1. INTRODUÇÃO

A Fundação de Amparo à Pesquisa e Inovação do Espírito Santo – Fapes é autarquia pertencente ao Governo do Estado do Espírito Santo, vinculada à Secretaria da Ciência, Tecnologia, Inovação, Educação Profissional e Desenvolvimento Econômico, e que tem por finalidade o apoio institucional, financeiro e técnico a programas e projetos de natureza científica, tecnológica, de inovação e de extensão no Espírito Santo, visando ao desenvolvimento socioeconômico e ambiental sustentáveis do nosso estado, conforme art. 2º da Lei Complementar Estadual n. 978/2021.

Além disso, a Fapes é a instituição gestora do Nossa Bolsa, conforme art. 15 da Lei Estadual n. 9.263/2009, que disciplina o programa.

No desempenho de tais funções, é inevitável que a Fapes trabalhe com dados pessoais dos interessados em participar dos programas e projetos executados pela instituição, do que deriva uma série de compromissos e responsabilidades relacionados à proteção dos direitos fundamentais do cidadão à liberdade, privacidade e ao livre desenvolvimento da personalidade da pessoa natural.

Este documento visa justamente apresentar à sociedade, de forma clara e acessível, a política geral de tratamento de dados pessoais executada pela Fapes.

Caso, após a leitura deste documento, persistam dúvidas a respeito do tema, ou haja interesse em formular sugestões ou reclamação relacionadas a seu conteúdo, a Fapes incentiva todos a entrarem em contato direto com o encarregado interno da Fapes, ou por meio do Sistema de Ouvidoria do Poder Executivo do Estado do Espírito Santo, e registrar seus questionamentos e contribuições.

Este documento estará em constante revisão e atualização, de forma a acompanhar a evolução das regras de proteção de dados e da interpretação dos tribunais brasileiros e da Autoridade Nacional de Proteção de Dados.

2. NORMATIVA APLICÁVEL

A política de tratamento de dados pessoais apresentada neste documento se submete inteiramente à Lei n. 13.709/2018, também chamada Lei Geral de Proteção de Dados, ou LGPD, e sua regulamentação. A LGPD é o principal diploma normativo a respeito do assunto e traz definições como o conceito de dados pessoais, a determinação de quais dados são considerados sensíveis, os princípios jurídicos que regem o tratamento de dados pessoais e os direitos dos cidadãos nesse contexto.

No estado do Espírito Santo, também vigora a Política Estadual de Proteção de Dados Pessoais e da Privacidade do Poder Executivo Estadual, instituída pelo Decreto Estadual n. 4.922-R/2021, em inteira consonância com a LGPD, e que se presta a abordar o tema sob a perspectiva regional.

A par da LGPD, também é de grande relevância para o tema da proteção de dados a Lei n. 12.527/2011, também chamada Lei de Acesso à Informação, ou LAI, que regulamenta as hipóteses e formas de acesso do cidadão a dados, informações e documentos públicos. Em âmbito estadual, o acesso à informação de cunho público é regido pela Lei Estadual n.  9.871/2012 e pelo Decreto Estadual n. 3.152-R/2012, que a regulamenta.

Além desses, outros diplomas normativos possuem relevância complementar em matéria de proteção de dados pessoais, a exemplo da própria Constituição da República Federativa do Brasil de 1988, do Marco Civil da Internet – Lei n. 12.965/2014 e do Código de Defesa do Consumidor – Lei n. 8.078/1990.

