Em maio de 2018 entrou em vigor na União Europeia a GDPR – (General Data Protection Regulation) como uma mudança cultural fundamental na maneira de enxergar e usar dados pessoais nos dias atuais. Frente aos diversos casos de vazamento ocorridos nos últimos anos e com o crescimento incontrolável da produção de dados, a legislação precisava se adequar para garantir que a privacidade das informações pudesse ser garantida aos seus titulares. Essa Legislação chegou também ao Brasil, conhecida como LGPD – Lei Geral de Proteção de Dados pessoais, prevista para entrar em vigor no mês de agosto de 2020, mas com possibilidade de ser postergada para maio de 2021, conforme Medida Provisória nº 959, de 29 de abril de 2020[1].
A Serasa Experian realizou um mapeamento no primeiro trimestre de 2019 que mostra que 75% dos consumidores (Pessoas Físicas) têm conhecimento baixo sobre a existência da Lei enquanto 66% das empresas dizem ter entendimento médio e 64% avaliam que estarão adequadas até o início do ano de 2020[2].
O mundo corporativo está relativamente conscientizado sobre essa nova legislação, mas quando olhamos para o universo das Organizações da Sociedade Civil a situação ainda está muito nebulosa. Nessa perspectiva, Jeremy Dron, consultor-associado do IDIS, em parceria com o Atados e o Social Good Brasil, realizou uma pesquisa envolvendo 95 organizações sem fins lucrativos para realização de um mapeamento e de um diagnóstico inicial do Terceiro Setor quanto a essa mudança jurídica importante. Os resultados principais desta são apresentados nesse artigo, assim como alguns pontos principais da Lei no âmbito das Organizações Sociais para entender melhor quais poderiam ser as devidas adequações, mas também porque esse marco precisa ser entendido como uma oportunidade inédita. A coleta de informações foi efetuada entre novembro de 2019 e fevereiro de 2020, quando a Lei ainda estava prevista para entrar em vigor em agosto de 2020.
Dados pessoais
A LGPD está voltada diretamente ao uso de Dados Pessoais e pretende garantir que qualquer cidadã(o) brasileira(o) possa ter controle sobre como, onde e por quem seus dados estão sendo utilizados. Inclusive, esse controle que pode necessitar um prévio consentimento permitiria a qualquer um(a) de solicitar a cessão de uso de suas informações em todo momento.
Para determinar o universo de dados que isso representa, a Lei considera no seu Art. 5º o dado pessoal como “qualquer informação relacionada à pessoa natural identificada ou identificável”[3]. Em outras palavras, “se uma informação permite identificar, direta ou indiretamente, um indivíduo que esteja vivo, então ela é considerada um dado pessoal”[4]. Com isso, é possível entender que dados como nome, RG ou CPF, por exemplo carregam informações que permitem rastrear a origem de seu titular razoavelmente facilmente, mas a Lei vai além em considerar Dado Pessoal também o dado que, ao cruza-lo com outros insumos ou técnicas, possibilita caracterizar e consequentemente identificar seu titular.
Além disso, ela ainda define no Art. 7º da Seção I em quais situações exclusivas o tratamento e compartilhamento de dados pessoais poderão ser realizados, ou seja:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
A pesquisa mostra que a noção de dado pessoal já parece estar amplamente difundida e entendida pelas Organizações da Sociedade Civil. Contudo, devemos ficar ainda mais atentos ao tratamento dos dados pessoais nessas organizações, já que 98% declara fazer uso. Essa informação é fundamental porque pode-se considerar que a imensa maioria das OSCs será impactada pela LGPD e, portanto, terá que se adequar a ela.
Nessa perspectiva, começamos a perceber o alcance que essa legislação possa ter ao se pensar no Terceiro Setor e em particular nos dados armazenados dos funcionários, voluntários e beneficiários das Organizações Sociais. Mas esse quadro tende a chamar mais a nossa atenção ao se tratar de Dados de Crianças e Adolescentes e Dados Pessoais ditos “sensíveis”.
Dados de Crianças e Adolescentes
Sabemos que muitas propostas de atuação sociais estão voltadas a crianças e adolescentes e torna-se fundamental entender o que a LGPD diz a respeito já que ela também tem uma seção específica sobre esse assunto (Capítulo II – Seção III – Art. 14º) que está reproduzida aqui:
- 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.
- 2º No tratamento de dados de que trata o § 1º deste artigo, os controladores deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o art. 18 desta Lei.
