Em Março de 2020 uma pesquisa¹ desenvolvida por Jérémie Dron (Gestor de Projetos Sociais e Cientista de Dados) com apoio da Atados e Social Good Brasil, divulgada pelo GIFE, identificou que 98% das Organizações Sociais participantes da pesquisa reconheceram que tratam dados pessoais e 69% já ouviram falar da LGPD, mas ainda não estudaram o assunto com profundidade.

 Dessa forma é possível afirmar que a maior parte das OSCs ativas no Brasil serão impactadas pela LGPD, mas a maioria não sabe como se adequar à legislação e, por isso, é importante debater o tema com os dirigentes e colaboradores das OSCs para que seja possível uma compreensão sólida dos conceitos, finalidades e princípios elencados na Lei.

A LGPD - Lei Geral de Proteção de Dados Pessoais – Lei 13.709 promulgada em 14 de agosto de 2018, prevista para entrar em vigor no mês de agosto de 2020, mas com a possibilidade de ser prorrogada para maio de 2021, com a aprovação da Medida Provisória 959 de 2020. 

QUAL É O OBJETIVO DA LGPD?

A LGPD foi criada com o intuito de proteger dados pessoais, ou seja, não se aplica aos dados de pessoa jurídica. Seu principal objetivo é garantir a proteção de dados pessoais e garantir que o titular, pessoa física identificada ou identificável, tenha controle sobre como, onde e por quem seus dados estão sendo utilizados. A legislação não traz uma listagem do que seria um dado pessoal, mas podemos dizer que é qualquer dado que identifique ou permita a identificação da pessoa.

É necessário saber que a Lei faz distinção entre dado pessoal e dado pessoal sensível, sendo que o último diz respeito à origem racial ou étnica, convicção religiosa, opinião política, filiação à sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa física. O legislador se preocupou com o tratamento de dados sensíveis e exigiu regras mais rigorosas para o processamento dessa classe de dados. Ainda na mesma linha, o legislador também traz tutela específica sobre o tratamento de dados de crianças e adolescentes.

O artigo quinto², inciso X, da LGPD, conceitua tratamento de dado pessoal como toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. É possível constatar e perceber que a conceituação de tratamento é muito extensa e engloba todas as operações com dados pessoais, desde sua coleta até a eliminação do dado. Por isso, no momento da implementação da Lei é necessário fazer um mapeamento detalhado de como os dados são coletados e armazenados para depois identificar se o tratamento utilizado é compatível com as regras da LGPD.

Antes de iniciar qualquer tratamento de dado pessoal é importante, além de observar o princípio da boa-fé, atentar para os princípios da finalidade, da adequação e da necessidade. Que garantem que o tratamento de dados deve ser feito para uma finalidade específica e legítima, que também deve ser adequada e necessária para o fim proposto; os princípios da transparência e do livre acesso, que garante ao titular do dado consulta facilitada e gratuita sobre a forma e a duração do tratamento, com informações claras, precisas e de fácil acesso. 

Onde o princípio da qualidade, que garante que os dados sejam verdadeiros e atualizados; 

O princípio da segurança, que garante que o agente de tratamento mantenha, através de medidas técnicas e administrativas, a segurança do dado;

O princípio da prevenção, que garante que o agente de tratamento adote medidas para prevenir a ocorrência de danos aos titulares; 

O princípio da não-discriminação, que impossibilita o tratamento de dados para fins discriminatórios ilícitos ou abusivos;

E o princípio da responsabilidade e da prestação de contas, que impõe ao agente de tratamento, adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. 

Existem, ainda, os requisitos para o tratamento de dados pessoais que estão elencados no artigo 7o da LGPD, que são as únicas hipóteses possíveis para o tratamento de dado pessoal, conhecidas como “bases legais”.

