Renata Lima (*) e Carlos Salgado (**)
A preocupação com a privacidade e a proteção dos dados pessoais é uma das prioridades das organizações públicas e privadas no mundo atual. O assunto é tão importante, que já existe o Dia Internacional da Privacidade dos Dados – 28 de janeiro.
Seguindo essa tendência mundial e com
base no General Data Protection Regulation (GDPR) – Regulamento de
Proteção de Dados da União Europeia –, entrou em vigor no Brasil, em 18 de
setembro de 2020, a Lei nº 13.709/2018. Com exceção das sanções
administrativas, que ficaram para agosto de 2021, a norma é conhecida
como Lei Geral de Proteção de Dados, ou simplesmente LGPD.
O texto dispõe sobre o tratamento de
dados pessoais em âmbito nacional, com o objetivo de proteger os direitos
fundamentais de liberdade, privacidade e a livre formação da personalidade de
cada indivíduo.
Com
a sanção da LGPD, o que antes eram consideradas boas práticas agora passam a
ser obrigação de todas as instituições, sejam elas públicas ou privadas,
inclusive das organizações do Terceiro Setor, como entidades
de classes, federações, sindicatos, ONGs etc.
É
inquestionável que a LGPD foi proposta e promulgada com o viés de proteger as
pessoas físicas nas relações de consumo, especificamente quanto ao uso e o
correto tratamento de seus dados pessoais. Como dado pessoal, devemos entender
toda e qualquer informação que identifique ou permita a identificação de uma
pessoa:
“Art. 5º Para os fins
desta Lei, considera-se:
I – dado pessoal:
informação relacionada a pessoa natural identificada ou identificável.”
O
conceito legal de dado pessoal é muito amplo, podendo ser classificado como
qualquer informação básica como nome, RG, CPF, data de nascimento, e-mail,
endereço e até mesmo dados que antes eram considerados genéricos, como
profissão, cargo ou uma característica física específica que possa identificar
determinada pessoa.
Esses
são os dados que devem ser protegidos e passar por tratamento, e as
organizações devem estar amparadas sobre umas das hipóteses descritas na lei:
as dez bases legais para tratamento dos dados pessoais, dispostas no art. 7.
Caso algum tratamento de dados da organização não esteja classificado em uma
dessas dez hipóteses, este será considerado ilegal. Sendo permitido apenas que
os mesmos sejam utilizados para os fins consentidos por seus donos.
Outra
definição legal é a de dado pessoal sensível:
“Art. 5º Para os fins
desta Lei, considera-se:
II – dado pessoal
sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa,
opinião política, filiação a sindicato ou a organização de caráter religioso,
filosófico ou político, dado referente à saúde ou à vida sexual, dado genético
ou biométrico, quando vinculado a uma pessoa natural.”
Os
dados pessoais sensíveis, como o próprio nome diz, são aqueles que merecem uma
proteção mais rígida, por se relacionarem à esfera íntima da pessoa, podendo
gerar alguma forma de discriminação, trazendo maior risco e potencialização de
danos em caso de qualquer incidente.
Por
isso, a Lei determina que esse tipo de dado seja tratado com maior cuidado.
Outra diferenciação diz respeito ao tratamento de dados pessoais de crianças e
adolescentes, devendo ser considerado o melhor interesse desse público, da
criança e do adolescente, e salvo algumas poucas hipóteses, em que seja sempre
exigido, para o tratamento, o consentimento prévio dos pais ou responsáveis.
A
LGPD classifica, como tratamento de dados pessoais, qualquer ação da organização
que se refira a coleta, produção, recepção, classificação, utilização, acesso,
reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação, modificação,
comunicação, transferência, difusão ou extração. Esse extenso rol impossibilita
desclassificar qualquer operação econômica das organizações, como tratamento de
dados pessoais.
O
tratamento deve ter uma finalidade, um propósito legítimo, específico,
explícito e do qual a pessoa física deve estar informada. Essa regra não
permite mais a prática outrora de coleta de dados para diversos fins, sem uma
autorização expressa para cada ação específica.
