Os impactos da LGPD nas empresas do Terceiro Setor

 

Carlos Alberto Casanova Campos[1]

 

Campinas

2022

 

Sumário

INTRODUÇÃO………………………………………………………………………………………………………… 3

1 LEI GERAL DE PROTEÇÃO DE DADOS. O QUE É A LGPD?…………………………… 4

2 O QUE É O TERCEIRO SETOR…………………………………………………………………………… 4

3 CONCEITOS DA LGPD……………………………………………………………………………………….. 5

3.1 Dado pessoal……………………………………………………………………………………………………. 7

3.2 Dados pessoais sensíveis……………………………………………………………………………….. 8

3.3 Dado anonimizado……………………………………………………………………………………………. 8

3.4 Titular de dados……………………………………………………………………………………………….. 8

3.5 Controlador………………………………………………………………………………………………………. 8

3.6 Operador…………………………………………………………………………………………………………… 8

3.7 Encarregado……………………………………………………………………………………………………… 8

4 BASES LEGAIS PARA O TRATAMENTO DE DADOS PESSOAIS……………………. 9

5 PRINCIPIOS DA LGPD………………………………………………………………………………………… 9

5.1 Princípio da finalidade……………………………………………………………………………………. 10

5.2 Princípio da adequação………………………………………………………………………………………………..  10

5.3 Demais princípios…………………………………………………………………………………. 10

6 O TITULAR DE DADOS……………………………………………………………………………. 11

6.1 Livre acesso…………………………………………………………………………………………. 11

6.2 Da portabilidade…………………………………………………………………………………… 12

7 PROGRAMA DE IMPLEMENTAÇÃO NA PRÁTICA…………………………………….. 12

7.1 Preparação…………………………………………………………………………………………… 12

7.2 Organização…………………………………………………………………………………………. 13

7.3 Implementação…………………………………………………………………………………….. 13

7.4 Governança de dados…………………………………………………………………………… 13

7.5 Encerramento do programa………………………………………………………………….. 14

8 VANTAGEM EM ESTABELECER O PROGRAMAMA DE ADEQUAÇÃO………. 14

9 CONCLUSÃO…………………………………………………………………………………………………….. 15

10 REFERÊNCIAS BIBLIOGRÁFICAS………………………………………………………….. 16

 

INTRODUÇÃO

 

O objetivo deste artigo é abordar os principais aspectos da Lei Geral de Proteção de Dados, seus impactos e sua implementação pelas entidades do terceiro setor, diante da necessidade dessas organizações de se adequarem tendo em vista o grande volume de dados pessoais que são tratados por essas entidades, e suas possíveis implicações em caso de não conformidade com a LGPD.

As entidades do terceiro setor compõe-se de fundações, associações, organizações não governamentais, organização da sociedade civil de interesse público (OSCIP), entre outras.

É cediço que as denominadas ONG’s – Organizações não Governamentais – são instituições criadas sem a ajuda ou vínculos com o governo, ou seja, se destinam a suprir o vazio deixado pelo Estado, atuando, nas áreas da saúde, educação, assistência social, entre outras diversas frentes.

As ONG’s são entidades privadas da sociedade civil, sem fins lucrativos, e se caracterizam por ações de solidariedade nas políticas públicas e pelo legítimo exercício de pressões políticas em favor de populações menos favorecidas ou excluídas das condições de cidadania. 

O surgimento dessas organizações, deu-se pela ineficiência dos Governos e do poder público em geral, no sentido de suprirem todas as necessidades da sociedade. Essas entidades constituem importantes alternativas para sistematizar a sociedade como um todo, pois promovem ações sociais, culturais, assistenciais etc.     

Dentro desse contexto, com a vigência da Lei n° 13.709/2018, Lei Geral de Proteção de Dados (LGPD) e, posterior promulgação da Emenda Constitucional 115/2022 que acrescentou a proteção de dados pessoais no rol de direitos e garantias fundamentais ao cidadão, as entidades do terceiro setor viram-se na iminência de adequar suas atividades operacionais à nova regra cogente, justamente para estar em conformidade com o ordenamento jurídico e ter um  cuidado com os dados que são coletados e tratados por estas organizações do terceiro setor.

Por tal razão, a necessidade de adequação e implementação por parte das entidades do terceiro setor à LGPD é patente, tendo em vista que a sua estrutura organizacional, tem a reputação como um de seus principais ativos, que permite a captação de recursos por meio de doações de empresas e particulares, além de investimento social, privado ou público.

Outrossim, conhecer e tratar os dados pessoais respeitando os critérios legais e, bem assim, fomentar novos negócios para a entidade, demonstra transparência e credibilidade perante a sociedade, bem como propicia parcerias, facilita a contratação com a administração pública e empresas privadas.

Cabe ressaltar, por oportuno, que as entidades do terceiro setor possuem uma grande quantidade de dados pessoais de beneficiários, parceiros, colaboradores, voluntários, pacientes e, em muitos casos podem conter informações relacionadas a crianças e adolescentes, além de dados pessoais sensíveis.  

