Utilizamos cookies para melhorar sua experiência em nosso site. Ao continuar, você concorda e aceita nossa Política de Privacidade.

Se preferir, informe quais cookies você permite utilizarmos clicando aqui.

Política de Cookies

Cookies são arquivos que auxiliam no reconhecimento do seu acesso ao site. Para personalizar e melhorar sua experiência, sugerir conteúdos de acordo com seu perfil, e facilitando a navegação de forma segura. Abaixo, temos a descrição de quais são os tipos de Cookies que usamos . Caso tenha dúvidas, acesse a nossa Política de Privacidade.

Tipos de Cookies que usamos

Essenciais

Estes cookies são imprescindíveis para a operação do site. A opção de usá-los vem selecionada por padrão, pois sem eles, a navegação fica comprometida e você não consegue aproveitar algumas funcionalidades básicas que o nosso site oferece.

Escola Aberta do Terceiro Setor

Cursos

Blog

Link copiado para área de transferência

Para fazer essa ação você precisar estar logado na plataforma.

Por Bianca Monteiro¹

Esta é a parte 2 do texto LGPD e Terceiro Setor: conceitos básicos para dirigentes. Recomenda-se a leitura prévia da primeira parte também publicada neste site.

A Lei Geral de Proteção de Dados – LGPD – se aplica as associações do terceiro setor (associações sem fins lucrativos)?

Sim. Como o PRÓPRIO nome indica é uma Lei Geral de Proteção de Dados²,  o que significa que se aplica ao Poder Público, empresas, Organizações sem fins econômicos (Primeiro Setor, Segundo Setor e Terceiro Setor) e também às Pessoas Físicas que0 USAM os dados com finalidades econômicas. As “leis gerais” se aplicam a todos os setores. Observe que a lei não faz distinção sobre a parte econômica ou não das pessoas jurídicas de direito privado nos termos do artigo 1º e 3º, portanto, as associações, fundações, cooperativas sociais e associações religiosas precisam se adequar as mudanças da LGPD³.

Como Terceiro Setor, são agentes de tratamento de dados? São controladoras ou operadoras de dados pessoais?

Sim. Como Terceiro Setor, as organizações são agentes de tratamento nos termos da LGPD, podendo ser controladoras e/ou operadoras de dados.

A LGPD determina que quando uma organização do terceiro setor tomar as decisões referentes ao tratamento de dados pessoais será controladora dos dados. Por sua vez, quando a organização realizar o tratamento de dados pessoais em nome do driver ou a pedido dele será a operadora dos dados. Tal caracterização em linhas gerais só é possível afirmar ser aferida no caso concreto, contudo é possível afirmar com segurança que uma organização será controladora e operadora de dados. Dificilmente teremos uma situação onde exercerá um só papel.

Ao contrário do que pode considerar num primeiro momento, a distinção tem repercussões práticas, incluindo a apuração e definição de responsabilidades, considerando o papel fundamental do controlador na proteção dos dados. A lei prevê que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas para proteger os dados pessoais (art. 46) restando claro que o operador pode ser responsabilizado e também tem o dever de zelar pela proteção adequada dos dados.

Vale deixar registrado que o conceito de controlador e operador e como responsabilidades inerentes no tratamento de dados pessoais são da pessoa jurídica, e no caso do terceiro setor, são das associações, fundações e associações religiosas e não seus dirigentes, associados, voluntários, empregados. O que significa que não é o dirigente que será o controlador ou operador, mas sim a instituição.

Quando os dados podem ser tratados pelas organizações do terceiro setor, entendidas como agentes de tratamento (controlador ou operador) nos termos da LGPD?

A lei prevê que os dados de pessoas físicas são tratados pelos agentes de tratamento (controlador ou operador de dados) e já está claro que as associações do terceiro setor de enquadramento básico conceituais.

Para que a atividade de tratamento dos dados (qualquer uma delas – coletar, armazenar, etc.) seja realizada é que a lei norma “critérios”, princípios e bases legais, que devem ser respeitados. É possível concluir que os dados sempre serão tratados desde que em conformidade com os princípios e em consonância com uma base legal que será definida em cada caso concreto.

As atividades de tratamento de dados pessoais devem sempre observar, além do princípio da boa-fé, os seguintes princípios⁷: necessário, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilidade e prestação de contas (artigo 6º).

Ademais é preciso combinar o respeito aos princípios com as bases legais previstas no artigo 7º. Muito além do tão falado consentimento, o tratamento de dados pessoais “comuns” ⁸ somente poderá ser realizado nas seguintes hipóteses:

– mediante o consentimento de autorização pelo titular;

– para o cumprimento de obrigação legal ou regulatória;

– pela administração pública para a execução de políticas públicas;

– para a realização de estudos por órgão de pesquisa;

– quando necessário para um execução de contrato ou procedimentos preliminares relacionados a um contrato;

– para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307 / 1996 (Lei de Arbitragem);

– para a proteção da vida ou da incolumidade física do titular ou de terceiro;

– para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

– quando necessário para atender aos interesses legítimos do controlador ou terceiro;

– para a proteção do crédito.

