Por Bianca Monteiro¹
Esta é a parte 2 do texto LGPD e Terceiro Setor: conceitos básicos para dirigentes.
A Lei Geral de Proteção de Dados — LGPD — se aplica as organizações do terceiro setor (organizações sem fins lucrativos)?
Sim. Como o próprio nome indica é uma lei geral de proteção de dados², o que significa que se aplica ao poder público, empresas, organizações sem fins econômicos (primeiro setor, segundo setor e terceiro setor) e também para as pessoas físicas que usem os dados com finalidade econômica. As “leis gerais” se aplicam a todos os setores.
Observe que a lei não faz distinção sobre a finalidade econômica ou não das pessoas jurídicas de direito privado nos termos do artigo 1º e 3º, portanto as associações, fundações e organizações religiosas precisam se adequar as previsões da LGPD³.
As organizações do terceiro setor são agentes de tratamento de dados? São controladoras ou operadoras de dados pessoais?
Sim. As organizações do terceiro setor são agentes de tratamento⁴ nos termos da LGPD, podendo ser controladoras e/ou operadoras de dados.
A LGPD determina que quando a organização do terceiro setor tomar as decisões referentes ao tratamento de dados pessoais será controladora⁵ dos dados. Por sua vez, quando a organização realizar o tratamento de dados pessoais em nome do controlador ou a pedido dele será a operadora⁶ dos dados.
Tal caracterização em linhas gerais só é possível ser aferida no caso concreto, contudo é possível afirmar com segurança que uma organização será controladora e operadora de dados. Dificilmente teremos uma situação onde a organização exercerá um só papel.
Ao contrário do que possa parecer num primeiro momento, a distinção tem repercussões práticas incluindo a apuração e definição de responsabilidades, considerando o papel fundamental do controlador na proteção dos dados.
A lei prevê que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais (art. 46) restando claro que o operador poderá ser responsabilizado e também tem o dever de zelar pela proteção adequada dos dados.
Vale deixar registrado que o conceito de controlador e operador e as responsabilidades inerentes no tratamento de dados pessoais são da pessoa jurídica, e no caso do terceiro setor, são das associações, fundações e organizações religiosas e não seus dirigentes, associados, voluntários, empregados. O que significa que não é o dirigente que será o controlador ou operador, mas sim a instituição.
Quando os dados podem ser tratados pelas organizações do terceiro setor, entendidas como agentes de tratamento (controlador ou operador) nos termos da LGPD?
A lei prevê que dados de pessoas físicas são tratados pelos que intitula agentes de tratamento (controlador ou operador de dados) e já está claro que as organizações do terceiro setor de enquadram nestes conceitos.
Para que a atividade de tratamento dos dados (quaisquer uma delas – coletar, armazenar, etc.) seja realizada é que a lei estabelece “critérios”, princípios e bases legais, que devem ser respeitados. É possível concluir que os dados sempre poderão ser tratados desde que em conformidade com os princípios e em consonância com uma base legal que será definida em cada caso concreto.
As atividades de tratamento de dados pessoais deverão sempre observar, além do princípio da boa-fé, os seguintes princípios⁷: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas (artigo 6º).
Ademais é preciso combinar o respeito aos princípios com as bases legais previstas no artigo 7º. Muito além do tão falado consentimento, o tratamento de dados pessoais “comuns”⁸ somente poderá ser realizado nas seguintes hipóteses:
– mediante o fornecimento de consentimento pelo titular;
– para o cumprimento de obrigação legal ou regulatória;
– pela administração pública para a execução de políticas públicas;
– para a realização de estudos por órgão de pesquisa;
– quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato;
– para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307/1996 (Lei de Arbitragem);
– para a proteção da vida ou da incolumidade física do titular ou de terceiro;
– para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
– quando necessário para atender aos interesses legítimos do controlador ou de terceiro;
– para a proteção do crédito.
Quais são alguns exemplos práticos de tratamentos de dados realizados por organizações do terceiro setor?