Portanto, é necessário e fundamental que as organizações busquem através de parcerias, inclusive pro bono, em caso de não dispor de orçamento para o investimento, a contratação de profissionais da área jurídica e de tecnologia da informação, com o escopo de realizar a adequação, pois, além da exigência legal constante da LGPD estão os aspectos reputacional e de credibilidade que norteiam a atividade fim dessas entidades.

Com base nessas premissas iniciais, o objetivo deste artigo será propiciar um conhecimento sobre a temática dos impactos da lei geral de proteção de dados no terceiro setor, sem qualquer pretensão de esgotar o assunto que se mostra sensível e complexo.

 

1. 1. LEI GERAL DE PROTEÇÃO DE DADOS. O QUE É A LGPD?

 

A Lei n° 13.709/2018 (Lei Geral de Proteção de Dados) foi sancionada em 14 de agosto de 2018, com prazo de 2 anos de vacatio legis, e entrou em vigor aos 18 de setembro de 2020, somando-se, assim, a mais de 134 países que adotam uma lei geral como forma de melhor estruturar a proteção de dados pessoais.

O objetivo e alcance da lei foi, de um lado, proteger os direitos dos titulares de dados e, de outro, gerar obrigações para todos aqueles que tratam dados pessoais, sejam empresas públicas ou privadas.

Nessa esteira, e dentro das principais premissas constantes da LGPD, vale ressaltar sua aplicabilidade a todos os setores da economia, sendo assegurada a toda pessoa natural a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade[2].

O primeiro artigo da lei revela que:

 

Art. 1° Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

 

Com efeito, a LGPD não tem por objetivo regulamentar matéria afeta a internet ou tecnologia, pois, o Marco Civil da Internet (Lei n° 12.965/2014), é a legislação especifica que trata dessa temática e trouxe avanços inegáveis para a sociedade.

A Lei Geral de Proteção de Dados buscou regrar o tratamento de dados pessoais, inclusive nos meios digitais, seja por pessoa natural ou jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais (art. 5°, inciso LXXIX, da CF/88) de privacidade e liberdade dos cidadãos, além do livre desenvolvimento da personalidade, visando, garantir a proteção dos dados pessoais dos titulares e permitir um maior regramento sobre eles.

A Lei Geral de Proteção de Dados que em muitos aspectos se assemelha com o novo Regulamento Geral de Proteção de Dados – RGPD (ou, do inglês, GDPR – General Data Protection Regulation), que entrou em vigor na União Europeia em 2018, muitas empresas brasileiras que realizam negócios comerciais com o Europa tiveram que se adequar a essa realidade, o que “com a nova lei, o País agora se eleva em nível reputacional de modo a garantir a continuidade dos fluxos de dados para a União Europeia e o regular recebimento de dados daquela origem.”[3]

 

2. O QUE É O TERCEIRO SETOR

 

As entidades do terceiro setor compõe-se de fundações, associações, organizações não governamentais, organização da sociedade civil de interesse público (OSCIP), entre outras.

É cediço que as denominadas ONG’s – Organizações não Governamentais – são instituições criadas sem a ajuda ou vínculos com o governo, ou seja, se destinam a suprir o vazio deixado pelo Estado, atuando, via de regra, nas áreas da saúde, educação, assistência social, entre outras diversas frentes e atividades.

As ONG’s são entidades privadas da sociedade civil, sem fins lucrativos, e se caracterizam por ações de solidariedade nas políticas públicas e pelo legítimo exercício de pressões políticas em favor de populações menos favorecidas ou excluídas das condições de cidadania. 

O surgimento dessas organizações, deu-se pela ineficiência dos Governos e do poder público em geral, no sentido de suprirem todas as necessidades da sociedade. Essas entidades constituem importantes alternativas para sistematizar a sociedade como um todo, pois promovem ações sociais, culturais, assistenciais etc.

Cabe ressaltar, que devido a sua atividade fim, as entidades do terceiro setor possuem uma imensa quantidade de dados pessoais de beneficiários, colaboradores, voluntários, pacientes e parceiros, inclusive com informações relacionadas a crianças e adolescentes, além da coleta de dados sensíveis em muitos casos. A maximização na coleta desses dados pessoais acaba tornando uma cultura e um hábito em diversos setores da economia, não só nas empresas do terceiro setor, formando-se imensas camadas de informações desnecessárias e que raramente serão utilizadas, sendo que o objetivo da lei é exatamente o oposto, ou seja, o de minimizar a coleta dessas informações pessoais. Assim, a LGPD caracteriza-se pelo princípio da finalidade (art. 6°, I), “exigindo que o destino a ser conferido aos dados deve ser informado previamente aos usuários e que os dados colhidos só podem ser utilizados para fins legítimos, específicos e explícitos”.[4]

Além dos desafios constantes na LGPD, as organizações do terceiro setor ainda se veem diante da Lei 13.019/2014, denominado Marco Regulatório das Organizações da Sociedade Civil (MROSC), que estabelece uma legislação específica do setor, e que tem por escopo o aperfeiçoamento do ambiente jurídico e institucional relacionado à Organizações da Sociedade Civil e suas relações de parceria com a administração pública em regime de mútua cooperação, para a consecução de finalidades de interesse público e recíproco.

