Entenda a prorrogação da LGPD e seus impactos para as Organizações da Sociedade Civil

A Lei Geral de Proteção de Dados Pessoais (LGPD) - lei 13.709/18 - sancionada em 14 de agosto de 2018 e alterada pela lei 13.853/19, estipula as regras e diretrizes sobre o tratamento de dados pessoais. Coloca o Brasil no grupo de mais de 130 países que possuem legislação específica sobre o tema.

Como amplamente divulgado, a lei em sua inteireza só entraria em vigor em agosto de 2020. Houve uma alteração recente, por meio da medida provisória 959/20, postergando a sua entrada em vigor para 3 de maio de 2021. Este período de ampliação da vacatio legis foi dado para que a Administração Pública possa regulamentar a legislação e para que a sociedade no seu sentido mais amplo¹ se adapte, adequando seus procedimentos internos às novas exigências. A pandemia de covid-19 também influenciou a prorrogação.

Ocorre que, antes do adiamento oriundo do Poder Executivo, projetos de leis também tratavam do assunto no Congresso Nacional. Com a pandemia, o senador Antonio Anastasia, havia apresentado o PLS 1.179/20 que dispõe sobre o Regime Jurídico Emergencial e Transitório das relações jurídicas de Direito Privado (RJET), propondo, entre outros assuntos, alterar a vacatio legis dos artigos relativos às sanções da LGPD para 1º. de agosto de 2021 e os demais para 1 de janeiro de 2021. Este PL foi aprovado e aguarda sanção presidencial. A MP tem eficácia imediata, mas pode ainda sofrer alterações no Congresso. É preciso acompanhar esses prazos para ver como ficará essa celeuma ainda não resolvida.

Há de se registrar ainda o PL 5.762/19 de autoria do deputado Carlos Bezerra² que objetiva a ampliar a vacatio legis em mais dois anos, fazendo com que a LGPD entre em vigor apenas em agosto de 2022. Alega que, até o momento, os membros da Autoridade Nacional de Proteção de Dados - órgão responsável por fiscalizar e regulamentar o tema no país - sequer foram nomeados e que, no geral, as empresas alegam não estão preparadas.

Na justificativa do citado PL, o autor se baseia em estudo da Brazil IT Snapshot que avaliou 143 empresas nacionais, indicando que apenas 17% já realizaram medidas concretas. Atualmente o PL aguarda parecer do Relator na Comissão de Constituição e Justiça da Câmara dos Deputados.

O tema da adaptação das pessoas jurídicas à nova realidade de observância de regras concretas de respeito aos dados pessoais está mais presente no campo das empresas. O que é natural, tendo em vista que um dos intuitos da LGPD é limitar - ou ao menos tentar - o tratamento de dados pessoais sem consentimento para fins mercadológicos, sendo uma resposta a tantos escândalos ocorridos mundo afora³.

Contudo, a legislação também se aplica ao Terceiro Setor, com todas as suas peculiaridades. Este artigo busca chamar atenção para alguns pontos importantes de alerta para as organizações da sociedade civil, isto é, associações, fundações e organizações religiosas, em relação ao tema.

Qual é o escopo da LGPD?

É importante trazer conceitos e diretrizes gerais da legislação que, dia após dia, precisam ser internalizados no cotidiano de qualquer um que trabalhe com dados pessoais. Seguindo o modelo europeu, o Brasil optou por definições amplas, as quais sem a devida regulamentação geram incertezas na aplicação da lei.

O primeiro apontamento relevante é que os dados protegidos pela LGPD são somente o de pessoas físicas, uma vez que busca proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Outro ponto de destaque é que a legislação não trata apenas de armazenamento de dados pessoais, mas também inclui outras situações no conceito de tratamento, da LGPD, o que abarca "toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração" (art. 5º., X).

Além do mais, traz a obrigação do controlador de manter registro das operações de tratamento de dados pessoais que realizar e de criar cargos internos para organizar e controlar o tratamento de dados.

