A Lei Geral de Proteção de Dados, mais conhecida pela sigla LGPD, é uma lei federal (Lei 13.709/2018) que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Ou seja, tem como objetivo de garantir proteção adequada contra violações de privacidade, bem como assegurar a transparência no uso dos dados em quaisquer meios.
A LGPD é aplicada onde há tratamento de dados pessoais, independentemente de tratar-se de uma pessoa física (natural) ou de pessoa jurídica (Empresas, Igrejas, Associações, Cooperativas, etc.). Destaca-se que a lei não está restrita ao mundo virtual, mas também aos dados mantidos em meios físicos (livros, fichas, etc.). Portanto, uma Igreja poderá ser responsabilizada por possíveis vazamentos de dados dos membros ou visitantes. Marcone Hahan de Souza, contador responsável pelo site M&M Contabilidade de Igrejas, destaca que “até então, partia-se do pressuposto que o culpado era quem roubava e divulgava os dados de forma indevida/criminosa. Mas, com a nova lei o entendimento é diferente. Quem detém ou coleta o dado é responsável por guardar e proteger. Portanto, em caso de roubo ou vazamento dos dados, o responsável por proteger estes dados será punido por não cumprir com sua obrigação de guardar seguramente os dados”.
No ambiente das organizações religiosas é comum as igrejas trabalharem com diversos dados pessoais, como exemplos: rol de membros; fichas de participação em eventos; fichas com dados de visitantes; filmagens e fotos de cultos e eventos; informações sobre dizimistas e ofertantes; atas e correspondências; confissões; dados em sites, redes sociais e aplicativos da Igreja e etc. Hoje, vamos tratar do Rol de Membros.
Inicialmente é importante destacar que a LGPD define como dados pessoais toda e qualquer informação relacionada à pessoa natural (pessoa física), identificada ou identificável, como: nome, idade, endereço, e-mail, estado civil, número de documentos etc. Portanto, para a Igreja manter e/ou tratar esses dados, há necessidade de uma autorização específica do titular dos dados (o membro).
CGADB realiza 1º Simpósio sobre a Lei Geral de Proteção de Dados (LGPD)
A lei também classifica determinados dados como sensíveis, que seriam aqueles que, por sua natureza, devem ter uma proteção mais rigorosa, a exemplo de informações a respeito de: origem (origem racial ou étnica); de crenças (convicções religiosas, as opiniões políticas, a filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político); corporais (referentes à saúde, dados genéticos e dados biométricos) e sexuais (gênero ou vida sexual). Portanto, as Igrejas devem ter cuidados redobrados quando tratarem de dados considerados sensíveis pela LGPD.
A lei estabelece uma proteção mais rigorosa ainda, em relação aos dados de crianças e adolescentes. Neste sentido, a LGPD dita que só poderão ser colhidos e tratados dados de crianças e adolescentes com o consentimento específico de, pelo menos, um dos pais ou responsável legal.
Marcone lembra que “o fato de uma pessoa fornecer seus dados pessoais em um cadastro não dá o direito de a Igreja fazer uso desta informação. A lei exige que exista o aceite formal, ou seja, o consentimento específico da pessoa para o uso daquela informação. Esse consentimento poderá ser por escrito (num formulário/documento em papel) ou por meio eletrônico (“aceite” no site)”. Nesta autorização deve conter a utilização específica daqueles dados (exemplos: para contatos telefônicos, e-mail, WhatsApp, etc.), bem como informar ao membro sobre qual a finalidade de obtenção destes dados e onde serão armazenados e por quanto tempo. Neste sentido, a M&M Contabilidade de Igrejas elaborou um modelo de documento com autorização para tratamento de dados pessoais de membros das Igrejas, contendo uma versão para os membros maiores de idade e outra versão pata os membros menores de idade. Os modelos podem ser obtidos a partir dos links a seguir:
Membros maiores de idade: https://igrejas.mmcontabilidade.com.br/materias.aspx?idmat=228
Membros menores de idade: https://igrejas.mmcontabilidade.com.br/materias.aspx?idmat=229
Marcone também sugere “evitar colher e/ou manter dados desnecessários (que nunca serão utilizados. Ex. cidade de nascimento, etc.). Ou seja, mantenha somente informações que serão úteis, preferencialmente, dados não sensíveis. Para tanto, ajuste os modelos dos documentos conforme a realidade da Igreja”.