Quanto
à necessidade, é certo que a organização deve tratar apenas os dados que
necessita para que possa relacionar-se com a pessoa física naquilo que está
permitido por esta última. Por exemplo, caso a organização esteja autorizada
pelo titular a comunicar-se com ela por e-mail marketing, a mesma não está
autorizada a manter o contato telefônico dela, pois não é um dado necessário
para fins de envio do e-mail.
Portanto,
é certo que em todas as ações desenvolvidas, seja na área do telemarketing ou
em outra, se envolver o tratamento de dados pessoais, a organização deverá
observar os princípios descritos no art. 6º da LGPD. O cumprimento dos
princípios em questão e a adoção de práticas e medidas que garantam a segurança
dos dados tratados, fará com que a organização esteja em conformidade com a
LGPD.
A
lei apresenta ainda as hipóteses em que os dados poderão ser tratados, e o rol exibido
é taxativo, não permitindo o tratamento de dados em outras situações, que não
as previstas na lei. Essas são as bases legais que autorizam o tratamento de
dados pessoais.
Uma
dessas hipóteses é o legitimo interesse, que poderá ser utilizado pela instituição
para fundamentar o tratamento de dados pessoais para finalidades legítimas,
consideradas a partir de situações concretas.
Trata-se,
portanto, de uma hipótese mais flexível para o uso de dados pessoais, mas isso
não significa que não se deva ter cuidados e atenção às demais regras
existentes na legislação, pois há limites e condições rígidas a serem
obedecidas.
Dessa
forma, considerando o relacionamento que já existe entre as organizações e seus
apoiadores por diversos meios e a depender do caso concreto, o legítimo
interesse poderá ser uma hipótese de tratamento dos dados pessoais,
fundamentado na existência prévia e contínua e respeitando as legítimas
expectativas, os direitos e as liberdades fundamentais dos apoiadores.
Ademais,
outra hipótese de tratamento que pode ser utilizada para justificar a
manutenção dos dados obtidos por meio da captação de recursos é o consentimento.
Ele deve ser coletado individualmente de cada titular dos dados, de forma
livre, informada e inequívoca.
As
considerações acima se referem ao tratamento de dados das pessoas físicas com
as quais a organização já se relacionava antes da vigência da LGPD.
De
forma prévia e não considerando cada caso concreto, entendemos que a utilização
do legítimo interesse como base legal para o tratamento dos dados pessoais já
existentes nas bases de dados das organizações, permitirá a continuidade de seu
relacionamento com seus apoiadores e doadores.
Já
a coleta dos dados realizada pelo site institucional, seja de colaboradores,
parceiros ou até mesmo de apoiadores, deve ser fundamentada em outra base
legal, o consentimento, devendo ainda ser descrito e publicizado no site institucional,
todo o ciclo de vida dos dados, formalizado por uma política de privacidade.
Por
outro lado, para que seja feito contato por telemarketing, com o objetivo de
captar recursos, deve existir prévio consentimento, ou até mesmo, ser feito um
contato prévio para que a pessoa física dê o consentimento. Nesse caso, se for dado
por ligação telefônica, deverá a organização gravá-la e informar ao
interlocutor que tal processo está sendo feito para o fim do registro.
Portanto,
desde agosto de 2020, o Programa de Privacidade e Proteção de Dados passou a
ser obrigação legal de todas as organizações, que devem o quanto antes providenciar
sua conformidade com a LGPD.
Sem
isso, podem sofrer penalidades administrativas, judiciais e reputacionais, incluindo
diversas sanções, tais como advertências; multas que podem chegar a 2% do faturamento
anual; suspensão do tratamento dos dados pessoais e até do exercício das atividades.
___
(*) Renata Lima, advogada e contadora especializada em direito tributário e em Terceiro Setor, é sócia do Lima & Reis Sociedade de Advogados. É professora da pós-graduação em direito e contabilidade para o Terceiro Setor na FBMG.
(**) Carlos Salgado, advogado especializado em Terceiro Setor, direito digital e privacidade e proteção de dados, é sócio do Lima & Reis Sociedade de Advogados.