Um ponto importante aqui a se delinear é o fato de que a citada Lei 13.019/2014 – Marco Regulatório – prevê um prazo de 10 anos para o arquivamento de certos documentos, mesmo após a finalidade inicial, há a necessidade de guardar e proteger os dados coletados por certas organizações.   

Denota-se, portanto, os grandes desafios em que as entidades do terceiro setor terão, doravante, para a implementação da LGPD assegurando a conformidade com todas as demais normas, de forma a harmonizar esse plexo regulatório de maneira que traga segurança jurídica muito maior no uso dos dados pessoais. 

 

3. CONCEITOS DA LGPD

 

Art. 5º Para fins desta Lei, considera-se:

 

I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II – dado pessoal sensível: dado pessoa sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios eletrônicos ou físicos;

IV – banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD);

IX – agentes de tratamento: o controlador e o operador;

X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

XI – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

XIII – bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;

XIV – eliminação: exclusão do dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

XV – transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

XVI – uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos ou entre entes privados;

XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de riscos;

XVIII – órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e

XIX – autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo território nacional.[5]       

O artigo 5º tem a finalidade de conceitualizar os termos relevantes da LGPD. Nos dizeres do professor Dr. Sérgio Branco:

 

Trata-se de técnica legislativa cujo objetivo é diminuir a incerteza acerca do real significado atribuído a cada um dos termos definidos. A estratégia não é nova, podendo ser encontrada já na lei brasileira de direitos autorais de 1973 (art. 4º da Lei n° 5.988/73, revogada pela Lei de 1998) e, mais recentemente, no Marco Civil da Internet (Lei n° 12.965/14, art. 5º).[6]   

 

E, continua, o professor Sérgio Branco, no sentido de que a LGPD apresenta a definição de 19 itens, que podem ser divididos, para fins didáticos, em quatro categorias: (i) dados e banco de dados; (ii) titular e agentes de tratamento; (iii) atos praticados em conexão com os dados; e (iv) relatório, órgão de pesquisa e autoridade nacional.[7] 

Os dados e os bancos de dados estão inseridos nos incisos I a IV do art. 5º; o titular e agentes de tratamento, os incisos V a IX; nos incisos X a XVI revelam os atos praticados em conexão com os dados; e, por fim, os incisos XVII a XIX dispõe sobre o relatório, órgão de pesquisa e autoridade nacional.

 

3.1 Dado pessoal

 

Para a LGPD, dados pessoais refere-se à informação relacionada a uma pessoa identificada ou identificável, v.g., seu nome, CPF, login de e-mail, até mesmo uma foto. Tem-se, portanto, que a LGPD visa a proteção apenas dos dados de pessoas físicas.

Assim, dado pessoal é toda e qualquer informação que pode permitir a identificação de alguém ou individualizar uma pessoa mesmo que não se saiba quem essa pessoa é, identificada e identificável (cookies, outros identificadores eletrônicos e geolocacionais).

 

 Nesse contexto, nos dizeres de Bruno Bioni, o Brasil optou pela visão expansionista, na proteção de dados:

 

Por isso, via de regra, prevalece conceito expansionista pelo qual dado pessoal equivale a uma informação que, direta ou indiretamente, identifica um sujeito. Essa definição abraça, portanto, mesmo as informações que têm o potencial de identificar alguém, ainda que de maneira remota.[8]  

 

Na visão expansionista, portanto, o conceito de dado pessoal revela-se como sendo qualquer dado que, isoladamente ou não, possa permitir a identificação de uma pessoa natural, como por exemplo, o CPF, uma foto, um e-mail. Ou seja, são informações que identificam uma pessoa ou que combinados com outros dados, são capazes de conduzir à sua identificação.

 

3.2 Dado pessoal sensível

 

Dado pessoal sensível trata sobre a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Assim, pode-se considerar um dado pessoal sensível, a preferência por um time de futebol, ou por um determinado candidato político etc.

O dado pessoal sensível é todo aquele capaz de gerar, em algum aspecto, em práticas discriminatórias ou o preconceito sobre alguém, questões sobre saúde, orientação sexual, política, biometria, genéticos. 

 

3.3 Dado anonimizado

 

O dado anonimizado refere-se ao dado pessoal pertencente a uma pessoa natural, contudo, que não pode ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

Ademais, o inciso XI do art. 5º conceitua a “anonimização” como sendo “utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo”.

Para Bruno Bioni, “a antítese do conceito de dado pessoal seria um dado anônimo, ou seja, aquele que é incapaz de revelar a identidade de uma pessoa.”[9]

 

3.4 Titular dos dados

 

Titular é a pessoa natural a quem se refere os dados pessoais que são objeto de tratamento. Tal definição corrobora o entendimento de que apenas as pessoas físicas ou natural como menciona a lei, têm seus dados protegidos pela LGPD.

