LGPD e Terceiro Setor

Desde sua entrada em vigor, em setembro de 2020, a Lei Geral de Proteção de Dados Pessoais (LGPD) tem provocado impactos profundos em diversos setores da sociedade, e as Organizações da Sociedade Civil (OSC) não são uma exceção. Regularmente, essas instituições lidam com um volume significativo de informações de terceiros, especialmente em suas relações com doadores, beneficiários, parceiros e colaboradores. O fato é que os desafios para elas se adequarem à nova lei não só existem, como também engordam a lista de tarefas que disputa o precioso tempo das organizações em sua missão social.

Para sanar as principais dúvidas sobre esse tema, buscamos as respostas com diversos especialistas na aplicação prática da LGPD para o Terceiro Setor. Todos os advogados consultados foram unânimes ao afirmar que primeiro obstáculo enfrentado pelas OSC quando se deparam com a lei está na conscientização sobre sua importância pelos membros de sua própria instituição.

Mirella Andreola, sócia da Machado Associados, acrescenta que a resistência à mudança pelo time da organização quase sempre se dá em todos os níveis hierárquicos. Segundo ela, vencido esse desafio, os próximos passos para adequação à lei estão no mapeamento de quais dados pessoais serão tratados, a definição da base legal para o tratamento dessas informações, assim como os processos para o consentimento dos titulares dos dados. 

“Nas ONG cuja maior parte dos recursos se destina às atividades fins da entidade, uma dificuldade comum é encontrar o investimento necessário para fazer essas adequações”, diz. Os gastos para a implementação costumam incluir a aquisição de tecnologias, treinamentos, adaptação dos processos internos e a contração de profissionais especializados.

Cuidado com a multa

Ignorar a conformidade não é uma opção. Inspirada no Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, as regras brasileiras sobre como os dados pessoais devem ser coletados, armazenados e processados preveem multas caso não sejam respeitadas. Luis Felipe Tolezani, da Lopes & Castelo Sociedade de Advogados, explica que, apesar de a LGPD não possuir sanções penais, existem sanções administrativas decorrentes da fiscalização pela Autoridade Nacional de Proteção de Dados (ANPD). “Essas sanções também podem ser aplicáveis no âmbito judicial, seja na esfera trabalhista, cível ou consumerista”, completa.

As sanções da LGPD incluem a advertência, multa simples e/ou diária, bloqueio ou eliminação da base de dados, publicização da infração e até suspensão ou proibição das atividades de tratamento. Na prática, se uma organização depende da sua base de dados para funcionar, ela poderá ter suas atividades paralisadas em um eventual bloqueio ou eliminação desse conteúdo decorrente de uma sanção.

Já as multas, cujo teto chega a R$ 50 milhões, trariam uma consequência ainda pior para as OSC, sobretudo aquelas que já operam com um volume de recursos bastante escasso em caixa. Para Tolezani, ainda que a LGPD não poupe as entidades filantrópicas do seu cumprimento integral, a ANPD poderá levar em consideração essa condição proferindo uma sanção menos danosa, dependendo da gravidade da infração, claro. No entanto, é preciso lembrar — independentemente do puxão de orelha do órgão regulador — se um vazamento de dados se torna público, a má reputação da ONG poderá prejudicar a busca por financiamentos, parcerias e doações.

Cabe lembrar ainda que o cuidado para evitar sanções pelo uso indevido dos dados não se limita às áreas e profissionais internos da organização. Por isso, vale a pena revisitar contratos já assinados com os clientes, funcionários e fornecedores a fim de checar se há medidas que protegem a ONG de eventuais ocorrências. Larissa Pigão, advogada especializada em Direito Digital e Proteção de Dados Pessoais, esclarece que não há a necessidade de substituir esses documentos. “Os contratos com fornecedores, por exemplo, podem ser revisados para a inclusão de cláusulas relacionadas à proteção de dados, tais como a finalidade do uso deles, a base legal para o seu tratamento, os direitos do titular e os procedimentos em caso de incidentes”, diz. Essas cláusulas adicionais podem ser incluídas em um aditivo simples.

No entanto, o advogado Glauco Eduardo Reis, especializado em Direito do Terceiro Setor e sócio do escritório Monello Advogados, faz um alerta importante: ainda que os contratos sejam ajustados para ficarem em conformidade com a LGPD, pode acontecer de os fornecedores ou parceiros da OSC não aplicarem nas suas rotinas as proteções especificadas no aditivo. “Isso pode ser evidenciado durante auditorias ou relatórios de impacto, quando se verifica que o cumprimento das normas é apenas formal, sem aplicação prática”, diz. “Por isso, o mapeamento de riscos torna-se essencial para evitar que contratos aditivados fiquem limitados a uma ‘letra morta’ e protejam as organizações, de forma eficaz, de incidentes com responsabilidades solidárias.

Recursos de T.I.