3. TERMINOLOGIA

Para a devida compreensão deste documento, é fundamental que o cidadão conheça o significado de algumas palavras e expressões utilizados aqui em sentido técnico. Para contribuir com o entendimento do leitor, apresentamos algumas definições de suma relevância, todas elas extraídas da própria LGPD, art. 5º:

• Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
• Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
• Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
• Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
• Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
• Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Em nosso caso, o controlador de dados é a própria Fapes;
• Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Em nosso caso, são operadores todos os servidores e colaboradores da Fapes que lidem diretamente com dados pessoais. Demais agentes públicos vinculados à Administração Pública Estadual Direta e Indireta também podem, eventualmente, atuar como operadores de dados pessoais tratados pela Fapes;
• Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados, ou ANPD. No âmbito da Administração Pública Estadual, existe o Comitê Encarregado Central, que desempenha tal função em conjunto com os encarregados internos de cada órgão ou entidade. As informações sobre o encarregado interno da Fapes podem ser encontradas em https://fapes.es.gov.br/encarregado.
• Agentes de tratamento: o controlador e o operador. O encarregado NÃO é considerado agente de tratamento;
• Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
• Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
• Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
• Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
• Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
• Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
• Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
• Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
• Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e
• Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional. Trata-se da ANPD.

4. PRINCÍPIOS DA PROTEÇÃO DE DADOS

O modelo de tratamento de dados pessoais instituído pela LGPD se orienta por uma série de princípios, previstos ao art. 6º, observados pela Fapes em seu dia a dia e neste documento. São eles:

• Princípio da finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
• Princípio da adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
• Princípio da necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
• Princípio do livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
• Princípio da qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
• Princípio da transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
• Princípio da segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
• Princípio da prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
• Princípio da não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
• Princípio da responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

5. OBJETIVO E FUNDAMENTOS DA PROTEÇÃO DE DADOS

Todo o regramento sobre tratamento de dados pessoais instituídos na legislação brasileira e capixaba, e assimilado nesta política, converge para o objetivo central de proteger os direitos fundamentais de liberdade, de privacidade e do livre desenvolvimento da personalidade da pessoa natural, conforme art. 1º da LGPD.

Esse objetivo principal se ramifica em fundamentos elencados ao art. 2º da LGPD, quais sejam: o respeito à privacidade (inciso I); a autodeterminação informativa (inciso II); a liberdade de expressão, de informação, de comunicação e de opinião (inciso III); a inviolabilidade da intimidade, da honra e da imagem (inciso IV); o desenvolvimento econômico e tecnológico e a inovação (inciso V); a livre iniciativa, a livre concorrência e a defesa do consumidor (inciso VI); e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais (inciso VII).

6. BASES LEGAIS DO TRATAMENTO DE DADOS REALIZADO PELA FAPES E CONSENTIMENTO DO TITULAR DE DADOS PESSOAIS

Todo o tratamento de dados realizado conforme a LGPD deve se apoiar nas bases legais – hipóteses gerais – de tratamento instituídas ao art. 7º, para dados não sensíveis, e ao art. 11, para dados sensíveis. O entendimento acerca das bases legais pelas quais ocorre o tratamento de dados é importante para verificação da legalidade dos processos realizados e da necessidade ou não de consentimento do titular.

O tratamento de dados pessoais realizado pela Fapes se dá majoritariamente sobre dados não sensíveis e independe do consentimento do titular. Nesse sentido, a principal base legal utilizada por nós é a do art. 7º, inciso III, que permite o uso de dados pessoais para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.

Complementarmente, também são utilizadas as bases do art. 7º, II – cumprimento de obrigação legal ou regulatória – e IX – quando necessário para atender aos interesses legítimos da Fapes ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. Eventualmente, a Fapes também pode ser compelida a tratar dados para o exercício regular de direitos em processo judicial, administrativo ou arbitral – inciso VI. Quando não for aplicável nenhuma dessas hipóteses, a Fapes também pode buscar o consentimento do titular para tratamento de seus dados pessoais – inciso I.

No âmbito dos dados pessoais sensíveis, a Fapes dispõe de autorização legal para tratar dados relacionados a origem racial ou étnica, no interesse de dar cumprimento ao art. 2º, §4º, da Lei Estadual n. 9.263/2009, a Lei do Programa Nossa Bolsa, em que é instituída a destinação de 20% (vinte por cento) das vagas ofertadas no programa a candidatos de raça negra e afrodescendentes. Assim, a Fapes dispõe da base legal do art. 11, II, b, da LGPD – tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos – para tratar tais dados sem depender do consentimento do titular.