 

3.5 Controlador

 

É a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

 

3.6 Operador

 

Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador

 

3.7 Encarregado

 

Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD

 

 

4. AS BASES LEGAIS PARA O TRATAMENTO DE DADOS PESSOAIS

 

A LGPD em seu artigo 7º, traz um conceito chamado de base legal, que trata da hipótese autorizativa que legitima o uso do dado pessoal. O tratamento do dado pessoal necessita se fundamentar sempre em uma hipótese autorizativa. E a lei elenca dez situações sobre como tratar os dados pessoais, e é nesse momento que a lei infere fortemente no contexto atual dos dados.

Importante ressaltar que não existe, de antemão, nenhuma preponderância entre as bases legais, bastando para o agente de tratamento enquadrar-se em uma das situações previstas no referido art. 7º da LGPD[10].

Nesse sentido, a base legal do consentimento não tem hierarquia sobre a base legal da proteção ao crédito; o consentimento não vale mais do que a base legal da tutela da saúde; o consentimento não vale mais do que a base legal de política pública, de pesquisa, de execução dos contratos.

Na sociedade datificada vivenciada hodiernamente, tem-se, efetivamente, uma maior flexibilidade no uso dos dados, de uma maneira muito mais segura. E essa maior flexibilidade baseia-se, especialmente, na base legal do legítimo interesse.

Para Bruno Bioni, historicamente, o legitimo interesse tem sido encarado como a mais flexível das bases legais de tratamento de dados no regime do direito comunitário europeu. Ainda que sob o mesmo nível hierárquico, o legitimo interesse serviria como uma válvula de escape para que as demais bases legais não fossem “sobrecarregadas”[11].

Denota-se, portanto, que a base legal do legitimo interesse, é efetivamente o balanceamento entre o impacto que aquele uso dos dados pode ter nos direitos e liberdades fundamentais do titular do dado, em contraponto aos interesses para os quais será utilizado esses dados, que pode ser, inclusive, para fins comerciais.

A grande novidade da LGPD quando se pensa em base legal, sem dúvida se traduz na base do legítimo interesse.     

 

5. PRINCIPIOS DA LGPD

 

E a Lei n° 13.709/18, a LGPD, em seu artigo 6º, estabelece dez princípios, que autorizam o tratamento de dados pessoais, e atuarão praticamente em qualquer modelo de negócio.

Dentro dos princípios elencados pela lei, destacaremos alguns, tais como:

 

5.1 Princípio da finalidade

 

O princípio da finalidade determina que uso dos dados pessoais sejam para finalidades legítimas, específicas, determinadas, conhecidas do titular. O uso deve ser adequado ao contexto do que está acontecendo, v.g., a pessoa natural realiza um download de um aplicativo de lanterna em seu smartphone e esse aplicativo de lanterna tem a sua autorização para poder coletar as suas fotos, dentro do contexto para o que você quer um aplicativo de lanterna não faz sentido ele coletar uma determinada foto por mais que o titular dos dados tenha dado a autorização para tanto, através da base legal do chamado consentimento. Portanto, a finalidade deve ser explicita.

 

5.2 Princípio da adequação

 

Referido princípio, para Sérgio Pohlmann[12], trata do processo de preservar a relação entre aquelas finalidades informadas para as quais os dados serão utilizados, e o efetivo tratamento dado a eles. 

 

5.3 Demais princípios

 

A LGPD (art. 6º[13]) ainda se refere ao princípio da transparência; princípio da segurança; princípio da prestação de contas ou da responsabilidade demonstrável, ou seja, não basta ser bom, tem que parecer ser bom, tem que demonstrar que a empresa está efetivamente respeitando o uso adequado dos dados, e é nesse contexto, que entra muito o papel de adequação das empresas na Lei Geral de Proteção de Dados, inclusive, as empresas do chamado terceiro setor.

Para Pohlmann[14], o correto tratamento de dados pessoais, por uma empresa, instituição, organismo ou individuo, são necessários três pilares:        

 

• Princípios – Observar os princípios que norteiam a possibilidade de tratamento;
• Bases Legais – Enquadrar o tratamento em uma Base legal coerente ao tratamento realizado;
• Tratamento Adequado – Dar, aos dados tratados, suficientes níveis de segurança, cumprindo, sempre, com a Confidencialidade, a Integridade, e a Disponibilidade (princípios bases de Segurança da Informação).

 

 

6. 6. O TITULAR DOS DADOS

 

O artigo 17 da LGPD[15], dispõe que: “Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei.”

A Lei, em seu artigo 18[16], estabelece uma série de direitos para os titulares dos dados. Temos que dentre esses direitos, estão: i) direito de acesso aos dados; ii) direito às informações que entidades públicas e privadas tem sobre o titular; iii) direito a correção de dados incompletos, inexatos ou desatualizados; iv) direito a se opor ao uso desses dados aos quais o titular não concorda; v) direito de cancelamento ou eliminação desses dados.

 

6.1 Livre acesso

 

Através do direito ao livre acesso, o titular dos dados pessoais pode, a qualquer momento, solicitar informações sobre seus dados em uma determinada empresa ou organização. Não significa dizer que o titular dos dados, quer seja funcionário, colaborador, cliente, enfim, pode requerer que os dados sejam apagados ou se opor ao uso de qualquer de seus dados. Como qualquer direito, os direitos fundamentais não são absolutos, esses direitos do titular de dados também não os são. A Lei traz uma série de formas, para o caso concreto qual o interesse que deve prevalecer.

