Em vigor desde 18 de setembro passado e mesmo após o término dos dois anos de vacância da legislação – período estabelecido para a promoção das adaptações necessárias, iniciado a partir de sua publicação no Diário Oficial da União –, a Lei Geral de Proteção de Dados Pessoais (nº 13.709/2018) continua apenas “no papel” para a maioria dos atores sociais do Terceiro Setor nacional.
Embora seja impossível saber quantas organizações ainda permanecem em desconformidade parcial ou total com a lei, é fato que elas terão, o mais rápido possível, de buscar caminhos para atender às regras para a proteção de dados de seus stakeholders, sejam pessoas físicas ou jurídicas – funcionários, diretores, conselheiros, voluntários, doadores, fornecedores, parceiros, beneficiários e demais prestadores de serviços.
O intervalo de tempo para o ajuste tinha como objetivo tornar viável e sem atropelos a realização de ações de proteção de dados, visando resguardar os direitos fundamentais de liberdade e privacidade, além do livre desenvolvimento da personalidade da pessoa natural, em sintonia com a legislação de mais de 100 países.
Entram neste rol os titulares de dados (pessoas naturais/físicas), controladores (pessoas naturais ou jurídicas, de direito público ou privado, às quais competem as decisões referentes ao tratamento de dados pessoais) e operadores (pessoas naturais ou jurídicas, de direito público ou privado, que realizam o tratamento de dados pessoais em nome do controlador).
“O atraso neste processo de adaptação exige agora um esforço concentrado, a partir da alocação de recursos, do diagnóstico urgente e da elaboração e execução de planos de ação para assegurar a conformidade à lei, o chamado compliance, processo mais difícil em tempos de pandemia”, argumenta o advogado e economista Claudio Ramos, presidente da Comissão de Direito do Terceiro Setor da OAB Osasco.
Segundo ele, a lei tem vários fundamentos, como o respeito à privacidade, à autodeterminação informativa e à inviolabilidade da intimidade, da honra e da imagem; e princípios, a exemplo da finalidade, adequação, segurança, transparência, prevenção, responsabilização e do livre acesso.
Além disso, esclarece o especialista, a LGPD estabelece nove direitos aos titulares de dados, entre os quais a confirmação da existência de tratamento; correção de dados incompletos, inexatos ou desatualizados; anonimização; eliminação dos dados pessoais; revogação do consentimento e o acesso aos dados.
É obrigatória a observância dessas regras pelos controladores e operadores de dados pessoais, sob pena de sanções administrativas expressivas, com multa simples que pode variar de 2% do faturamento líquido até R$ 50 milhões por infração, a serem aplicadas a partir de 1º de agosto de 2021, além de outras punições, inclusive nas esferas cível e penal, de aplicação imediata.
“A importância da proteção de dados pessoais é tamanha que a Proposta de Emenda Constitucional (PEC) 17/2019 pretende incluí-la no rol dos direitos e garantias fundamentais, além de fixar a competência privativa da União para legislar sobre o assunto”, salienta Ramos.
Ações de tratamento de dados só podem ocorrer em determinadas hipóteses. A principal é por meio da obtenção do consentimento do titular, mas não é a única. A ação é autorizada na lei para cumprimento de obrigação legal, estudos por órgão de pesquisa, proteção da vida do titular ou de terceiro, tutela da saúde por profissionais ou autoridades da área.
Já a administração pública pode coletar e tratar dados para a consecução de políticas públicas previstas em leis e regulamentos ou respaldadas em convênios. Também fica desobrigado do consentimento a prática de “proteção do crédito”, como o Cadastro Positivo.
A obtenção do consentimento envolve um conjunto de requisitos, como ocorrer por escrito ou por outro meio que mostre claramente a vontade do titular em ser ofertado em uma cláusula destacada. O consentimento deve ser relacionado a uma finalidade determinada, ou seja, não se pode solicitar o consentimento para a posse simplesmente de uma informação, mas deve ser indicado para que ela será utilizada.
Contudo, o Artigo 10 da lei garante a possibilidade de um uso distinto daquele informado na coleta, situação denominada de “legítimo interesse”. É um caso muito usado pelas empresas, no qual a norma exige a adoção de medidas de transparência, e que nessa finalidade adicional sejam utilizados os dados estritamente necessários.
Responsável pelo Departamento Jurídico Nacional da Associação de Assistência à Criança Deficiente (AACD), a advogada Carla Regina Baptista de Oliveira enfatiza que o direito brasileiro já garantia a proteção da privacidade dos cidadãos desde a Constituição Federal (1988), posteriormente no Código de Defesa do Consumidor e no Marco Legal da Internet.
