A Autoridade Nacional de Proteção de Dados (ANPD) divulgou nesta terça-feira (17) nota técnica nº46/2022, na qual determina ao INEP – Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira; elabore o Relatório de Impacto à Proteção de Dados (RIPD). E só então avalie os riscos que correm titulares dos dados, com eventual divulgação de bases de dados da série histórica sobre o Censo Escolar da Educação Básica e os microdados do Enem (Exame Nacional do Ensino Médio) anteriores a 2020, que também foram retirados “do ar” para consultas.
Para a ANPD o Instituto tem condições de decidir sobre a amplitude da divulgação, sendo possível que os microdados sejam apresentados em versões diferentes para a sociedade e para instituições de pesquisa, mediante termo de responsabilidade.
Como a ANPD não foi explícita em sua decisão deduz-se que, após a nota técnica, o INEP terá de rever a decisão de retirar todos os dados do ar. E após elaborar o relatório de impacto, avaliar quais informações suprimidas poderão acabar voltando a serem disponibilizadas para a consulta pública, mediante algumas salvaguardas.
No dia 18 de fevereiro, num sábado, o INEP excluiu 13 arquivos com 17 gigabytes em volume de dados da série histórica do Censo Escolar, que continham informações sobre professores, estudantes e escolas. Apenas o Censo Escolar de 2021, que contém um arquivo com informações sobre escolas (professores e alunos foram suprimidos), num total de 164 megabytes de volume de dados foi mantido. Da mesma forma, 44% dos microdados do Enem 2020 também foram retirados da base do INEP.
A justificativa do órgão vinculado ao Ministério da Educação foi com base num parecer emitido pela Procuradoria Federal, que a retirada estaria em conformidade com a Lei Geral de Proteção de Dados (LGPD). Porém destacou que os dados gerais ainda estariam disponíveis com acesso restrito à poucos usuários, no serviço de dados protegidos do INEP.
A ANPD contestou essa alegação informando em sua nota técnica que existem diversas salvaguardas compatíveis com a LGPD, que impõem aos controladores em geral e, neste caso, ao INEP, “a obrigação de realizar uma ampla avaliação dos riscos envolvidos e das medidas de segurança e de mitigação de riscos mais apropriadas para o caso”. Sendo assim, o INEP tem o dever de elaborar um Relatório de Impacto à Proteção de Dados (RIPD) e, a partir dele, adotar as medidas cabíveis que não impeçam o acesso à informação previsto pela LAI (Lei nº12.527) e dos pesquisadores que trabalham com os dados para a promoção de políticas públicas.
“A principal determinação da LGPD é quanto à necessidade de avaliação de riscos e de adoção de medidas para mitigar a ocorrência de danos. Por isso, a eventual identificação dos titulares ou a admissão de algum grau de risco de sua identificação quando necessário para atender, por exemplo, a determinações legais, o interesse público e o direito de acesso à informação, são compatíveis com a LGPD, desde que adotadas as salvaguardas apropriadas”, destacou a ANPD.