Para tanto, trazemos a seguinte situação, apenas a título exemplificativo: uma determinada empresa/organização dispensa um funcionário por baixo desempenho em sua produtividade laboral, alguns dias depois de ser desligado da empresa, o referido colaborador solicita que seus dados pessoais sejam eliminados dos bancos de dados da empresa e, após alguns meses, o ex-funcionário ingressa com reclamação trabalhista alegando possíveis verbas de natureza trabalhista devidas e não pagas pelo empregador. Diante de tal situação, caso a empresa tenha realizado o apagamento dos dados do ex-funcionário, como iria elaborar sua peça de defesa e corroborar os fatos com os documentos comprobatórios a justificar a improcedência da referida ação trabalhista.

Tem-se, portanto, conforme o exemplo acima, que esse direito do titular solicitar a eliminação dos dados e que a lei dispõe, terá que ser balanceado, ou seja, um contraponto com o interesse da empresa em defender seus próprios direitos. E a própria legislação traz as formas de se fazer isso.

 

6.2 Da portabilidade

 

O direito do titular dos dados pessoais a portabilidade traz, prima facie, a grande novidade na LGPD, pois, diferentemente da portabilidade somente de um número que a pessoa natural detém da empresa de telefonia, p.ex., ou da conta na instituição financeira, na portabilidade, o titular tem o direito de obter todos os seus dados pessoais. Nesse sentido, caso o titular não esteja satisfeito com uma determinada empresa, pois não transmite mais confiança no tratamento dos dados, com algum tipo de vazamento dos dados, ou porque aumentou muito a taxa, enfim, o titular tem o direito de requerer a portabilidade de seus dados e sua transferência para o concorrente e o antigo prestador apague todos os dados de posse naquela organização, diante da ruptura da relação comercial existente. Não se trata, simplesmente da pessoa natural obter uma cópia dos dados pessoais armazenados na empresa, mas, sim, solicitar e determinar que uma organização transfira os dados até mesmo para o seu concorrente. Por tal razão, o direito a portabilidade é considerado por muitos doutrinadores como essencial no mercado competitivo. É um elemento indispensável em um mercado saudável de competição dos dados pessoais.

 

7. O PROGRAMA DE IMPLEMENTAÇÃO NA PRÁTICA

Como o artigo tem a finalidade de abordar os principais aspectos da LGPD e seus impactos nas empresas do terceiro setor, não poderíamos nos abster de passar algumas informações, ainda que de maneira muito singela e de forma perfunctória, sobre o programa de implementação da Lei nas entidades do terceiro setor, trazendo, para tanto, algumas sugestões. Contudo, não tem este artigo a pretensão de esgotar o tema, mas, apenas trazer um norte de premissas a seguir, no sentido de inserir a instituição na legislação de proteção de dados e, assim, estar a instituição em conformidade (compliance).

Outrossim, podemos dividir, o programa, em cinco fases/etapas, assim compreendidas: 1) preparação; 2) organização; 3) implementação; 4) governança dos dados; e, 5) encerramento do programa.

 

7.1 Preparação

 

Nesta fase de preparação, em um primeiro momento, importante estruturar e conhecer a instituição, a forma de trabalho e quais dados a organização coleta, como são coletados e a finalidade para os quais os dados são coletados.

Diante dessas informações, necessário formar um comitê de privacidade e proteção de dados, com a participação de algum diretor da instituição (importantíssimo o engajamento da alta administração) e colaboradores de cada setor da empresa. Instituído o comitê de privacidade, fazer a indicação de um encarregado[17].

Com a formação do comitê de privacidade elaborar a política de privacidade, política de cookies para a inclusão no site e, assim, dar conhecimento aos titulares de dados sobre como os dados são tratados pela instituição, dando visibilidade externa às pessoas físicas ou jurídicas que navegarem no site da organização. Vale ressaltar, que na elaboração da política de privacidade e avisos de privacidade, tais documentos sejam escritos de forma simples, clara, transparente e objetiva para a fácil compreensão de todos os titulares de dados que tenham conhecimento sobre as mesmas.

Há, em continuidade, a importância em realizar treinamentos com todos os colaboradores da organização, podendo ser divido por setores, com o escopo de envolver todos no processo de implementação, e de conhecer a legislação pertinente – LGPD, o que irá garantir uma melhor adequação e manutenção das boas práticas na proteção de dados como um dos valores seguidos pela instituição. Esse engajamento e consciência dos colaboradores sobre a importância da implementação de proteção de dados e sua conformidade com a legislação, fará com que o projeto tenha sua maturidade para uma adequação mais efetiva e eficaz. Extremamente importante essa participação ativa dos colaboradores para o sucesso do projeto.         

 

7.2 Organização

 

O objetivo desta fase de organização será o de melhorar a gestão dos dados na instituição, bem como mitigar os riscos inerentes e, consequentemente aumentar o nível de proteção de dados.