Também se destaca que só deverão ser mantidos dados no Rol de Membros de pessoas que autorizaram expressamente (por escrito). Nas situações de pessoas que não são mais membros, ou não autorizaram, caso a Igreja queira manter os dados para fins históricos e/ou estatísticos, a sugestão é tornar os dados anonimizados. Ou seja, utilizar meios técnicos dos quais o dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
Quanto aos dados de pessoas falecidas, não há na LGPD nenhum artigo que vede a aplicação da lei para a proteção de dados pessoais dos falecidos. Aliás, em vários artigos a lei fala da proteção dos dados de Pessoas Naturais. O conceito de pessoa natural nos remete a pessoa dotada de capacidade e personalidade, tendo início com o nascimento com vida, sendo que “a existência da pessoa natural termina com a morte” (art. 6º, do Código Civil). Mas, considerando outras leis brasileiras, por prudência, até uma definição mais clara sobre o tema, sugere-se, na medida do possível, a proteção dos dados da pessoa falecida.
Também cabe salientar que a Igreja precisa manter registros sobre as atividades de tratamento desses dados, de forma que possam ser apresentadas por requerimento dos titulares dos dados ou analisadas pela Autoridade Nacional de Proteção de Dados (ANPD). Neste sentido, em caso de solicitação, as Igrejas devem apresentar relatórios, neste prazo de 15 dias, que comprovem o risco de impacto à proteção dos dados pessoais coletados. Para tanto, é importante que a igreja tenha a figura do Encarregado da Proteção de Dados que é pessoa indicada pelo controlador (Igreja) para atuar como canal de comunicação entre a Igreja, os titulares dos dados (os membros) e a Autoridade Nacional de Proteção de Dados (ANPD).
Qualquer deslize por parte da Igreja pode lhe custar caro, tanto na parte econômica quanto a imagem da Igreja. As sanções serão aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) e são: advertência; multa simples, de até 2% do faturamento/ano, limitada a R$ 50 milhões por infração; multa diária; publicização da infração (lista tipo “SPC” das instituições que não protegem os dados); suspensão da utilização dos dados; até a proibição de tratar os dados.
É importante destacar que a própria LGPD define os critérios que serão utilizados para a aplicação das sanções. Os principais são: a gravidade e a natureza das infrações; a boa-fé do infrator; a reincidência; a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados; a adoção de política de boas práticas e governança. Portanto, as medidas e procedimentos que a Igreja vir a tomar, ou deixar de realizá-los, irá influenciar na severidade da punição.
Além da adoção de um documento contendo autorização para tratamento de dados pessoais dos membros, o contador da M&M Contabilidade de Igrejas dá outras dicas para evitar o vazamento de dados dos membros:
– com a nova lei não se admite mais ter a organização da Igreja em planilhas adaptadas, sem qualquer segurança. Mantenha os dados em sistemas seguros, com senhas fortes. Troque as senhas frequentemente, especialmente quando algum usuário sair da função. Reduza o número de pessoas com acesso aos dados pessoais que estão sob a responsabilidade da Igreja. Mantenha backups (cópias) em locais seguros;
– frequentemente, junto com o lixo, nos papéis vão embora muitos dados que poderão ser utilizados indevidamente. Cuidado com a utilização de folhas impressas no verso. Ali poderão conter informações que se acessadas por outras pessoas, eventualmente, irão complicar a situação da Igreja. Quando do descarte de papéis, procure inutilizá-los totalmente, triturando, por exemplo;
– tesoureiros, secretários e colaboradores, voluntários ou não, que colhem ou manipulam dados pessoais dos membros e visitantes devem firmar um Termo de Responsabilidade junto à Igreja onde fique claro o comprometimento quanto ao sigilo, não vazamento, não utilização para outro fim e de tomada de todas as medidas no sentido de proteção dos dados;
Congresso Nacional promulga PEC sobre proteção de dados de autoria do senador Eduardo Gomes
– Igrejas que utilizam serviços de terceiros como: fornecimento de softwares, manutenção de equipamentos de informática, serviços de segurança, vigilância por circuito fechado de TV, contador, etc. deve certificar-se que esses fornecedores de serviços estão adequados a Lei Geral de Proteção de Dados, reduzindo-se, assim, o vazamento de dados por intermédio de terceiros;
– não vender ou ceder para terceiros os dados do Rol de Membros.
– se houver alguma ocorrência indevida envolvendo dados da Igreja, como invasão de computadores ou vazamento de informações que possa causar dano a alguém, isso deve ser imediatamente comunicado às autoridades.
Portanto, “se a Igreja tomar as providências acima, certamente reduzirá em muito o vazamento de dados e uma possível punição”, conclui Marcone.