- 3º Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1º deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o § 1º deste artigo.
- 4º Os controladores não deverão condicionar a participação dos titulares de que trata o § 1º deste artigo em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade.
- 5º O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o § 1º deste artigo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis.
- 6º As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.
Percebe-se o quanto o tratamento de dados de Crianças e Adolescentes tem que ser realizado com muito cuidado e a maior transparência, possibilitando seu acompanhamento e entendimento facilitado pelos responsáveis do público atendido. Isso, sem dúvida alguma deve gerar no mínimo a reestruturação de processos de coleta e armazenamento de dados nas Organizações da Sociedade Civil.
Dados Sensíveis
A LGPD não se limita somente aos Dados Pessoais citados acima, mas distingue a informação qualificada como “sensível” e que consequentemente está sujeita a maior privacidade no seu uso e, portanto, existe um risco relativo maior em caso de exposição fortuita.
Para entender o que é um Dado Sensível, precisamos voltar ao artigo 5º da Lei que o define como um “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”[5].
Quem atua na área social identifica que existe alguns dados citados aqui que são importantes para o entendimento de seu público-alvo e até que possam auxiliar em caracterizar por exemplo sua condição de vulnerabilidade. Isso se torna fundamental na elaboração da justificativa ao propor ou desenvolver um projeto, mas também no decorrer do monitoramento e avaliação das suas ações e do impacto potencialmente causado.
A pesquisa mostra que 60% das OSCs consultadas utilizam dados sensíveis. Portanto é um elemento que precisa ser olhado com cuidado pelos atores do Terceiro Setor para evitar qualquer risco que possa prejudicar sua atuação. Para isso, sugere-se a leitura da Seção II do Capítulo II (Art. 11º, 12º e 13º) da Lei que trata dos casos específicos quanto ao tratamento desse tipo de dados.
Dados anonimizados
A questão que traz a LGPD não é sobre qual a ferramenta mais adequada, mas sobre quais são os processos que precisam ser implantados para garantir a privacidade dos dados pessoais.
No âmbito da Lei existe um ponto importante para destacar e que possa ser a maneira mais pertinente de se adequar e se proteger contras as consequências do descumprimento da mesma: tratar dado anonimizado, definido como “dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”[6], isto significa que o dado “era relativo a uma pessoa, mas que passou por etapas que garantiram a desvinculação dele a essa pessoa”[7].
Neste caso, a LGPD não se aplicará a este dado e, consequentemente a organização poderá realizar suas análises de forma segura e respeitando a privacidade.
Privacidade e Ética dos Dados
É infelizmente comum termos, como pessoas físicas, a desagradável sensação que nossos dados e, talvez até nossa identidade possam escapar de nosso controle, gerando certo sentimento de impotência. O surgimento da LGPD vem suprir uma necessidade da sociedade moderna disruptiva onde dados estão sendo utilizados de maneira ainda desgovernada e com pouquíssima transparência, trazendo um auxílio ao titular do dado para que ele não se sinta mais desamparado.
Há de se esperar que o quadro fique mais estruturado e que o domínio de nossos dados volte para nossas mãos. Com ele será reforçado o respeito à privacidade e colocado no meio da discussão um tema muitas vezes desconsiderado porém primordial: o uso ético dos dados. Este precisa ser valorizado para que possamos tratar com humildade e propriedade a informação, sempre tendo em vista o respeito ao seu titular. Somente a alimentação deste diálogo poderá garantir que a legislação seja um ponto de mudança na consideração da pessoa humana num mundo cada vez mais digital e tecnológico e onde a Inteligência Artificial cresce de maneira exponencial.
Papeis importantes na LGPD
Um dos procedimentos novos trazidos pela entrada em vigor da LGPD é a determinação pelas instituições dos agentes de tratamento de dados: o controlador, o operador e o encarregado.
São esses atores que vão garantir a elaboração e o respeito das políticas internas de tratamento de dados pessoais para que a privacidade e o atendimento inequívoco aos direitos dos titulares sejam respeitados.
O encarregado, em particular, será o ponto focal do diálogo das instituições com a Sociedade Civil e a Autoridade Nacional de Proteção de Dados – ANPD.
CONTROLADOR: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais
OPERADOR: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador
ENCARREGADO: Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)
Conhecimento da LGPD pelas Organizações do Terceiro Setor
Os dados trazidos pela pesquisa podem parecer paradoxais, porque, enquanto 80% das OSCs responderam que desconhecem a Lei ou ainda não se aprofundaram nela, 91% concordam em dizer que seu impacto será no mínimo moderado, sendo que mais da metade aponta que será significativo.
