Prevista para entrar em vigor em agosto de 2020, a Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709, de 14 de agosto de 2018, ainda passa despercebida por grande parte dos gestores das mais diversas entidades. Talvez essa suposta apatia decorra do próprio “nome da normativa”, que nos remete a um contexto de tecnologia, longe da realidade de diversas organizações, o que é uma visão claramente equivocada diante da novidade da referida legislação. Ademais, alguns antecedentes (Marco Civil da Internet, Vazamento de dados, Regulamento Europeu de Proteção de Dados, etc.) também não são capazes de demonstrar a real extensão da normativa a toda a sociedade brasileira. Contudo, após análise mais detida, é fácil observar que a norma envolve diversas áreas, tais como a trabalhista e a consumerista, tendo implicações diretas sobre o Terceiro Setor.
Desse modo, este artigo almeja contribuir para as reflexões iniciais atreladas ao Terceiro Setor no que tange as atividades fim. Primeiramente, faremos algumas breves explanações sobre a LGPD a fim de demonstrar que as OSCs são controladoras de dados pessoais e, por isso, devem atuar para tratá-los e protegê-los de modo a garantir a proteção dos direitos fundamentais relacionados à liberdade, privacidade e ao livre desenvolvimento da personalidade da pessoa natural. Em seguida, levantaremos algumas situações realizadas pelas OSCs que se caracterizam como operações de tratamento. Por fim, recomendaremos algumas ações que, ao nosso ver, podem ser adotadas para que o tratamento esteja compatibilizado com a LGPD.
A LGPD regula o tratamento realizado por pessoa natural ou jurídica de direito público ou privado, tendo por objetivo proteger os dados pessoais das pessoas naturais. Como já adiantado, é possível, num primeiro momento, não a relacionarmos com o Terceiro Setor, porém, após uma análise mais detida, é possível observar que a norma se destina a qualquer pessoa jurídica ou física, pública ou privada, que realize operações de tratamento, ou seja, que realize ações de coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados de pessoas físicas.
Ora, do rol de ações tipificadas como tratamento, é possível concluir que no mínimo as operações de coleta, distribuição, acesso e armazenamento de dados pessoais são executadas quase que rotineiramente pelas OSCs. O que nos resta saber é se o tratamento é compatível com a LGPD.
Para essa tarefa, é muito importante que os dirigentes e colaboradores das OSCs apropriem-se da normativa e realizem adequações aos dados solicitados, bem como adotem mecanismos para a proteção dos dados.
É importante saber que a lei faz distinção entre dado pessoal e dado pessoal sensível, sendo que o último recai sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural - sendo o processamento proibido salvo disposições legais. Ainda, dados relacionados a crianças e adolescentes gozam de tutela específica na LGPD.
Também é importante saber que o tratamento dos dados, além de ser pautado pela boa-fé, deve observar os princípios elencados no art. 6º da LGPD, dentre os quais destacamos:
• Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
• Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.
• Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
Feitas essas considerações, a fim de diminuir a abstração da norma, urge elencar algumas situações em que as OSCs realizam tratamentos usuais de dados para o desenvolvimento de suas atividades fim.
Conforme se pode constatar, está claro que as OSCs já manejam usualmente um conjunto considerável de dados pessoais, motivo pelo qual é imprescindível que seus dirigentes promovam o levantamento dos dados já coletados, inclusive de colaboradores, e realizem uma análise e tratamento a partir dos novos preceitos estabelecidos pela LGPD. Sem ter a mínima pretensão de esgotar a temática, sugerimos a adoção inicial dos seguintes passos pelas equipes:
1. Analisar e classificar as informações pessoais contidas nos bancos de dados, a fim de verificar se existem dados pessoais sensíveis, ou seja, que versem sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
2. Verificar se, entre os atendidos, existem crianças e adolescentes;
3. Verificar para qual finalidade o dado foi obtido e se o tratamento é compatível com as finalidades e não excedem ao fim pretendido;
4. Adequar formulários, contratos, fichas socioeconômicas, sobretudo aos princípios da finalidade, adequação e finalidade;
5. Obter consentimento expresso do titular para o tratamento de dados indicando a finalidade a que se destina; e,
6. Implantar mecanismos para a proteção de dados dos usuários e colaboradores.
As sugestões acima, não exaurientes, têm o objetivo inicial de auxiliar as OSCs na busca de estabelecer estratégias eficazes para a conformidade com a LGPD. Da mesma forma, é importante que as OSCs compreendam a extensão da LGPD e que ela seja desmistificada em seus conceitos básicos, fomentando iniciativas para readequar o tratamento dos dados pessoais de seus usuários e colaboradores à lógica da proteção de dados, já que é perceptível o impacto da norma das diversas operações praticadas atualmente pelo Terceiro Setor.