Apenas para ilustrar de forma bem resumida algumas situações onde são realizadas atividades de tratamento, lembrando que os dados sensíveis e dados de criança e adolescente demandam atenção redobrada: dados de dirigentes, associados, voluntários e empregados; dados dos usuários ou beneficiários; dados de clientes ou consumidores, incluindo alunos; dados de pacientes; dados dos doadores pessoa física⁹.
Por onde começar?
Recomendo começar fazendo uma avalição da maturidade da governança e as boas práticas de gestão já em execução nas entidades.
É fundamental compreender de forma geral os conceitos e implicações, o que inclui a capacitação e conscientização dos dirigentes e demais colaboradores da organização.
Depois é preciso ter a clareza e compreensão de que será necessário contar com profissionais que entendam do tema. O ideal é que seja uma equipe multidisciplinar composta por advogados e profissionais de Tecnologia da Informação (TI) e segurança da informação.
Não existe receita de bolo, infelizmente, e provavelmente as saídas fáceis e rápidas trarão uma ilusão de conformidade. Para a implementação de programa de adequação à LGPD (incluindo as adequações mais simples) sugiro contar com a colaboração de profissionais com conhecimentos técnicos relacionados à proteção de dados.
É preciso lembrar que a LGPD é uma lei que se soma ao complexo ordenamento jurídico brasileiro e que não será aplicada de forma isolada, por este motivo uma consultoria ou assessoria jurídica qualificada é recomendada.
Quais são os custos para fazer um programa de adequação a lei?
Mais uma pergunta que não tem resposta pronta. Tudo vai depender do tamanho do programa de adequação, ou seja, o custo vai depender não apenas do tamanho da organização, do nível da atual governança, da existência de boas práticas de gestão incorporadas ao cotidiano das atividades da organização.
Um primeiro olhar pode realmente atestar a diferença abissal do tratamento de dados realizados pelas organizações do terceiro setor e as empresas que efetivamente tem os dados como atividade principal do negócio (core business) e certamente para essas o custo e risco será infinitamente mais elevado.
É claro que um programa de privacidade e proteção de dados em uma organização do terceiro setor em nada se compara, em grau de complexidade e custo, com a maior parte das empresas, contudo o ambiente empresarial tem alguns aspectos mais favoráveis no que diz respeito aos processos e procedimentos internos relacionados a governança e gestão, além de orçamento diferenciado (sem entrar no mérito das micro e pequenas).
Por outro lado, ocorre que pelas próprias finalidades ou objetivos sociais das organizações do terceiro setor, conforme explicado na primeira parte do texto, fica evidente que teremos muitos dados pessoais sensíveis e de criança e adolescente o que certamente é motivo de alerta para os dirigentes, e consequentemente devido a necessidade de um maior grau de segurança da informação ter os custos mais elevados.
— –
1. Bianca Monteiro. Advogada, mentora, escritora e professora. Atua com terceiro setor desde 2002. Pós-graduanda em Advocacia digital e proteção de dados, Pós-graduada em Direito Público, em Gestão Estratégica de Organizações do Terceiro Setor e em Direitos e Garantias Fundamentais. Coautora do livro Roteiro do Terceiro Setor: Associações, Fundações e Organizações Religiosas. 6ª ed. Editora Fórum. Vice-presidente da Comissão Permanente de Direito do Terceiro Setor da OAB/MG. Saiba mais em: www.biancamonteiro.com.br
2. Lei nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais (LGPD).
3. Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
I – a operação de tratamento seja realizada no território nacional;
II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
III – os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
4. Art. 5º: IX – agentes de tratamento: o controlador e o operador.
5. Art. 5º: VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
6. Art. 5º: VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
7. Recomendo a leitura do artigo 6º da LGPD.
8. Para tratamento de dados pessoais sensíveis e de dados pessoais de criança e adolescente se faz necessário observar as regras dos artigos 11 e 14 respectivamente. Registro uma imensa divergência doutrinária no que diz respeito as bases legais para tratamento de dados de criança e adolescente.
9. Se a organização capta com empresas é importante considerar a proteção de dados como um diferencial “competitivo”.