http://repositorio.febab.org.br/files/original/63/6968/SNBU2020_086.pdf 039943d66dc6d04b6d0e6f84644a804d PDF Text Text Inovação PLANO DE ADEQUAÇÃO DOS PERIODICOS CIENTÍFICOS À LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS PLAN FOR THE ADAPTATION OF SCIENTIFIC JOURNALS TO THE GENERAL PERSONAL DATA PROTECTION LAW Edna da Silva Angelo1 Resumo: O objetivo deste artigo é apontar, de maneira didática, como pode ser conduzida a gestão de adequação à Lei Geral de Proteção de Dados Pessoais na perspectiva editorial. Estabelece recursos que ajuda a aprofundar a compreensão do fenômeno. Trata-se de pesquisa empírica a partir das ações institucionais de adequação à lei da Universidade Federal de Ouro Preto. No Brasil há poucas pesquisas de relatos de experiência de adequação à lei, e muito menos publicações a partir da perspectiva pragmatista no âmbito da gestão editorial. A relevância deste trabalho está em indicar possíveis direcionamentos para uma gestão de privacidade de dados de acordo com a lei no meio editorial. Sob aspectos práticos, pode-se indicar seis etapas para a adequação dos periódicos científicos: (1) Estudo da legislação; (2) Mapeamento dos dados pessoais; (3) Análise dos dados e avaliação dos riscos; (4) Gestão de proteção de dados pessoais; (5) Treinamento e Disseminação da cultura de proteção de dados e (6) Monitoramento. Estes são apenas os primeiros passos. Mesmo levando-se em conta que este é um estudo introdutório, a aplicação dos critérios de análise aqui apresentada permite alavancar o processo de proteção de dados. Palavras-chave: Periódicos científicos. Gestão editorial. Proteção de dados pessoais. Lei Geral de Proteção à Dados Pessoais. LGPD Abstract: The purpose of this article is to point out, in a didactic way, how the management of compliance with the General Law for the Protection of Personal Data can be conducted from an editorial perspective. Establishes resources that help to deepen understanding of the phenomenon. This is an empirical research based on institutional actions to adapt to the law of the Federal University of Ouro Preto. In Brazil, there are few surveys of experience reports on compliance with the law, and much less publications from a pragmatist perspective in the scope of editorial management. The relevance of this work is to indicate possible directions for data privacy management in accordance with the law in the editorial environment. Under practical aspects, six steps can be indicated for the adequacy of scientific journals: (1) Study of legislation; (2) Mapping of personal data; (3) Data analysis and risk assessment; (4) Personal data protection management; (5) Training and Dissemination of the data protection culture and (6) Monitoring. These are just the first steps. Even taking into account that this is an introductory study, the application of the analysis criteria presented here allows us to leverage the data protection process. Keywords: Scientific journals. Editorial management. Personal Data Protection. General Personal Data Protection Law. LGPD 1 INTRODUÇÃO A Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº. 13.709, de 2018) dispõe sobre o tratamento das informações pessoais, definindo as condições em que os dados pessoais podem ser expostos publicamente e utilizados por terceiros. A finalidade é estabelecer mecanismos para proteger os direitos fundamentais de liberdade e de privacidade, e o livre desenvolvimento da personalidade da pessoa natural. 1 Doutoranda e Mestre em Gestão & Organização do Conhecimento pela Universidade Federal de Minas Gerais (UFMG). Bacharel em Biblioteconomia pela UFMG. Bibliotecária e Encarregada de tratamento de dados pessoais da Universidade Federal de Ouro Preto (UFOP). E-mail de contato: ednasangelo@gmail.com �Com efeito, observa-se uma tendência à mudança de lógica segundo a qual a proteção de dados pessoais passa a ser pensada e praticada segundo os parâmetros norteadores da lei. As adequações envolvem renovar processos institucionais que devem alcançar os níveis estratégico, tático e operacional desde a fase de concepção até a sua execução. No campo dos periódicos científicos, são demandados