Até agosto deste ano, instituições terão de promover adaptações para se adequar à Lei Geral de Proteção de Dados
Em vigor desde setembro de 2020, a Lei 13.709/2018 – A Lei Geral de Proteção de Dados (LGPD) – regulamenta o uso, proteção e transferência de dados pessoais no Brasil, a fim de proteger os direitos fundamentais de liberdade e de privacidade dos cidadãos.
“A Lei Geral de Proteção de Dados tem duas vertentes: a proteção do titular de dados, ou seja, a pessoa de quem se fala; e a proteção das instituições que lidam com os dados, para que estejam seguras sobre como podem tratá-los. A lei estabelece critérios do que é permitido fazer e apresenta bases legais tanto para os dados pessoais quanto para os dados pessoais sensíveis”, explicou ao O SÃO PAULO a advogada Lara Rocha Garcia, mestra em Direito Político e Econômico e especialista em Direito Digital.
Até agosto deste ano, as instituições precisam adequar suas políticas de gestão de dados pessoais de maneira a enquadrá-los em uma das dez bases legais apresentadas pela lei: Consentimento do Titular; Legítimo Interesse; Obrigação Legal; Cumprimento de Políticas Públicas; Órgãos de Pesquisa; Execução de Contratos; Exercício de Direitos; Proteção à Vida; Tutela da Saúde e Proteção ao Crédito.
De modo simplificado, as bases legais são as justificativas pelas quais as instituições podem ou devem ter acesso aos dados de alguém, a fim de bem executar suas funções.
Gestão de dados pelas instituições religiosas
Entre os dados pessoais considerados sensíveis pela LGPD estão os referentes às convicções religiosas ou filosóficas de alguém, razão que, por si só, já justificaria um maior cuidado das instituições religiosas com os dados que possua sobre os fiéis. Além disso, até mesmo o uso de informações elementares, como o nome e o RG, deve respeitar os princípios de finalidade e transparência.
“É preciso assegurar que os dados não cheguem a outros lugares se o seu titular assim não quiser. Desse modo, deve haver um cuidado maior para avaliar se os dados que a instituição está coletando são mesmo necessários, pois um dos fundamentos da LGPD é o princípio da minimização, ou seja, requerer o mínimo de dados para executar algo”, detalha a especialista em Direito Digital.
Durante uma formação sobre o tema voltada aos bispos, em setembro de 2020, o advogado Hugo José Sarubbi Cysneiros Oliveira, assessor jurídico-civil da Conferência Nacional dos Bispos do Brasil (CNBB), ressaltou que um dos princípios da LGPD é a prevenção, a fim de que se evite a ocorrência de danos no tratamento das informações. Ele orientou que as dioceses adotem uma política de proteção de dados pessoais. “Antes de se tomar quaisquer atitudes, precisa existir uma política e ela significa rotina, critérios, prazos”, salientou.
No dia a dia
Em um encontro virtual, em fevereiro, com padres e leigos coordenadores das pastorais, organismos e serviços eclesiais do Regional Sul 1 da CNBB, a advogada Mariana Palmeira, professora da PUC-Rio, sintetizou o que precisa mudar nos expedientes da gestão de dados nas igrejas a partir da LGPD.
“Trata-se de entender que todas as atividades desenvolvidas – que de alguma forma passam por dados pessoais da população assistida pelas pastorais –, precisarão de um novo protocolo para que continuem a ser prestadas. A partir dessa sensibilização, vem o mapeamento do caminho que os dados percorrem no âmbito de cada atividade. Cada ficha ou cadastro preenchido, cada envio de informações pessoais, cada forma de arquivamento, precisará ser documentada. É um trabalho que demanda o envolvimento de todos: agentes, coordenadores, representantes de todas as esferas da instituição”.
3 passos fundamentais
Lara Garcia orienta que a primeira coisa a ser feita pelas igrejas é revisar todos os dados que possuam sobre as pessoas, a fim de saber quais deles são efetivamente necessários e quais podem ser descartados, com os devidos cuidados para não haver a exposição de informações.
“O primeiro passo para se adequar à LGPD é levantar todos os dados que a Igreja tem sobre seus titulares. Depois, olhar cada um dos dados e enquadrá-los em uma das dez bases legais, para verificar em qual hipótese legal se permite usar esse dado. Caso não se consiga enquadrar um dado em algumas das bases que permitam usá-lo, é preciso obter o consentimento do titular. O terceiro passo é adaptar os instrumentos jurídicos: por exemplo, ajustar a ficha de inscrição da Catequese ou um termo de doação do dízimo”, detalhou a especialista.
Entretanto, quando o dado a ser coletado é elementar para que se realize uma atividade, como, por exemplo, saber o nome completo e o endereço de alguém para matriculá-lo em uma turma de Catequese, ter um termo de consentimento para estes dados não é necessário.
Programa de privacidade de proteção dados
Lara Garcia ressalta que o melhor a ser feito é a instituição religiosa ter um programa de privacidade para a proteção de dados, com cláusulas e regras que sejam do conhecimento de todos, o que ajudará a evitar problemas futuros com a eventual divulgação dos dados sobre alguém, ainda que seja para ocasiões pontuais, como, por exemplo, menção dos nomes do dizimistas do mês em uma missa.
“Se nesse programa de privacidade estiver muito claro para todos os que procuram a paróquia que a qualquer momento pode ser divulgado o nome de algum fiel, em razão, de um pedido de uma instância maior – a Diocese – ou mesmo para uma homenagem, será possível fazê-lo, porque os fiéis já estarão sabendo previamente dessa possibilidade. Isso reforça por que é preciso que se faça a readequação na gestão dos dados: mapeá-los, enquadrá-los nas bases legais e montar o programa de governança e privacidade de dados. Do contrário, se uma instituição quiser, por exemplo, homenagear alguém, terá que procurar a pessoa, perguntar se ela quer, se isso poderá ser feito em público, enfim, obter o consentimento, por escrito, para fazê-lo. Assim, tudo sempre dependerá de qual é o programa de privacidade para a proteção de dados; e nas situações não previstas neste programa é preciso consultar o titular dos dados”.
Na Arquidiocese de Aparecida
Um exemplo de política de privacidade para a proteção de dados pode ser encontrado no portal da Arquidiocese de Aparecida. A partir da home page, o usuário pode acessar o link para o documento “Política de Privacidade – Lei Geral de Proteção de Dados – LGPD”.
Um dos itens do documento detalha que “para acesso e uso das funcionalidades e conteúdo exclusivos do portais eletrônicos da Controladora [a Arquidiocese de Aparecida], o Usuário declara o seu Consentimento para coleta, armazenamento e compartilhamento de seus dados pessoais para os fins a que se destinam”.
O documento apresenta as maneiras pelas quais os dados poderão ser utilizados – “O consentimento que o Usuário fornece para as finalidades de uso dos dados é coletado de forma individual, clara, específica e legítima e não serão vendidas ou alugadas pela Controladora” – e dá a garantia de que “por meio do canal específico e exclusivo, o usuário poderá alterar suas concessões de consentimento para tratamento de seus dados, conceder novas permissões ou retirar as permissões atuais”.
(Com informações da CNBB e Regional Sul 1 da CNBB)