Para Alexandre Prata[18], a fase responsável por estabelecer a estrutura organizacional é composta de sete passos que por sua vez se desdobram em algumas ações: 1. Programa de Privacidade de Dados, Políticas e Controles de Governança; 2. Atribuir e manter a responsabilidade de proteção e privacidade de dados; 3. Engajamento da alta administração; 4. Compromisso com a proteção de dados e a privacidade; 5. Comunicação, treinamento e conscientização; 6. Manter as partes interessadas engajadas; 7. Implementar e operar o Sistema Informatizado de Proteção e Privacidade de Dados.

Importante que a área de segurança da informação e tecnologia da informação atuem conjuntamente com o setor jurídico, pois, trata-se, de um envolvimento entre todas essas áreas, e um nítido objetivo de multidisciplinariedade dos atores envolvidos.

 

7.3 Implementação

 

Na implementação, superadas as fases anteriores, necessário realizar os ajustes com as revisões no processo de políticas da instituição; revisar os sistemas no ambiente de TI e SI para a aplicação das bases legais; continuidade em treinamentos; plano de ação do Relatório de Impacto de Proteção de Dados (RIPD); controles internos; reuniões do comitê de privacidade e proteção de dados; revisão do plano de ação com a mitigação dos riscos; início das revisões nos contratos firmados pela organização, elaboração de manual de boas práticas e conhecimento de seus colaboradores.

 

7.4 Governança dos Dados

 

Como menciona Josmar Lenine Giovannini Junior, a implementação de programas de governança em privacidade e proteção de dados pessoais deve ter espaço adequado na agenda dos “stakeholders”, bem como na dos mais altos níveis dirigentes das organizações, consideradas as devidas urgências e importâncias requisitadas pelo tema.[19]

O ciclo de vida dos dados pessoais dentro da organização é definido pelo período entre a entrada dos dados pessoais na instituição, até seus respectivos descartes.

Para tanto, Giovannini, complementa que, todo programa de governança em privacidade, para que seja efetivo, deve ser extensivo a cada uma das etapas do ciclo de vida da informação, sendo fundamental a aplicação de boas práticas na gestão individual de cada uma delas. Algumas etapas do ciclo de vida dos dados pessoais internamente às empresas são: Coleta, processamento, armazenamento, transferências, término do tratamento de dados pessoais e descarte dos dados pessoais.[20]

Nesse diapasão, todos os cuidados com o acesso aos dados pessoais devem ser tomados pelos agentes de tratamento de dados, tendo-se em mente que a LGPD prioriza pela minimização na coleta dos dados dos pessoais e não a sua maximização.    

 

7.5 Encerramento do programa

 

Encerra-se o programa com a exposição de todos os termos de entregáveis relacionados no projeto inicial de implementação, com a coleta e concordância de todos os membros do comitê de privacidade e proteção de dados formado para essa finalidade, observando que a organização deverá manter em constante aprimoramento e em conformidade com todas as demais legislações, inclusive a LGPD.

Ressalta-se, ademais, por sua importância, que os sistemas de software e antivírus originais deverão ser constantemente atualizados, no sentido de garantirem a proteção contra malwares, ransonwares e outros ciberataques que possam colocar em risco toda infraestrutura tecnológica da organização, gerando imensos dissabores não só para a instituição como para os titulares dos dados.    

 

8. VANTAGENS EM ESTABELECER O PROGRAMA DE ADEQUAÇÃO

 

Na sociedade datificada em que estamos vivenciando e a velocidade com que as informações são transmitidas através dos avanços tecnológicos e da facilidade com que um maior número de pessoas tem acesso às novas tecnologias, as vantagens por parte das empresas em estabelecer um programa de adequação agrega um gigantesco ativo, tais, como:

8.1 – no aspecto da reputação, irá trazer para a instituição, muito mais credibilidade, confiança e transparência;

8.2 – ainda, no que tange a reputação, com a implementação os riscos de um possível vazamento ou ataques ransonwares são mitigados, aumentando, assim, sua credibilidade e confiança;

8.3 – nos contratos firmados com parceiros e convênios, aumenta a segurança, evitando perda dos negócios;

8.4 – com a adequação a organização terá muito mais vantagem competitiva que as demais empresa, que ainda estão em fase embrionária de adequação às novas regras e com a legislação; 

8.5 – oportunidade no aprimoramento de rotinas em proteção de dados e privacidade;

8.6 – engajamento de todos os envolvidos no projeto;

8.7 – facilidade na contratação com a administração pública e empresas privadas.

 

Tem-se, por certo, que a instituição do terceiro setor que realizar a implementação da LGPD em sua estrutura organizacional, além de estar em conformidade com a lei, referida adequação trará inúmeros benefícios, tanto em seu aspecto reputacional, como, em sua infraestrutura de tecnologia da informação e segurança da informação, mitigando riscos, além de dar mais transparência aos titulares de dados de como são tratados os dados pela instituição e sua relevância e atenção.