“Contudo, a LGPD veio para disciplinar os direitos dos titulares dos dados, como acesso, correção, eliminação, portabilidade ou revogação do consentimento, atribuindo penalidades pesadas às organizações da sociedade civil que descumprirem a lei”, salienta ela, que também é membro da Comissão de Apoio a Departamentos Jurídicos da OAB/SP e do Comitê Jurídico do Fórum Nacional das Instituições Filantrópicas (Fonif).
De acordo com Carla, a LGPD força uma mudança cultural nas organizações acerca de quais dados pessoais obter, como serão tratados, lembrando que as OSCs têm muitos stakeholders. Portanto, seus gestores precisam de atenção redobrada.
“A adequação das OSCs exige a implantação de um programa de proteção de dados, com um esforço de todos e com um investimento financeiro nem sempre disponível para a maioria das organizações, que busca incessantemente executar seus objetivos estatutários com recursos financeiros limitados, ainda mais em 2020, com a enorme crise ocasionada pela pandemia, paralisando atividades com quedas drásticas das doações”, pondera a advogada, com mais de 20 anos de atuação no Terceiro Setor.
A advogada alerta ainda que a construção deste programa não é simples, tampouco rápido, porque depende de diversas fases e do engajamento de todos para desenvolver cada uma das etapas do complexo processo.
A lista de procedimentos a serem realizados é grande, incluindo enquadramento legal do tratamento de dados pessoais; mapeamento dos dados pessoais no fluxo da organização; elaboração e revisão de documentos, formulários e termos de consentimento; elaboração de políticas internas de dados e privacidade; treinamentos e aculturamento de proteção de dados; atendimento rápido ao exercício dos direitos dos titulares dos dados; definição de controles e monitoramentos constantes nos processos internos que tratam de dados pessoais; definição de plano de ação para eventuais incidentes.
O programa de proteção de dados deve garantir a segurança das informações – confidencialidade, integridade e compartilhamento – do uso indevido, vazamento ou outras falhas, levando-se em consideração o volume de suas operações, a sensibilidade dos dados tratados e a atualização constante, com base em monitoramento contínuo e avaliações periódicas, inclusive de suas ferramentas tecnológicas, como firewall, gestão/distribuição de patch e atualizações, soluções de proteção de endpoint, DLP, WAF/DBF e proteção física e criptografia.
“E, ainda, foi instituída uma classe especial com proteção extra para dados pessoais considerados sensíveis, ligados à raça, posições políticas, crenças religiosas, saúde e biometria, sendo que as OSCs invariavelmente tratam desses tipos de dados de seus públicos, inseridos predominantemente nas áreas da saúde, educação e assistência social”, complementa Carla.
Ao fazer um balanço geral da LGPD, a advogada admite que, ultrapassada a fase de adaptação, entendida inicialmente como negativa e onerosa, as OSCs terão um ambiente muito mais seguro, confiável e adequado à proteção dos direitos fundamentais de liberdade e privacidade, garantidos pela Carta Magna à sociedade.
“O fato de o decreto regulamentador da lei ainda não ter sido publicado traz insegurança para as OSCs quanto às adequações já feitas ou em andamento”, adverte a especialista, ao se referir à situação à época do fechamento desta reportagem.
Para tanto, a LGPD tem sido aplicada no Brasil. No dia em que ela entrou em vigor (18 de setembro), por exemplo, foi movida a primeira ação civil pública com base na nova legislação, sendo analisada pela 6ª Vara Cível de Brasília. A Unidade Especial de Proteção de Dados e Inteligência Artificial (Espec) do Ministério Público do Distrito Federal e Territórios (MPDFT) conseguiu o “congelamento” de um site, com sede em Belo Horizonte, que vendia informações pessoais como nomes, e-mails, endereços e telefones de profissionais de todo o país.
A ação acabou sendo extinta no dia 22 do mesmo mês, por um juiz da 5ª Vara Cível do Tribunal de Justiça do Distrito Federal e Territórios. Segundo o magistrado, houve ausência de interesse processual, pelo fato de o site estar em manutenção quando foi acessado pela Justiça, para gerar prova.
Ao contrário das organizações sociais de menor porte, que contam com recursos limitados para realizar suas atividades, as ONGs maiores, especialmente as internacionais, em destaque as europeias que atuam no Brasil, estão quase que integralmente adaptadas à LGPD, pois há leis precursoras e semelhantes lá fora, com destaque para a General Data Protection Regulation, em vigor desde maio de 2018.
“Então, quando houve a necessidade de implementação aqui, elas já tinham base e sistemas para isso”, argumenta Eduardo Massa, diretor de estratégia e captação de recursos de clientes da Trackmob, empresa especializada em soluções voltadas à captação de recursos.