estudos que visam verificar como a LGPD afeta o processo editorial, visto que é realizado o tratamento de algumas informações pessoais para o cadastramento das pessoas em seus diversos papéis de autor, editor, leitor etc. Além disso, deve-se observar que podem atuar com múltiplos serviços e produtos. Por exemplo, com o objetivo de aumentar a visibilidade, atuam na divulgação em redes sociais. É com o objetivo de ajudar no processo de um maior esclarecimento do que se trata a LGPD, de como se podem executada, e de que maneira os dados devem ser analisados, que se apresenta este estudo. Busca-se destrinchar alguns aspectos metodológicos das ações de proteção de dados pessoais no processo editorial científico. No Brasil há poucas pesquisas de relatos de experiência de adequação à LGPD, e muito menos publicações a partir da perspectiva pragmatista no âmbito da gestão editorial. A relevância deste trabalho está em indicar possíveis direcionamentos para uma gestão de privacidade de dados, de acordo com a LGPD, no meio editorial. Ao desenvolver este estudo, o artigo cria modelo que pode ser replicado, utilizando os conhecimentos gerados no contexto das ações para adequação à lei na Universidade Federal de Ouro Preto (UFOP). 2 MÉTODO O objetivo deste artigo é apontar, de maneira didática, como pode ser conduzida a gestão de adequação à LGPD na perspectiva editorial. Esse questionamento teve início durante a prática profissional de duas atividades, mais especificamente atuando na equipe do Portal de periódicos e na função de Encarregada de tratamento de dados pessoais, também conhecimento como Data Protection Officer (DPO), na UFOP. Trata-se, aqui, pois, de pesquisa empírica a partir das ações institucionais de adequação à LGPD da UFOP, consolidada no plano elaborado entre os meses de dezembro de 2020 a junho 2021 (UNIVERSIDADE FEDERAL DE OURO PRETO, 2021), focalizando como se comportaram os elos entre a teoria e prática ao longo do período e adaptando para o contexto editorial. 3 RESULTADOS E DISCUSSÕES A partir da observância da LGPD, discorrendo de forma simples, sob aspectos práticos, podese indicar seis etapas para a adequação dos periódicos científicos: (1) Estudo da legislação; (2) �Mapeamento dos dados pessoais; (3) Análise dos dados e avaliação dos riscos; (4) Gestão de proteção de dados pessoais; (5) Treinamento e Disseminação da cultura de proteção de dados e (6) Monitoramento. 3.1 Estudo da legislação Antes de iniciar o processo, é preciso entender o que a lei menciona. Os ajustes do sistema de hospedagem do periódico requerem conhecimentos técnicos e tecnológicos, com forte viés jurídico. A LGPD prevê, em seu artigo 4º, as situações em que não pode ser aplicada. Uma delas é para fins exclusivamente acadêmicos. Entretanto, para tornar o tratamento de dados pessoais lícito, mesmo que para fins educacionais, deve-se apontar a finalidade e uma base legal. Além disso, devese ter claro e explícito, por exemplo, os agentes de tratamento controlador e operador (BRASIL, 2028). Sendo os dados pessoais um desdobramento do direito à privacidade, outros direitos também devem ser observados. O disposto na LGPD não dispensa de que trata, a exemplo, o direito de acesso à informação, à educação e à cultura, em virtude da mesma importância atribuída à sua proteção. Assim, torna necessário considerar o conhecimento de outras legislações correlatas e ponderação, no emprego do caso em concreto (SOUZA, 2021). 3.2 Mapeamento dos dados pessoais O mapeamento de dados pessoais é o registro das operações que envolve dados pessoais. Além de ser exigido pela LGPD, como explica Vainzof (2019, p. 116), torna-se fundamental para avaliação e enquadramento do tratamento em uma das bases legais previstas no artigo 7º ou 11 da Lei Geral de Proteção de Dados Pessoais. Em relação aos periódicos científicos, refere-se à apuração multisetorial de quais dados são coletados, o local onde estão armazenados e o respectivo formato, políticas de acesso, justificativa para a coleta, usos, tempo de armazenamento, identificação quanto à transferência ou compartilhamento dos dados. Devem ser observados os dados pessoais que são coletados para cadastro, correspondentes à conta/perfil, cuja finalidade é o acesso para iniciar o processo de submissão. Também quais dados são coletados no processo editorial de submissão e processo avaliativo. Quais são obrigatórios e quais são opcionais. Deve-se observar se atende ao princípio da minimização dos dados, se coleta apenas os necessários à finalidade do periódico (SOUZA, 2021). 