Públicos específicos: Criança, adolescente, pessoa com deficiência

A lei também traz uma proteção especial aos dados de crianças e adolescentes, reforçando a necessidade de consentimento para tratamento através de autorização dos pais ou responsáveis. Mais do que isso, com o intuito de proteger a dignidade e a intimidade deles, o tratamento deverá ser sempre ocorrer em seu melhor interesse. Prevê ainda que as informações sobre o tratamento de dados de crianças e adolescentes deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança (art. 14).

Importante que a LGPD tenha se harmonizado com os princípios protetivos do ECA, da LBI, da Constituição Federal, da Convenção sobre os Direitos da Criança e da Convenção sobre os Direitos das Pessoas com Deficiência deixando claro os procedimentos que devem ser observados.

Dados sensíveis

Pela nova lei, é considerado dado pessoal sensível, o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Há forma de tratamento diferente e a previsão de que a autoridade nacional poderá dispor sobre padrões técnicos mínimos, o que requer mais atenção ainda a esse conjunto de informações pessoais.

Sanções

Em relação às sanções aplicáveis às infrações cometidas em face da LGPD, no campo civil, diz a lei que "o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo" (art. 42).

No campo administrativo, a LGPD estabelece que as sanções (advertência, multa etc.) serão aplicadas pela Autoridade Nacional, após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os parâmetros e critérios do art. 52, §1º, que inclui "a gravidade e a natureza das infrações e dos direitos pessoais afetados; a boa-fé do infrator; a vantagem auferida ou pretendida pelo infrator; a condição econômica do infrator; a reincidência; o grau do dano; a cooperação do infrator; a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta lei; a adoção de política de boas práticas e governança; a pronta adoção de medidas corretivas; e a proporcionalidade entre a gravidade da falta e a intensidade da sanção".

Compliance

Destaca-se do citado artigo a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano e a adoção de política de boas práticas e governança. Ou seja, além de criar obrigações específicas, a legislação vem no sentido de implantar a necessidade de uma mudança de cultura. Isso como um reflexo, além de pressões internacionais, dos bons resultados colhidos com a Lei de Acesso à Informação (lei 12.527/11) que trouxe a transparência ativa e passiva para outro patamar na gestão pública e nas pessoas jurídicas que atuam com recursos públicos, e a Lei Anticorrupção (lei 12.846/13) que passou a reforçar a ideia de integridade na gestão e a inserir atenuantes para a responsabilização no caso de programas de compliance estruturados nos termos das normativas vigentes.

No campo das organizações da sociedade civil, boas práticas de governança e de transparência já vêm sendo implementadas há algum tempo, seja por indução de normas, seja por exigência da própria sociedade, em especial, financiadores e usuários. Assim sendo, a proteção de dados deve ser introjetada na cultura organizacional como mais um vetor de atenção na gestão das suas ações. Soma-se ao contexto o novo Marco Regulatório das Organizações da Sociedade Civil (lei 13.019/14) que também trouxe questões importantes específicas de transparência ativa que devem ser observadas.

Embora ainda a LGPD não esteja com todos os seus artigos em vigor e não há, todavia, decreto regulamentador, já existem diretrizes, as quais devem ser levadas em consideração pelas Organizações da Sociedade Civil, que periodicamente tratam dados pessoais com intuito de prestação de contas e divulgação de projetos, pesquisas e captação de recursos.

O que muda concretamente com a LGPD para o Terceiro Setor?

O respeito à privacidade é fundamento da LGPD e corrobora outros dispositivos do ordenamento jurídico e da Constituição Federal. A Lei Geral de Proteção de Dados traz a lógica do consentimento expresso e as exceções para o tratamento sem o consentimento expresso, conforme se verifica no art. 7º, como no caso de cumprimento de obrigação legal, que seria a hipótese das prestações de contas a órgãos públicos.

Neste ponto específico, importante ressaltar, que no caso de prestação de contas privada, para financiadores de ações da sociedade civil independente de recursos públicos, deverá haver a anonimização dos dados ou contar com expresso consentimento dos titulares, dado que a obrigação cujo tratamento é excepcionado é somente a legal, e não contratual.

