Em maio de 2018 entrou em vigor na União Europeia a GDPR – (General Data Protection Regulation) como uma mudança cultural fundamental na maneira de enxergar e usar dados pessoais nos dias atuais. Frente aos diversos casos de vazamento ocorridos nos últimos anos e com o crescimento incontrolável da produção de dados, a legislação precisava se adequar para garantir que a privacidade das informações pudesse ser garantida aos seus titulares.
Essa legislação chegou também ao Brasil, conhecida como LGPD – Lei Geral de Proteção de Dados – cuja vigência está prevista para se iniciar a partir do mês de agosto de 2020. Nessa perspectiva, a Serasa Experian realizou um mapeamento no primeiro trimestre de 2019 apontando que 75% dos consumidores (Pessoas Físicas) têm conhecimento baixo sobre a existência dessa lei enquanto 66% das empresas dizem ter entendimento médio e 64% avaliam que estarão adequadas até o início do ano de 2020.
Vemos que o mundo corporativo está relativamente conscientizado sobre essa nova legislação, mas quanto ao universo das Organizações da Sociedade Civil, ainda está nebuloso. Em breve, será lançada uma pesquisa realizada em parceria com o Atados e o Social Good Brasil visando a realização de um mapeamento e diagnóstico inicial do Terceiro Setor quanto a essa mudança jurídica importante – e um texto novo virá com os resultados!
Aqui apresentaremos os pontos principais da LGPD no âmbito das Organizações Sociais para entender melhor quais poderiam ser as devidas adequações, mas também porque esse marco precisa ser compreendido como uma oportunidade inédita.
LGPD quanto a dados pessoais
A LGPD está voltada diretamente ao uso de dados pessoais e pretende garantir que qualquer cidadã(o) brasileira(o) possa ter controle sobre como, onde e por quem seus dados estão sendo utilizados. Inclusive, esse controle, que, salve exceções, necessita de um consentimento prévio imprescindível, permitiria a qualquer um(a) de solicitar a cessão de uso de suas informações em todo momento.
Qual é este universo de dados? A lei considera no seu Art. 5º o dado pessoal como “qualquer informação relacionada à pessoa natural identificada ou identificável”. Em outras palavras, “se uma informação permite identificar, direta ou indiretamente, um indivíduo que esteja vivo, então ela é considerada um dado pessoal”. Com isso, é possível entender que dados como nome, RG ou CPF, por exemplo, carregam informações que permitem rastrear a origem de seu titular de forma razoavelmente fácil. Mas a LGPD vai além e considera dado pessoal também o dado que, ao cruzá-lo com outros insumos ou técnicas, possibilita caracterizar e consequentemente identificar seu titular.
Além disso, ela ainda define no Art. 7º da Seção I em quais situações exclusivas o tratamento e compartilhamento de dados pessoais poderão ser realizados, ou seja:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Nessa perspectiva, começamos a perceber o alcance que essa legislação possa ter ao se pensar no Terceiro Setor e em particular nos dados armazenados dos beneficiários das Organizações Sociais. Mas esse quadro tende a chamar mais a nossa atenção ao se tratar de dados pessoais ditos “sensíveis” e dados de crianças e adolescentes.
LGPD quanto a dados sensíveis
A LGPD não se limita somente aos dados pessoais citados acima, mas distingue a informação qualificada como “sensível” e que consequentemente está sujeita a maior privacidade no seu uso e, portanto, existe um risco relativo maior em caso de exposição fortuita.
Para entender o que é um dado sensível, precisamos voltar ao artigo 5º da lei que o define como um “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
Ao ler essa descrição, quem atua na área social identifica que existe alguns dados citados aqui que são importantes para o entendimento de seu público-alvo e até que possam auxiliar em caracterizar por exemplo sua condição de vulnerabilidade social. Isso se torna fundamental na elaboração da justificativa ao propor ou desenvolver um projeto social, mas também no decorrer do monitoramento e avaliação das suas ações e do impacto potencialmente causado.
Portanto é um elemento que precisa ser olhado com cuidado pelos atores do Terceiro Setor para evitar qualquer risco que possa prejudicar sua atuação. Para isso, sugere-se a leitura da Seção II (Art. 11º, 12º e 13º) da Lei que trata dos casos específicos quanto ao tratamento desse tipo de dados
LGPD quanto a dados de crianças e adolescentes
Sabemos que muitas propostas de atuação sociais estão voltadas a crianças e adolescentes e torna-se fundamental conhecer o que a LGPD diz a respeito já que ela também tem uma seção específica sobre esse assunto (Seção III – Art. 14º) que está reproduzida aqui:
§ 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.