3.3 Avaliação dos riscos A avaliação de risco diz respeito à análise sistemática de todos os aspectos relacionados ao tratamento de dados pessoais que identificará os processos vulneráveis suscetíveis à má utilização ou tratamento inadequado das informações. Aponta eventuais inconformidades que possam �ocasionar prejuízos ao órgão durante o tratamento de dados (BRASIL, 2020). Em conformidade com o artigo 46 da LGPD, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais (BRASIL, 2018). 3.4 Gestão de proteção de dados pessoais Após o entendimento da lei, a identificação dos dados pessoais no processo e avaliação dos riscos, é possível consolidar de regras internas de conformidade a Proteção de Dados Pessoais. Deve-se levar em conta, em especial: • Ajustes e customizações do sistema de gerenciamento eletrônico com a adição do Termo de uso e Política de Privacidade. Deve especificar claramente quais são esses dados coletados, para ciência do usuário/autor/titular e sua concordância com essa coleta. Deve-se deixar clara a necessidade de coleta de dados obrigatórios para o funcionamento do processo e se há compartilhamento (SOUZA, 2021). • A necessidade, prevista no inciso III da LGPD, de “[...] limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados” (BRASIL, 2018, on-line). • A segurança, conforme inciso VII da LGPD, de “[...] utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão” (BRASIL, 2018, on-line). 3.5 Treinamento e Disseminação da cultura de proteção de dados Como umas das etapas de adequação, deve-se considerar que pessoas que exercem funções com responsabilidades relacionadas à proteção de dados pessoais devem receber treinamento diferenciado. É necessário estabelecer um Plano para os colaboradores da organização que estão diretamente envolvidos em atividades que realizam tratamento de dados pessoais (BRASIL, 2020). Envolve a realização de treinamentos internos para a apresentação e consolidação das políticas de proteção de dados e segurança da informação. Além disso, apesar do conteúdo da produção científica ser responsabilidade do autor e não sofre qualquer intervenção por parte dos periódicos, os editores e avaliadores devem estar atentos para não aceitar documentos que possuem no conteúdo dados pessoais sem o devido consentimento ou anonimização (SOUZA, 2021). 3.6 Monitoramento Após adotar ações de adequação a LGPD e treinamento do pessoal envolvido no processo, é preciso implementar um processo de análise que monitora e audita periodicamente as operações relacionada a dados pessoais estão de acordo com legislação (BRASIL, 2020). �Deve-se garantir a observância ao código de conduta editorial, o cumprimento da LGPD, com vistas à proteção de dados pessoais contra acessos não autorizados ou situações acidentais de divulgação de dados pessoais ainda durante o processo de submissão e avaliação da produção científica (SOUZA, 2021). 4 CONCLUSÕES Os periódicos agrupam um conjunto de publicações baseadas em investigações destinadas ao desenvolvimento da ciência. De modo similar ao que ocorre em muitas organizações, são sistemas complexos que utilizam diversos recursos e buscam múltiplos objetivos simultaneamente para dar suporte as publicações periódicas. Este artigo apresenta uma análise preliminar sobre como pode ser realizado o processo de adequação à LGPD no âmbito da produção editorial, especificamente em segmentos que atuam na gestão de periódicos. Estes são apenas os primeiros passos. Mesmo levando-se em conta que este é um estudo introdutório, a aplicação dos critérios de análise aqui apresentada permite alavancar o processo de proteção de dados. Novos critérios podem ser estabelecidos. Além disso, aqueles propostos podem ser discutidos e melhorados. O propósito central aqui é estabelecer recursos