 

9. CONCLUSÃO

 

Conforme mencionado, é importante ressaltar que no Brasil não existe um hiato, ou melhor, não existia um hiato legislativo na regulamentação direta ou indireta no uso de dados pessoais. Somente no âmbito federal nós tínhamos mais de 50 normativas direta ou indireta que regulamentava os dados pessoais desde a Constituição Federal de 1988; ao Código Civil; ao Código de Defesa do Consumidor; Lei do Cadastro Positivo; Marco Civil da Internet, entre outras legislações que tratam da questão do dado pessoal.

Ocorre que muitas vezes essas normas não dialogavam entre si, elas traziam conflitos, muitas delas tratavam sobre dados pessoal, mas, sequer mencionava o que era dado pessoal, o que gerava, muitas vezes, um conflito entre as próprias normas e sua efetiva aplicação, mesmo entre os juristas.

Dentro desse contexto, a função essencial da Lei Geral de Proteção de Dados, foi acomodar essas situações e regulamentar esse “quebra cabeça” de normas. Ou seja, o de harmonizar esse plexo regulatório de maneira a dar mais segurança jurídica e, bem assim, utilizar e tratar os dados pessoais de forma adequada, respeitando os direitos de seu titular, que é a pessoa natural.

Mister esclarecer, por oportuno, que a LGPD não substitui nenhuma lei, pouquíssimos artigos do Marco Civil da Internet foram expressamente derrogados, ou alterados com a LGPD. Todas as demais leis continuam a ser aplicadas. Questões trabalhistas (CLT) continuam sendo aplicadas; decisões do Tribunal Superior do Trabalho, continuam a ser aplicadas, enfim, houve uma harmonização maior entre as normas e uma segurança jurídica aos titulares dos dados pessoais.

A Lei Geral de Proteção de Dados ainda exerce uma dupla função, qual seja, proteger os direitos fundamentais e fomentar o desenvolvimento tecnológico.

Outrossim, a nossa sociedade que é movida a dados, em que vários comentadores revelam que os dados são o petróleo do Século XXI, temos que, em uma sociedade movida a dados o cidadão que desenvolver novos modelos de negócios dispor de uma legislação adequada, traz uma segurança jurídica muito grande para o negócio.

Ademais, a LGPD é uma legislação muito mais flexível no uso de dados pessoais do que as legislações até então existentes. Nesse sentido, a lei de proteção de dados, flexibiliza o uso dos dados pessoais e ao mesmo tempo traz mais segurança jurídica e insere o Brasil em um contexto mundial, numa onda mundial, de países com leis de proteção de dados.

 

 

O Brasil perdia investimentos porque não tinha uma lei adequada e agora, o país pode ter um movimento e visibilidade maior, inclusive, tendo como um dos motivos para a aprovação da Lei de Proteção de Dados, o de ingressar, fazer parte do grupo dos países ricos da OCDE.

Para o terceiro setor, e ainda que demande um esforço hercúleo para a adequação da LGPD, diante das grandes dificuldades financeiras que muitas instituições atravessam, a Lei se mostra como uma grande oportunidade para as organizações se estruturarem administrativamente e se modernizarem na coleta e no tratamento de dados pessoais, tendo em vista a imensa quantidade de dados e informações que são coletados, de seus colaboradores, voluntários, associados, parceiros, pacientes e demais titulares envolvidos nessa coleta de informações.

A implementação da LGPD para as organizações do terceiro setor, que comumente sua receita primordial advém das doações privadas, incontestável, que estar a instituição em conformidade com a legislação brasileira, inclusive a LGPD, se mostra como um grande diferencial competitivo e, via de regra, irá atrair muito mais investimentos para a organização. 

Diante dessas premissas, a implementação da LGPD por parte das empresas do terceiro setor, é medida que se impõe, não somente por ser uma exigência legal, mas, e com mais vigor, pelos benefícios oriundos de estar a organização em compliance com a legislação pertinente, trazendo mais segurança jurídica aos seus negócios; dando transparência aos titulares de dados sobre a coleta e o tratamento; capacitando seus colaboradores sobre a importância dos dados pessoais; gerando reputação entre seus diversos doadores – pessoa natural e jurídica – pois, evidencia a seriedade da instituição e sua observância às normas cogentes.

 

10. REFERÊNCIAS BIBLIOGRÁFICAS

 

BRANCO. Sérgio. A LGPD e o novo marco normativo no Brasil. Organizadora Caitlin Mulholland. Arquipélago Editorial. Porto alegre.   

 

BRASIL. Lei n° 13.709/2018, Lei Geral de Proteção de Dados – LGPD (Redação dada pela Lei n° 13.853/2019).

 

BRASIL. Lei n° 13.019/2014. Marco Regulatório das Organizações da Sociedade Civil (MROSC).

 

BRASIL. Lei n° 12.965, de 23 de abril de 2014. Marco Civil da Internet (MCI).

 

BRASIL. Constituição da República Federativa do Brasil: promulgada em 5 de outubro de 1988. Organização do texto: Alexandre de Moraes. 35ª ed.. 2012. São Paulo. Manual de Legislação Atlas.

 

BRASIL. Código Civil. Código de Processo Civil. Legislação Civil e Empresarial. Yussef Said Cahali (org.) 15ª ed. 2013. RT.