Quanto aos demais dados pessoais sensíveis, todo o tratamento realizado pela Fapes depende da base legal do art. 11, I, que demanda o expresso consentimento, de forma específica e destacada, do titular ou seu responsável legal, e apenas para finalidades informadas a ele.

7. DADOS PESSOAIS TRATADOS PELA FAPES E FINALIDADE

De forma ativa, a Fapes trata principalmente os seguintes dados pessoais: nome completo; número do CPF; número do RG, órgão emissor, unidade federativa e data de emissão da Cédula de Identidade; gênero; data de nascimento; filiação; endereços físicos e eletrônicos; contato telefônico; cor/raça; foto; se é ou não estrangeiro; nível acadêmico; dados curriculares; área do conhecimento em que atua; e se possui ou não vínculo institucional. Esses são os dados – nem todos de fornecimento obrigatório – coletados pelo Sistema de Gestão da Fapes – Sigfapes no ato de cadastro dos usuários. Parte desses dados também é coletado pela plataforma de inscrição no Programa Nossa Bolsa.

Todo o tratamento de dados pessoais realizado pela Fapes visa a execução de políticas públicas das quais é incumbida por lei ou regulamento, ou o aprimoramento de sua atuação em prol da sociedade e do cidadão, em especial para:

• Processamento da participação do titular em programas e projetos apoiados pela Fapes;
• Contato da Fapes com o titular, quando necessário ao cumprimento de obrigações ou efetivação de direitos;
• Informação acerca de editais ou programas executados pela Fapes, no cumprimento de suas missões institucionais;
• Divulgação do conhecimento científico, tecnológico e de inovação;
• Aprimoramento de procedimentos e desenvolvimentos de novas políticas em favor da ciência, tecnologia, inovação e extensão no Espírito Santo;
• Prestação de contas a órgãos de controle interno e externo da Administração Pública;
• Arquivamento de documentos necessários à demonstração da legitimidade da atuação da Fapes em todas as frentes;

O tratamento de dados pessoais sensíveis realizado pela Fapes visa subsidiar decisões estratégicas e o desenvolvimento de políticas voltadas à promoção dos direitos de grupos sub-representados no cenário capixaba de ciência, tecnologia, inovação e extensão.

Especificamente o tratamento de dados sobre origem racial ou étnica também é realizado no interesse de dar cumprimento ao art. 2º, §4º, da Lei Estadual n. 9.263/2009, a Lei do Programa Nossa Bolsa, em que é instituída a destinação de 20% (vinte por cento) das vagas ofertadas no programa a candidatos de raça negra e afrodescendentes.

O exercício de direitos previstos na própria LGPD também pode exigir o fornecimento de alguns dados adicionais por parte do interessado, cujo tratamento, a partir de então, se fará necessário, nos termos de formulário próprio, disponibilizado para formulação do requerimento pertinente, e no qual constam os termos e condições respectivos.

Além disso, dadas as características dos Sigfapes de da plataforma do Nossa Bolsa, é permitido aos usuários a subida de documentos. Disso pode decorrer que, passivamente, a Fapes se torna tratadora de dados pessoais eventualmente constantes de tais documentos, eis que os arquivos ficarão armazenados digitalmente em nossos sistemas. Mesmo nesses casos, porém, aos dados pessoais ali contidos é dispensada toda proteção e cautela dada aos dados que a Fapes coleta ativamente.

8. POSSIBILIDADE DE COMPARTILHAMENTO

A Fapes detém a prerrogativa de compartilhar com seus parceiros legitimamente formalizados dados pessoais por ela tratados, quando necessário ao cumprimento das finalidades descritas aqui e no instrumento da parceria, e apenas pelo período necessário ao atingimento dos objetivos públicos da parceria.

O compartilhamento de dados tratados pela Fapes com órgãos, autarquias e fundações do Poder Executivo Estadual dispensa a formalização de parceria, conforme art. 8º, parágrafo único, do Decreto Estadual n. 4.922-R/2021, que institui a Política Estadual de Proteção de Dados e da Privacidade – PEPDP.