Desse modo, após breve explanação sobre os conceitos e princípios da LGPD, é possível identificar que a lei estipula algumas obrigações para os agentes de tratamento, no caso específico deste artigo, para as Organizações da Sociedade Civil que de alguma forma executam as ações elencadas no artigo 5o, inciso X da LGPD incluindo. Mas não se limitando à coleta, armazenamento, avaliação ou controle de dados pessoais na rotina diária de trabalho, principalmente na divulgação de projetos, na prestação de contas perante à esfera pública ou privada ou ainda na captação de recursos. Sendo assim, é essencial que a proteção de dados pessoais seja incorporada ao conjunto de valores e normas das Organizações.

POR QUE SE ADEQUAR A LGPD?

A LGPD vai ocasionar grandes mudanças na forma como as OSCs tratam os dados pessoais, tendo como seu maior obstáculo criar uma cultura de proteção de dados pessoais, incorporada ao conjunto de valores e normas das Organizações. Assim, o cuidado com o tratamento de dados pessoais deverá fazer parte da rotina diária das Organizações, sempre pautado na segurança dessas informações. Nessa mesma linha, as Organizações devem estabelecer regras de boas práticas, levando em consideração, com relação ao tratamento de dados dos titulares, a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos, bem como os benefícios decorrentes de tratamento de dados pessoais do titular.

As Organizações Sociais deverão conhecer em detalhes todos os dados pessoais que são coletados e tratados pelos seus colaboradores, bem como entender o tratamento de dados desde sua coleta, processamento e seu destino final. Que pode ser a eliminação definitiva desse dado ou deixá-lo anônimo. É possível identificar algumas atividades que utilizam dados pessoais executadas nas Organizações: 

(I) envio de informações para prestação de contas com o Poder Público; 

(II) envio de relação nominal atualizada dos dirigentes da organização para o Poder Público; 

(III) envio de documentos relacionados ao processo de seleção e à análise do perfil socioeconômico dos bolsistas solicitado especificamente para o CEBAS³; 

(IV) envio de relação de bolsistas com identificação precisa dos beneficiários também solicitado pelo CEBAS; 

(V) cadastro de beneficiário; 

(VI) cadastro de voluntários e seus respectivos contratos.

Ou seja, é evidente que as Organizações Sociais tratam um conjunto considerável de dados pessoais e, para realizar uma implementação eficaz, será preciso um diagnóstico detalhado da forma como as OSCs estão tratando esses dados, pois é de extrema importância entender por que foram coletados e para que serão usados ou armazenados. É possível destacar, sem a intenção de esgotar o tema, algumas medidas necessárias para iniciar a adequação à legislação, tais como: 

(I) identificar o volume e categoria dos dados; 

(II) definir as bases legais para cada finalidade, papéis e responsabilidades dos agentes de tratamento; 

(III) levantar as informações sobre como é feita a segurança dos dados, controle de acesso; 

(IV) identificar os locais de armazenamento de dados pessoais; (V) analisar como os dados dos colaboradores e voluntários são tratados e o uso desses dados para outras finalidades; 

(VI) verificar se são coletados dados de crianças e adolescentes e/ou dados sensíveis, bem como revisar todos os contratos com parceiros, fornecedores, colaboradores e voluntários, incluindo a elaboração de uma política de privacidade e proteção de dados.

E, por fim, é nítido que o terceiro setor terá impactos significativos com a LGPD, podendo até interferir em aspectos econômicos, uma vez que a captação de recursos pode depender de adequação às normas de proteção de dados. Por esse motivo, é fundamental que os dirigentes e colaboradores atuem de forma consistente no mapeamento dos dados coletados e realizem uma análise minuciosa para identificar se o tratamento realizado é compatível com os princípios e com as “bases legais” elencadas na LGPD, sempre com o objetivo de consolidar a cultura de proteção de dados pessoais nas Organizações.

Maria Claudia Gouveia

Advogada especialista em direito contratual,

Direito Digital e Proteção de Dados Pessoais.

______________________

Referências:

MALDONADO. Viviane Nóbrega. e BLUM. Renato Opice. LGPD Lei Geral de

Proteção de Dados Comentada. São Paulo. RT: 2019.

MALDONADO. Viviane Nóbrega. LGPD Lei Geral de Proteção de Dados

Pessoais Manual de Implementação. São Paulo. RT:2019.