O gestor lembra que as ONGs menores sempre são mais impactadas, por sofrerem com a falta de profissionais especializados, não só na área de tecnologia, mas em todas as outras, além da carência de sistemas e mecanismos eficazes, como um CRM – ferramenta usada para a gestão de relacionamento com o cliente.
“Esta é uma deficiência decorrente de falta de recursos. Algumas dificuldades, por exemplo, vão desde a ausência de estrutura para armazenar essas informações e de um sistema interno ou CRM, até mesmo ao excesso dessas informações ou à não centralização e unificação desses dados”, ressalta Massa.
Para o executivo, a LGPD impacta especialmente nas ações em massa que antes poderiam ser realizadas com o envio de malas diretas ou e-mails. De acordo com ele, esses processos terão de ser repensados para atrair diretamente uma base de pessoas com um bom volume do chamado “aceite”, para posterior convencimento de doação – o que antes poderia ser feito diretamente via terceiros.
“O controle de dados também deve ter um impacto inicial, em que todos terão que se adaptar para a manutenção dessas informações, seja com sistemas internos, CRMs, entre outros, o que muitas ONGs ainda não possuem, podendo custar um valor representativo”, completa.
O executivo defende um amplo treinamento sobre a LGPD, com o objetivo de difundir as novas regras entre todos os envolvidos no dia a dia de qualquer um dos entes que compõem o Terceiro Setor. Inclusive, pondera ele, devem-se incluir essas regras no código de conduta dos colaboradores, com termos de responsabilidade do que é e o que não é permitido.
“Também será necessário haver todo um processo de especialização dirigido para quem tratará diretamente dos dados, porque essas pessoas vão cuidar de relatórios, manutenções de segurança, interface com o órgão de controle responsável, entre outros procedimentos”, frisa.
“A LGPD impacta muito na criação de processos mais transparentes e definidos. Muito provavelmente, as ONGs vão poder se embasar no legítimo interesse para manter suas atividades de aquisição de doadores acontecendo, mas terão que ter todos os fluxos de dados mapeados e criar um relatório de impacto produzido para justificar o controle dos dados”, complementou Massa.
“Pela lei, todas as organizações devem estabelecer um comitê de segurança da informação, responsável por analisar os procedimentos internos e que deverá contar com um profissional exclusivo para a proteção dos dados. Esse profissional será o responsável, na instituição, pelo cumprimento do que dispõe a lei”, emenda o advogado Carlos Araujo, consultor jurídico no Terceiro Setor, em artigo publicado na revista eletrônica Conjur.
Segundo o especialista, “as OSCs poderão qualificar ainda mais suas práticas ao se adequarem à LGPD e, dessa forma, potencialmente, ampliar seu universo de captação de recursos e apoios, não só no Brasil, mas fora dele, principalmente em países e mercados onde legislações semelhantes já se transformaram em realidade”.
O Senado aprovou, em 20 de outubro, os cinco nomes indicados pela Presidência da República para o conselho diretor da Autoridade Nacional de Proteção de Dados (ANPD), órgão cuja atribuição é garantir o cumprimento
da LGPD.
São eles: o coronel Waldemar Gonçalves Ortunho, nomeado para um mandato de seis anos como diretor-presidente da ANPD; o coronel Arthur Pereira Sabbat, especialista em segurança da informação no Gabinete de Segurança Institucional (GSI); o militar Joacil Basilio Rael; a professora de direito Miriam Wimmer, diretora de políticas de telecomunicações no Ministério das Comunicações; e a advogada Nairane Farias Rabelo, única representante do setor privado.
A ANPD terá 36 cargos, sendo 16 em comissão remanejados e 20 em funções comissionadas do Poder Executivo. Entre outras tarefas, o órgão vai fiscalizar o cumprimento da LGPD, elaborar as diretrizes do Plano Nacional de Proteção de Dados e aplicar sanções administrativas às empresas que não cumprirem a norma. (Com informações da Agência Brasil)
• Criação do canal de comunicação para que o titular de dados pessoais possa enviar requisições ao controlador, como um e-mail exclusivo para se tratar deste assunto, por exemplo: lgpd@nomedaorganização.org.br.
• Designação do encarregado de proteção de dados (pessoa física ou jurídica que atuará como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados).
• Constituição de grupo de trabalho ou comitê para elaborar e executar plano de ação para assegurar a conformidade à LGPD.
• Contratação de suporte especializado para apoiar rapidamente as ações do grupo de trabalho e as decisões da alta administração.
• Participação em treinamentos que tratem de proteção de dados e medidas para assegurar a conformidade à LGPD. (Fonte: Advogado Claudio Ramos)