ojs/index.php/archeion/article/view/57020/32532. Acesso em: 06 jul. 2021.

 

TIMES HIGHER EDUCATION. Latin America University Rankings 2021. 2021. Disponível em: https://www.timeshighereducation.com/world-university- rankings/2021/latin-america-university- rankings#!/page/0/length/25/sort_by/rank/sort_order/asc/cols/undefined. Acesso em: 30 jul. 2021.

 

UFRJ – UNIVERSIDADE FEDERAL DO RIO DE JANEIRO. Sistema de Arquivos. Divisão de Gestão Documental e da Informação. Manual de Padronização de Documentos Oficiais da Universidade Federal do Rio de Janeiro. 2. ed., rev., atual. e ampl. Rio de Janeiro: UFRJ, 2016. Disponível em: https://ufrj.br/wp-content/uploads/2020/09/manual-padronizacao-documentos-ufrj-versao-2020.pdf. Acesso em: 15 jun. 2022.

 

UFRGS – UNIVERSIDADE FEDERAL DO RIO GRANDE DO SUL. UFRGS em números. 2019. Disponível em: https://www1.ufrgs.br/paineldedados/ufrgs_numeros.html#Unidout. Acesso em: 28 jul. 2021.

 

UFRGS – UNIVERSIDADE FEDERAL DO RIO GRANDE DO SUL. Comitê de Segurança em Informação. Resolução CSI nº 3, de 07 de dezembro de 202. Política de Classificação e Compartilhamento de Dados da UFRGS. 2021. Disponível em: https://www.ufrgs.br/proprivacidade/docs/UFRGS-PoliticaClassificacaoCompartilhamentoDados.pdf. Acesso em: 18 jun. 2022.

 

UFRGS – UNIVERSIDADE FEDERAL DO RIO GRANDE DO SUL. Comitê de Segurança em Informação. Resolução CSI nº 1, de 09 de novembro de 2021. Política de Proteção de Dados Pessoais da UFRGS. 2021. Disponível em: https://www.ufrgs.br/proprivacidade/docs/UFRGS-PoliticaProtecaoDadosPessoais.pdf. Acesso em: 18 jun. 2022.