§ 2º No tratamento de dados de que trata o § 1º deste artigo, os controladores deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o art. 18 desta Lei.
§ 3º Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1º deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o § 1º deste artigo.
§ 4º Os controladores não deverão condicionar a participação dos titulares de que trata o § 1º deste artigo em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade.
§ 5º O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o § 1º deste artigo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis.
§ 6º As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.
Percebe-se o quanto o tratamento de dados de crianças e adolescentes tem que ser realizado com muito cuidado e a maior transparência, possibilitando seu acompanhamento e entendimento facilitado pelos responsáveis do público atendido. Isso, sem dúvida alguma deve gerar no mínimo a reestruturação de processos de coleta e armazenamento de dados nas Organizações da Sociedade Civil.
LGPD quanto a dados anonimizados
No âmbito da LGPD existe um ponto importante para destacar e que possa ser a maneira mais pertinente de se adequar e se proteger contras as consequências do descumprimento da mesma: tratar o dado de forma anonimizada. Isto é, o “dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”, significando que o dado “era relativo a uma pessoa, mas que passou por etapas que garantiram a desvinculação dele a essa pessoa”.
Neste caso, a LGPD não se aplicará a este dado e, consequentemente a organização poderá realizar suas análises de forma segura.
LGPD quanto à privacidade e ética dos dados
É infelizmente comum termos, como pessoas físicas, a desagradável sensação de que nossos dados e, talvez até nossa identidade possam escapar de nosso controle, gerando certo sentimento de impotência. O surgimento da GDPR e LGPD vêm suprir uma necessidade da sociedade moderna disruptiva na qual dados estão sendo utilizados de maneira ainda desgovernada e com pouquíssima transparência, trazendo um auxílio ao titular do dado para que não mais se sintam desamparados.
Há de se esperar que o quadro fique mais estruturado e que o domínio de nossos dados volte para nossas mãos. Com isso, será reforçado o respeito à privacidade e colocado no meio da discussão um tema muitas vezes desconsiderado, mas que é primordial: o uso ético dos dados. Essa questão precisa ser valorizada para que possamos tratar com humildade e propriedade a informação, sempre tendo em vista o respeito ao seu titular. Somente a alimentação deste diálogo poderá garantir que a legislação seja um ponto de mudança na consideração da pessoa humana num mundo cada vez mais digital e tecnológico e onde a Inteligência Artificial cresce de maneira exponencial.
LGDP: uma oportunidade para o Terceiro Setor
Se a chegada dessa nova legislação pode gerar certa preocupação por parte das Organizações da Sociedade Civil, há de se enxergar esse momento como uma oportunidade para que estas possam usufruir de todo o conhecimento tecnológico que essa transformação sugere e assim otimizar o uso da informação que possuem para melhorar de forma relevante o impacto social de suas ações. Isso passa por algumas etapas essenciais:
- Entender o que é “dado”
- Organizar os dados com processos claros
- Sensibilizar suas equipes sobre o uso adequado de dados
- Implementar políticas institucionais sobre coleta, armazenamento, tratamento e compartilhamento dos dados que garantem sigilo, privacidade e ética
- Garantir o consentimento e a transparência aos titulares dos dados em todas as etapas
- Aplicar modelos de análise de dados e inteligência artificial que permitem pensar em novas estratégias de atuação
- Publicar seus resultados baseados em evidências, mostrando seriedade e propriedade para a Sociedade Civil e potenciais apoiadores e financiadores
Vale salientar que esse novo paradigma também redefinirá as regras de comunicação entre as instituições e poderá até influenciar possibilidades de parcerias.
Conclusão
Como vimos, a LGPD traz elementos essenciais para a proteção das informações que caracterizam cada um de nós. E como a tecnologia avançará ainda muito nos próximos anos, essa legislação chega num momento onde é fundamental entender que entramos em uma era totalmente nova e revolucionária no que diz respeito ao tratamento da informação. De fato, é possível extrair mais conhecimento sobre uma pessoa pelo entendimento dos dados que a definem do que pelo seu próprio DNA.
Uma proposta foi apresentada no dia 30/04/2019 e ainda será discutida para prorrogar a entrada em vigor da LGPD para agosto de 2022. As discussões sobre essa questão não podem ser adiadas, até porque dispositivos de proteção e dados já estão vigorando na Europa. O Brasil não deve ficar para trás e o Terceiro Setor precisa entender o tratamento adequado do dado não só como uma forma de melhorar profundamente seu impacto social, mas também como um fundamento essencial de respeito ao ser humano.