Mas afinal o que é preciso para proteção dos dados? Na prateleira da tecnologia, há diversas ferramentas que podem garantir o sigilo e a confidencialidade exigidos, como o uso de criptografia para transmitir e guardar informações. O advogado Asafe Gonçalves, da AG Advogados, menciona outros mecanismos de segurança, como os sistemas de gestão de identidade, conhecidos como IAM, para controlar os acessos aos dados; a ferramenta Data Loss Prevention (DLP), para prevenir vazamentos de informação; ferramentas de backup e recuperação, para evitar perda de dados em casos de incidentes; além de softwares de proteção e firewalls modernos. 

Praticamente todos os escritórios e consultorias especializados em LGPD oferecem treinamentos sobre o uso dessas tecnologias nas operações da ONG, assim como orientações em outras aplicações da lei. 

Às grandes organizações, que lidam com alto volume de dados, ou ainda que atuam em temas de risco elevado de vazamento, é recomendável a constituição de um “comitê de proteção de dados”. Marcia Ferreira, gerente do Núcleo de Inovação, Privacidade e Proteção de Dados, na Nelson Wilians Advogados, explica que o comitê não é uma obrigação expressamente prevista na LGPD. Segundo ela, ONG pequenas podem designar um grupo reduzido com essa responsabilidade ou uma só pessoa como ponto focal para as atividades de adequação e manutenção da privacidade. 

Neste contexto, Marcia também menciona a nomeação de um profissional “encarregado de proteção de dados”, também conhecido pela sigla DPO, do inglês Data Protection Officer, cujas funções incluem servir de canal de comunicação entre a ONG e a ANPD, receber e responder comunicações dos titulares dos dados, assim como orientar os membros da instituição e monitorar a conformidade da organização com a LGPD.

Contudo, o sócio das áreas de Contencioso e Arbitragem e de Proteção de Dados e Inteligência Artificial no BBL Advogados, Daniel Becker, acrescenta que a figura do DPO não é obrigatória para instituições de pequeno porte, salvo em casos específicos definidos pela ANPD. “Para esse grupo, a normativa permite a adoção de medidas de segurança e governança mais simplificadas, proporcionais ao volume e à natureza dos dados tratados. Além disso, as OSC de pequeno porte contam com prazos diferenciados para atender às requisições dos titulares de dados e ao comunicarem incidentes de segurança à ANPD”, explica.

Na sua avaliação, embora não seja obrigatória, a nomeação de um DPO e a estruturação de um comitê de compliance pode facilitar o cumprimento da LGPD. Deste modo, a governança da entidade ganha ainda mais força quanto maior a autonomia e independência dada a esse encarregado, a fim de evitar conflitos de interesse na atuação do DPO. “Diretrizes internacionais também enfatizam que o DPO não deve acumular cargos de CEO, CFO, RH, Marketing ou TI, para garantir uma atuação sem influências ou pressões internas.” 

Como alternativa, é possível que as OSC terceirizem o DPO — prática permitida pela ANPD. Nesta situação, o advogado da consultoria Agiliza ONG, John Paulo Silva dos Santos, sócio-fundador do JP Santos Advocacia, recomenda que o profissional tenha uma visão ampla da organização e suas atividades, bem como conhecimentos múltiplos sobre o Terceiro Setor, sobretudo nas áreas de proteção de dados e segurança da informação. “Considerando as limitações financeiras das OSC de pequeno porte, internalizar o DPO pode ser uma solução mais vantajosa, pelo menos no início da adequação à LGPD”, comenta.

Fazer e manter

Implementadas as principais exigências da lei, resta outro ponto de atenção para as organizações: um plano de manutenção da segurança dos dados. Esse é o único meio de garantir que todos os esforços, gastos e treinamentos da ONG não tenham sido em vão. 

O “Relatório de Impacto à Proteção de Dados Pessoais (ou DPIA, do inglês Data Protection Impact Assessment) é uma ferramenta que avalia riscos no tratamento de dados e auxilia na implementação de medidas preventivas, explica a advogada Daniela Poli Vlavianos, do Poli Advogados & Associados.

Além desse recurso, é recomendável que a ONG tenha um Plano de Resposta a Incidentes de Segurança de Dados Pessoais, estabelecendo procedimentos para lidar com vazamentos ou violações, incluindo notificação às autoridades competentes e medidas para conter os danos. Sobre auditorias internas, elas não são obrigatórias, embora sejam altamente recomendadas para monitorar conformidade e a revisão periódica de políticas internas.

Pelo amor ou pela dor, o fato é que a LGPD está aí para ser cumprida, sobretudo pelas OSC. Já que o Terceiro Setor desempenha um papel crucial na promoção da justiça social no Brasil, é de se esperar que essa conformidade não seja encarada apenas como uma obrigação legal sujeita a sanções. Proteger os dados é também uma forma de reforçar o compromisso com a ética e a transparência, comprovando que aquela OSC preza uma gestão responsável com todas as partes relacionadas.