A LGPD traz exigências que podem não ser tão rápidas de implantar. Portanto, já que a maioria está ciente que haverá impacto, é necessário iniciar, o quanto antes, os processos de adequação para garantir que as instituições estejam preparadas, quando a Lei entrar em vigor.
Além disso, podemos ver no gráfico abaixo que os desafios enfrentados pelas organizações são realmente diversos e soluções precisam ser criadas para que a adequação possa acontecer respeitando os fundamentos da Lei.
Uma oportunidade para o Terceiro Setor
Se a chegada dessa nova legislação pode gerar certa preocupação por parte das Organizações da Sociedade Civil, há de se enxergar esse momento como uma oportunidade para que estas possam usufruir de todo o aprendizado que essa transformação sugere e assim otimizar o uso da informação que possuem para melhorar de forma relevante o impacto social de suas ações. Isso passa por algumas etapas essenciais, dentro as quais:
- Entender o que é “dado” e mapeá-lo dentro da instituição;
- Organizar os dados com processos claros;
- Sensibilizar suas equipes sobre o uso adequado de dados;
- Implementar políticas institucionais sobre coleta, armazenamento, tratamento e compartilhamento dos dados que garantem sigilo, privacidade e ética;
- Garantir o consentimento e a transparência aos titulares dos dados em todas as etapas;
- Aplicar modelos de análise de dados e inteligência artificial que permitem pensar em novas estratégias de atuação;
- Publicar seus resultados baseados em evidências, mostrando seriedade e propriedade para a Sociedade Civil e potenciais apoiadores e financiadores.
Vale salientar que esse novo paradigma também poderá redefinir certas regras de parceria entre as instituições e assim influenciar viabilidade destas.
Conclusão
A LGPD traz elementos essenciais para a proteção das informações que caracterizam cada um de nós. E como a tecnologia avançará ainda muito nos próximos anos, essa legislação chega num momento onde é fundamental entender que entramos em uma era totalmente nova e revolucionária no que diz respeito ao tratamento da informação. De fato, é possível extrair mais conhecimento sobre uma pessoa pelo entendimento dos dados que a definem do que pelo seu próprio DNA.
A pesquisa realizada permitiu mostrar que O Terceiro Setor ainda precisa caminhar muito no âmbito da adequação à Lei. Com a situação pandêmica atravessada pelo mundo inteiro, as prioridades voltaram para assuntos mais emergenciais e até de sobrevivência institucional, deixando para outro plano a questão da privacidade dos dados. A Medida Provisória que pode prorrogar até maio de 2021 a entrada em vigor da LGPD deixaria um horizonte um pouco maior para as OSCs se organizarem, porém muitas delas podem sair enfraquecidas da crise atual e precisarão de soluções concretas e práticas para atender as exigências da Lei e conseguir realizar o tratamento adequado de dados. Além disso vale ressaltar que a própria MP pode ainda caducar, o que teria como consequência a volta ao início da vigência original de agosto de 2020. Contudo, algumas etapas ainda acontecerão que, inclusive, podem postergar a aplicação das sanções para agosto de 2021.
Fontes
Pesquisa LGPD e Terceiro Setor: https://drive.google.com/file/d/1aiXz3LHmG9KB3cn9IspPVBbAdyk4mIoa/view
LEI Nº 13.709, DE 14 DE AGOSTO DE 2018: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
Pesquisa Serasa Experian: https://www.serasaexperian.com.br/blog/o-que-os-consumidores-e-as-empresas-sabem-sobre-lgpd-e-o-que-estao-fazendo-a-respeito
Serpro e LGPD: https://www.serpro.gov.br/lgpd/
1 http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/Mpv/mpv959.htm
[2] https://www.serasaexperian.com.br/blog/o-que-os-consumidores-e-as-empresas-sabem-sobre-lgpd-e-o-que-estao-fazendo-a-respeito
[3] http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm (Art 5º – I)
[4] https://www.serpro.gov.br/lgpd/menu/protecao-de-dados/dados-pessoais-lgpd
[5] http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm (Art 5º – II)
[6] http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm (Art 5º – III)
[7] https://www.serpro.gov.br/lgpd/menu/protecao-de-dados/dados-anonimizados-lgpd