Quais são alguns exemplos práticos de tratamentos de dados realizados por organizações do terceiro setor?

Apenas para ilustrar de forma bem resumida algumas hipóteses onde são realizadas atividades de tratamento, lembrando que os dados pertinentes e dados de criança e adolescente demandam atenção redobrada: dados de dirigentes, associados, voluntários e empregados; dados dos usuários ou beneficiários; dados de clientes ou consumidores, incluindo alunos; dados de pacientes; dados dos doadores pessoa física⁹.

Por onde começar?

Recomendo começar fazendo uma avaliação da maturidade da governança e como boas práticas de gestão já em execução nas entidades. É fundamental compreender a forma geral de conceitos e impulsos, o que inclui a capacitação e conscientização dos dirigentes e demais colaboradores da organização.

Depois é preciso ter a clareza e compreensão de que será necessário contar com profissionais que entendam do tema. O ideal é que seja uma equipe multidisciplinar composta por advogados e profissionais de Tecnologia da Informação (TI) e segurança da informação.

Não existe receita de bolo, infelizmente, e provavelmente como fácil e rápido trarão uma ilusão de conformidade. Para a implementação de programa de adequação à LGPD (incluindo as adequações mais simples), sugiro contar com uma colaboração de profissionais com conhecimentos técnicos relacionados à proteção de dados. É preciso lembrar que a LGPD é uma lei que se soma ao complexo ordenamento jurídico brasileiro e que não será aplicada de forma isolada, por este motivo uma consultoria ou assessoria jurídica qualificada é recomendada.

Quais são os custos para fazer um programa de adequação a lei?

Mais uma pergunta que não tem resposta pronta. Tudo vai depender do tamanho do programa de adequação, ou seja, o custo vai depender não apenas do tamanho da organização, do nível da atual governança, da existência de boas práticas de gestão incorporadas ao cotidiano das atividades da organização.

Um primeiro olhar pode realmente atestar a diferença abissal do tratamento de dados realizados pelas organizações do terceiro setor e como empresas que comprovam os dados como atividade principal do negócio (core business) e certamente para essas despesas e risco será infinitamente mais elevado.

É claro que um programa de privacidade e proteção de dados em uma organização do terceiro setor em nada se compara, em grau de complexidade e custo, com a maior parte das empresas, contudo, o ambiente empresarial tem alguns aspectos mais favoráveis ​​no que diz respeito processos e procedimentos internos relacionados a governança e gestão, além de orçamento diferenciado (sem entrar no mérito das micro e pequenas empresas).

Por outro lado, ocorre que pelas próprias finalidades ou objetivos sociais das associações do terceiro setor, conforme explicado na primeira parte do texto, fica evidente que teremos muitos dados pessoais relacionados a criança e adolescente o que certamente é motivo de alerta para os dirigentes, e consequentemente devido a necessidade de um maior grau de segurança da informação ter os custos mais elevados.

– –

1. Bianca Monteiro. Advogada, mentora, escritora e professora. Atua com terceiro setor desde 2002. Pós-graduanda em Advocacia digital e proteção de dados, Pós-graduada em Direito Público, em Gestão Estratégica de Organizações do Terceiro Setor e em Direitos e Garantias Fundamentais. Coautora do livro Roteiro do Terceiro Setor: Associações, Fundações e Organizações Religiosas. 6ª ed. Editora Fórum. Vice-presidente da Comissão Permanente de Direito do Terceiro Setor da OAB / MG. Saiba mais em: www.biancamonteiro.com.br

2. Lei nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais (LGPD).

3. Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde deseja usar os dados, desde que:

I – uma operação de tratamento seja realizada no território nacional;

II – a atividade de tratamento tenha por objetivo a oferta ou oferta de bens ou serviços ou o tratamento de dados de preferência no território nacional;

III – os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

4. Art. 5º: IX – agentes de tratamento: o controlador e o operador.

5. Art. 5º: VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais.

6. Art. 5º: VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

7. Recomendo a leitura do artigo 6º da LGPD.

8. Para tratamento de dados pessoais pessoais e de dados pessoais de criança e adolescente se faz necessário observar as regras dos artigos 11 e 14 respectivamente. Registro de uma imensa divergência doutrinária no que diz respeito como bases legais para tratamento de dados de criança e adolescente.

9. Se uma organização capta com empresas é importante considerar a proteção de dados como um diferencial “Competência”.

O texto foi originalmente publicado pelo OSC LEGAL Instituto, no site www.osclegal.org.br