 

BIONI. Bruno Ricardo. Proteção de Dados Pessoais: a função e os limites do consentimento. 2019. Rio de Janeiro. Ed. Forense.  

 

JUNIOR, Josmar Lenine Giovannini. LGPD, Lei Geral de Proteção de Dados Pessoais – Manual de Implementação. Coord. Viviane Nóbrega Maldonado 2019. São Paulo: RT.

 

MALDONADO, Viviane Nóbrega. LGPD Lei Geral de Proteção de Dados Pessoais – Manual de Implementação. 2019. São Paulo. RT.

 

MULHOLLAHND, Caitlin. A LGPD e o novo marco normativo no Brasil. Arquipélago Editorial. Porto alegre.   

 

POHLMANN, Sérgio Antônio. LGPD Ninja – Entendendo e implementando a LGPD nas empresas. 2ª edição. Ed. Verbis Livros e Leitura.   

 

PRATA, Alexandre. LGPD, Lei Geral de Proteção de Dados Pessoais. Coord. Viviane Nóbrega Maldonado 2019. São Paulo: RT. pg. 108.

 

SOUZA, Carlos Affonso. MAGRANI, Eduardo. CARNEIRO, Giovana. A LGPD e o novo marco normativo no Brasil. Organizadora Caitlin Mulholland. Arquipélago Editorial. Porto alegre. 

 

[1] CAMPOS, Carlos Alberto Casanova. Advogado. Especialista (MBA – Master Business Administration) em Direito Digital e Compliance pela Escola Paulista de Direito – EPD. Especialista em Direito Civil e Direito Processual Civil pela Pontifícia Universidade Católica de Campinas – PUCCAMP. Professor do Curso de Direito Digital da Escola Superior de Advocacia – ESA de Campinas, Santos e Santo André. Professor convidado do Curso de Especialização de Direito Digital da Pontifícia Universidade Católica de Campinas – PUCCAMP.   

[2] BRASIL. Lei n° 13.709 de 14 de agosto de 2018 (Lei Geral de Proteção de Dados). Disponível em: [https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm]

[3] MALDONADO, Viviane Nóbrega. LGPD, Lei Geral de Proteção de Dados Pessoais. 2019. São Paulo: RT. pg. 15.

[4] SOUZA, Carlos Affonso. MAGRANI, Eduardo. CARNEIRO, Giovana. A LGPD e o novo marco normativo no Brasil. Organizadora Caitlin Mulholland. Arquipélago Editorial. Porto alegre. pg.53. 

[5] BRASIL. Lei n° 13.709/2018, Lei Geral de Proteção de Dados – LGPD (Redação dada pela Lei n° 13.853/2019).

[6] BRANCO. Sérgio. A LGPD e o novo marco normativo no Brasil. Organizadora Caitlin Mulholland. Arquipélago Editorial. Porto alegre. pg.30.   

[7] Ibiden pg. 31.

[8] BIONI. Bruno Ricardo. Proteção de Dados Pessoais: a função e os limites do consentimento. 2019. Rio de Janeiro. Ed. Forense. pg. 74.  

[9] Ibiden, pg. 70

[10] BRASIL. Lei 13.709/2018. Artigo 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I – mediante o fornecimento de consentimento pelo titular; II – para cumprimento de obrigação legal ou regulatória pelo controlador; III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular de dados; VI – para exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei n° 9.307, de 23 de setembro de 1996 (Lei de arbitragem); VII – para a proteção da vida ou da incolumidade física do titular ou de terceiros; VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dado pessoais; ou X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

 

[11] BIONI, Bruno Ricardo. Proteção de Dados Pessoais: a função e os limites do consentimento. 2019. Rio de Janeiro. Ed. Forense. pg. 248.  

[12] POHLMANN, Sérgio Antônio. LGPD Ninja – Entendendo e implementando a LGPD nas empresas. 2ª edição. Ed. Verbis Livros e Leitura. pag. 79.  

[13] BRASIL. Lei 13.709/18. Artigo 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: I – finalidade: realização do tratamento par propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.       

[14] Ibidem. Pag. 82.

[15] BRASIL. Lei n° 13.709/2018, Lei Geral de Proteção de Dados – LGPD (Redação dada pela Lei n° 13.853/2019).

[16] BRASIL. Lei 13.709/18. Artigo 18 o titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: I – confirmação da existência do tratamento; II – acesso aos dados; III – correção de dados incompletos, inexatos ou desatualizados; IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei; VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; IX – revogação do consentimento, nos termos do § 5° do art. 8º desta Lei.   

 

[17] BRASIL. Lei 13.709/18 Art. 5º, VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).

[18] PRATA, Alexandre. LGPD, Lei Geral de Proteção de Dados Pessoais. Coord. Viviane Nóbrega Maldonado 2019. São Paulo: RT. pg. 108.

[19] JUNIOR, Josmar Lenine Giovannini. LGPD, Lei Geral de Proteção de Dados Pessoais. Coord. Viviane Nóbrega Maldonado 2019. São Paulo: RT. pg. 168.

[20] Ibidem. pag. 172.