que ajudem a aprofundar a compreensão do fenômeno. REFERÊNCIAS BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 04 jul. 2021. BRASIL. Ministério da Economia. Secretaria de Governo Digital. Guia de elaboração de programa de governança em privacidade: Lei Geral de Proteção de Dados Pessoais. Brasília, DF, 2020. Disponível em: https://www.gov.br/governodigital/pt-br/governanca-dedados/GuiaProgramaGovernanaemPrivacidade.pdf. Acesso em: 04 jul. 2021. SOUZA, Rosilene Paiva Marinho de et al. Lei de Proteção de Dados Pessoais e o Open Journal System: política de gestão de dados pessoais em revistas científicas. Brasília: Ibict, 2021. 58 p. UNIVERSIDADE FEDERAL DE OURO PRETO. Lei Geral de Proteção a Dados Pessoais. Ouro Preto: UFOP, 2021. Disponível em: https://lgpd.ufop.br/. Acesso em: 04 jul. 2021. � Dublin Core The Dublin Core metadata element set is common to all Omeka records, including items, files, and collections. For more information see, http://dublincore.org/documents/dces/. Title A name given to the resource SNBU - Edição: 21 - Ano: 2020 (UFG - Goiânia/GO) Subject The topic of the resource Biblioteconomia Documentação Ciência da Informação Bibliotecas Universitárias Description An account of the resource Tema: Biblioteca universitária: tradição, práticas e inovações Creator An entity primarily responsible for making the resource SNBU - Seminário Nacional de Bibliotecas Universitárias Publisher An entity responsible for making the resource available UFG Language A language of the resource pt Type The nature or genre of the resource Evento Coverage The spatial or temporal topic of the resource, the spatial applicability of the resource, or the jurisdiction under which the resource is relevant Goiânia (Goiás) Event A non-persistent, time-based occurrence. Metadata for an event provides descriptive information that is the basis for discovery of the purpose, location, duration, and responsible agents associated with an event. Examples include an exhibition, webcast, conference, workshop, open day, performance, battle, trial, wedding, tea party, conflagration. Dublin Core The Dublin Core metadata element set is common to all Omeka records, including items, files, and collections. For more information see, http://dublincore.org/documents/dces/. Title A name given to the resource Plano de adequação dos periódicos científicos à Lei Geral de Proteção de Dados Pessoais. Creator An entity primarily responsible for making the resource Angelo, Edna da Silva Coverage The spatial or temporal topic of the resource, the spatial applicability of the resource, or the jurisdiction under which the resource is relevant Goiânia (Goiás) Publisher An entity responsible for making the resource available UFG Date A point or period of time associated with an event in the lifecycle of the resource 2020 Language A language of the resource pt Type The nature or genre of the resource Evento Description An account of the resource O objetivo deste artigo é apontar, de maneira didática, como pode ser conduzida a gestão de adequação à Lei Geral de Proteção de Dados Pessoais na perspectiva editorial. Estabelece recursos que ajuda a aprofundar a compreensão do fenômeno. Trata-se de pesquisa empírica a partir das ações institucionais de adequação à lei da Universidade Federal de Ouro Preto. No Brasil há poucas pesquisas de relatos de experiência de adequação à lei, e muito menos publicações a partir da perspectiva pragmatista no âmbito da gestão editorial. A relevância deste trabalho está em indicar possíveis direcionamentos para uma gestão de privacidade de dados de acordo com a lei no meio editorial. Sob aspectos práticos, pode-se indicar seis etapas para a adequação dos periódicos científicos: (1) Estudo da legislação, (2) Mapeamento dos dados pessoais, (3) Análise dos dados e avaliação dos riscos, (4) Gestão de proteção de dados pessoais, (5) Treinamento e Disseminação da cultura de proteção de dados e (6) Monitoramento. Estes são apenas os primeiros passos. Mesmo levando-se em conta que este é um estudo introdutório, a aplicação dos critérios de análise aqui presentada permite alavancar o processo de proteção de dados.