Outro item relevante para as organizações da sociedade civil é realização de estudos e pesquisas. A exceção na lei para casos sem consentimento expresso se refere a órgãos de pesquisa não identificando se podem ser entidades privadas sem fins lucrativos, o que seria muito importante aclarar em regulamento.

Quais órgãos de pesquisa podem ser beneficiados pelo inciso em referência? Geralmente são os públicos os que chamamos de órgãos e não os entes privados. Que tipos de pesquisas poderiam ser consideradas abarcadas pelo dispositivo? Entendemos que as temáticas de interesse público mais clássicas estariam compreendidas, tais como saúde, educação, meio ambiente etc, - por serem todas de interesse público; mas ainda assim é arriscado proceder o tratamento de dados pessoais somente com base nesse inciso.

De toda forma, para a realização de estudos e pesquisas, deve se garantir, sempre que possível, a anonimização dos dados pessoais. Contudo, como ainda não há regulamentações posteriores ou jurisprudência tratando de forma mais específica e detalhada o tema, é sempre uma situação de cautela.

Ademais, um ponto de relevância que sustenta procedimentos de captação das OSC são os bancos de dados para mailing. A regra é mesma: consentimento prévio e expresso. O art. 63, contudo, traz a exceção de que "a autoridade nacional estabelecerá normas sobre a adequação progressiva de bancos de dados constituídos até a data de entrada em vigor desta lei, consideradas a complexidade das operações de tratamento e a natureza dos dados". Ou seja, para os bancos já constituídos, haverá um período de transição. E quiçá a regulamentação possa endereçar as questões especificas das entidades privadas sem fins lucrativos. É claro que, sem a ANPD constituída, a penumbra continua, mas, dá a indicação de um tratamento distinto.

Como preparar a organização para a LGPD?

A LGPD impõe que as OSC reflitam sobre seu modo de agir em relação a obtenção e uso de dados pessoais de terceiros, criando mecanismos que deem efetividade ao tratamento e cuidados que a lei exige. O período da vacatio, além de ser destinado a repensar e criar política interna de proteção e tratamento de dados, deve ser utilizado para estruturar e inventariar os atuais dados, buscando organizar as fontes, naturezas, tipos, características, usos, formas de coleta, pessoa interna responsável, por quanto tempo os dados são mantidos, entre outras informações.

A implementação é, em verdade, um procedimento que requer um detalhado diagnóstico, com mapeamento do fluxo de tratamento de dados, análise e mitigação de riscos, além de um olhar atento para criação e/ou revisão de políticas internas e a necessidade de manutenção de constantes treinamentos.

A governança das organizações também deve se apropriar e constituir uma pessoa ou comitê com competência para essa importante matéria. A LGPD deve ainda impactar minutas contratuais e formas de relacionamento com beneficiários e terceiros em geral.

A LGPD é uma construção da sociedade que busca proteger o direito à privacidade das pessoas e deve modificar as formas de relação com os dados pessoais e a cultura das organizações da sociedade civil. Na medida em que os tipos de tratamentos e plataformas tecnológicas se renovam a cada dia, os gestores das OSC deverão sempre estar em alerta para adotar medidas preventivas e saneadoras.

Mais um tema para o painel de controle do Terceiro Setor no país que acende um sinal de alerta: é tempo de olhar para dentro para planejar as adaptações e manter a discussão pública para não deixar que a regulamentação torne invisível - ou inviável - a existência, os projetos e as atividades das organizações da sociedade civil.

_________

1 A lei se aplica, de acordo com o art. 1º, a qualquer "pessoa natural ou por pessoa jurídica de direito público ou privado" que trate dados pessoais.

_________

*Laís de Figueirêdo Lopes é doutoranda em Direito pela Universidade de Coimbra. Sócia do escritório Szazi, Bechara, Storto, Reicher e Figueirêdo Lopes Advogados.

*Claudio Roberto Barbosa Filho é advogado do escritório Szazi, Bechara, Storto, Reicher e Figueirêdo Lopes Advogados.