Merece especial destaque o compartilhamento de dados realizado com o Instituto de Tecnologia da Informação e Comunicação do Estado do Espírito Santo – Prodest, entidade responsável por manter os sistemas e plataformas eletrônicos utilizados pela Fapes em suas atividades de tratamento de dados pessoais em meio eletrônico. Nesse sentido, vale indicar que o Prodest possui sua própria política de tratamento e proteção de dados pessoais, a qual pode ser acessada em https://prodest.es.gov.br/privacidade.

Também, os acordos, contratos, termos de outorga, convênios e quaisquer outros documentos jurídicos pelos quais a Fapes estabelece relações obrigacionais com terceiros contém cláusulas específicas sobre proteção de dados pessoais, às quais ambas as partes devem obediência.

Ainda vale citar, como hipótese de compartilhamento de dados pessoais, o envio de projetos a avaliadores externos, nos termos do art. 4º, §2º, da Lei Complementar Estadual n. 978/2021.

9. DIREITOS DO TITULAR

O titular de dados dispõe dos seguintes direitos em relação à Fapes, exigíveis mediante requisição formal, nos termos do art. 18 da LGPD:

• Confirmação da existência de tratamento de dados pessoais, sensíveis ou não (inciso I);
• Acesso aos dados pessoais tratados pela Fapes (inciso II);
• Correção de dados incompletos, inexatos ou desatualizados (inciso III);
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD (inciso IV);
• Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD (inciso VI);
• Informação das entidades públicas e privadas com as quais a Fapes realizar uso compartilhado de dados pessoais (inciso VII);
• Informação sobre a possibilidade de não fornecer consentimento para o tratamento de dados pessoais sensíveis e sobre as consequências da negativa (inciso VIII); e
• Revogação do consentimento, nos termos do § 5º do art. 8º da LGPD (inciso IX). Em relação à Fapes, a revogação de consentimento afeta apenas o tratamento dos dados pessoais sensíveis.

O exercício de tais direitos se dá por requerimento formal, por via dos canais de atendimento indicados mais adiante neste documento.

10. TÉRMINO DO TRATAMENTO

A Fapes poderá manter o tratamento de dados pessoais do titular pelo tempo necessário à consecução das finalidades descriminadas neste termo, e após, enquanto forem pertinentes ao cumprimento de imposições legais e ao controle de suas atividades por órgãos internos e externos de fiscalização.

11. SEGURANÇA DE DADOS

A Fapes se responsabiliza pela manutenção de medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais do acesso não autorizado ou de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilegal.

Na ocorrência de qualquer incidente de segurança que possa repercutir em risco ou dano relevante ao titular, a Fapes o comunicará imediatamente e cientificará, também, a ANPD.

É responsabilidade do titular zelar pela segurança de seus dados de acesso às plataformas virtuais da Fapes – nome de usuário e senha.

12. ATENDIMENTO

Além do exercício dos direitos previstos na LGPD, nos termos expostos acima, os cidadãos e titulares de dados tratados pela Fapes também podem apresentar dúvidas, sugestões, reclamações e elogios. Isso pode ser feito diretamente perante o encarregado interno da Fapes, cujas informações estão disponíveis no endereço eletrônico https://fapes.es.gov.br/encarregado, ou mediante utilização do Sistema de Ouvidoria do Poder Executivo do Estado do Espírito Santo, no endereço eletrônico https://sistema.ouvidoria.es.gov.br/publico/Manifestacao/RegistrarManifestacaoBs.aspx, com indicação da Fapes no campo de determinação do destinatário.

13. ATUALIZAÇÃO

Este documento encontra-se em sua versão original (1.0), disponibilizada em 08/02/2023, e permanecerá objeto de constante revisão e atualização, de forma a acompanhar a evolução das regras de proteção de dados e da interpretação dos tribunais brasileiros e da Autoridade Nacional de Proteção de Dados.