Em 2018, entrou em vigor na União Europeia a General Data Protection Regulation (GDPR) e, desde então, muitas empresas brasileiras que realizam negócios na Europa já tiveram que se adequar a essa nova realidade. O Brasil por sua vez, frente ao significativo crescimento da produção de dados e os repetidos episódios de vazamentos, precisou responder às muitas demandas da sociedade e expectativas da comunidade de negócios internacionais, buscando aprimorar sua legislação.
Assim, na esteira do Marco Civil da Internet (Lei 12.965/2014) e dos avanços que essa legislação específica inegavelmente trouxe para nossa sociedade, em agosto de 2018 foi promulgada a Lei 13.709 (Lei Geral de Proteção de Dados do Brasil - LGPD). A regulamentação da matéria da proteção do uso de dados pessoais pretendeu garantir que qualquer cidadão brasileiro possa ter controle sobre como, onde, e por quem os seus dados estão sendo utilizados. De fato, o racional na elaboração da LGPD foi permitir que essa considerável massa de informações que cada cidadão brasileiro possui, acumula e carrega, do momento do seu nascimento até sua última hora, passe a necessitar, salvo poucas exceções, de um consentimento prévio para sua cessão, compartilhamento e tratamento.
Assim, a LGPD buscou regrar o tratamento de dados pessoais, inclusive nos meios digitais, seja por pessoa natural ou jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, visando, com isso, garantir a privacidade dos dados pessoais e permitir um maior controle sobre eles.
Dentre os principais pontos da LGPD, cabe destacar sua aplicabilidade a todos os setores da economia, a necessidade de consentimento do usuário para a coleta de suas informações pessoais, os efeitos extraterritoriais e a possibilidade de o titular dos dados poder retificar, cancelar ou, ainda, solicitar a exclusão de seus dados de uma determinada base de coleta de informação.
Vista sob a ótica da territorialidade, a LGPD pretendeu regular toda e qualquer operação de tratamento de dados, independentemente de quem a realiza e o meio pelo qual se coleta os dados, bem como ainda, o país no qual a pessoa esteja, à exemplo da GDPR europeia.
Em linhas gerais, a seguir, alguns dos pontos focais de atenção na LGPD no que tange às Organizações do Terceiro Setor.
De começo, os dados decorrentes das atividades das organizações do Terceiro Setor precisarão ser mantidos e organizados de forma clara e disponível e, por dados, entenda-se todos as informações captadas por e em razão de suas atividades como organização: contratos, doações, serviços, informações financeiras, cadastro de fornecedores, dados dos apoiados e apoiadores, informações contidas nos sites e outras mídias institucionais de divulgação das ações de captação de recursos, entre outros. Nesse levantamento de informações cabe avaliar, detidamente, quais situações apresentam inconsistências diante da LGPD e quais devem ser corrigidas para a garantia de que a lei seja cumprida, na integralidade de suas áreas de atuação e demanda.
Será necessária também a adoção de políticas institucionais pelas OSCs, tanto internas quanto externas, e que, na sua origem, não só garantam que aquela organização observa a LGPD, como também exige dos seus eventuais parceiros e colaboradores a igual observância no cumprimento da lei, visando, assim, preservar a integralidade e confidencialidade dos dados cambiados entre instituições.
Outro esforço será sensibilizar as equipes internas sobre o uso adequado de dados, com a implementação de políticas institucionais sobre coleta, armazenamento, tratamento e compartilhamento dos dados, que garantam sigilo, privacidade e ética, reduzindo o risco da exposição e vazamento da base de dados da organização. É nesse contexto que a lei cria a figura denominada de encarregado. Pela LGPD, todas as organizações devem estabelecer um comitê de segurança da informação, responsável por analisar os procedimentos internos e que deverá contar com um profissional exclusivo para a proteção dos dados. Esse profissional será o responsável, na instituição, pelo cumprimento do que dispõe a lei.
Quanto às multas, a nova lei prevê sanções que variam de advertência e multa até mesmo à proibição total ou parcial de atividades relacionadas ao tratamento de dados. As multas podem variar de 2% do faturamento do ano anterior até R$ 50 milhões, passando por penalidades diárias.
Outros aspectos a serem considerados pelas OSC na adequação aos ditames da nova lei são os de garantir o consentimento e a transparência aos titulares dos dados em todas as etapas do projeto para os quais os dados foram coletados e a publicidade de dados e resultados, sinalizando, assim, pela maior transparência possível.
Aqui, abro um parênteses para destacar esse aspecto da LGPD. A lei não cuida somente dos dados pessoais mas, em especial, prioriza o tratamento da informação qualificada como “sensível” e que, consequentemente, está sujeita à maior privacidade no seu uso e a maior atenção no seu trato por parte das instituições que a coletam. O artigo 5º da LGPD, que regula a matéria naquele diploma legal, define em seu inciso II que dado sensível é o “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
O tema dos dados pessoais também é tratado nos artigos 11, 12 e 13 da LGPD.
Outro ponto de igual atenção para as instituições é o tratamento, igualmente cuidadoso, que deve ser conferido aos dados coletados no que se referem a crianças e adolescentes.
Finalmente, quanto aos dados assim definidos pela lei como “anonimizados”, qual seja, aqueles dados pessoais ou sensíveis que foram tratado para que suas informações não possam ser vinculadas ao seu titular original, o texto da LGPD estabelece que um dado anonimizado “perde a possibilidade de associação, direta ou indireta, a um indivíduo”. Portanto, a LGPD não se aplica a dados que foram tratados de forma a garantir que seus titulares permaneçam anônimos. Sendo assim, dados anonimizados podem ser compartilhados por instituições e empresas.
A LGPD vem suprir a falta que existia de uma legislação de dados específica e robusta e que colocava o Brasil em desvantagem competitiva e comercial frente a outras economias e países que já se diferenciavam pela adoção de regras legais semelhantes. O respeito à proteção de dados pessoais é um diferencial competitivo que, cada vez mais, a sociedade em geral tende a priorizar na sua busca por parceiros e definições de negócios, e na área de atuação social não é diferente.
Sob a ótica do Terceiro Setor, ainda que demande um esforço inicial de adequação, a LGPD será uma oportunidade para uma bem-vinda profissionalização e modernização na coleta, tratamento e compartilhamento do grande número de dados e informações que compõem seu enorme e abrangente cabedal de iniciativas associativas e seus projetos de relevância social. Para um setor que tem boa parte de seu financiamento advindo de doações privadas, inegavelmente, é um diferencial competitivo e de atração de investimentos para seus integrantes estar alinhado com o sistema legislativo brasileiro, a LGPD inclusive.
A LGPD traz elementos essenciais para a proteção das informações de dados pessoais de empregados, colaboradores, empresas, consumidores e terceiros e, como legislação de tratamento de dados, tem potencial de colocar o Brasil em um novo patamar de modernidade regulatória. Sua adoção, apoiada em tecnologia e embalada numa renovação da cultura nacional de coleta e tratamento de dados pessoais, pode determinar, em grande medida, nossa entrada em uma nova era de proteção dos direitos do cidadão, com base em princípios e fundamentos que já deveriam estar vigorando de longa data.
