Igrejas devem observar a Lei Geral de Proteção de Dados (LGPD)
Publicado em
16/04/2021
às
12:00
Igreja pode ser responsabilizada por possíveis
vazamentos de dados dos membros
Foi publicada em 2018 a Lei Geral de Proteção de
Dados, também conhecida como LGPD, que tem por objetivo principal a proteção
dos direitos fundamentais de liberdade e privacidade de todos. Ou seja, de
garantir proteção adequada contra violações de privacidade, bem como assegurar
a transparência no uso dos dados em quaisquer meios. A Lei 13.709/18 é aplicada
onde os dados encontram-se coletados, ou seja, a lei não está restrita ao mundo
virtual, mas também com os dados mantidos em meios físicos (livros, fichas,
etc.). Portanto, uma Igreja pode ser responsabilizada por possíveis vazamentos
de dados dos membros ou visitantes. Ou seja, nada impede que os responsáveis
sejam enquadrados nesta lei, que possui punições significativas.
Como as igrejas costumam coletar diversas
informações pessoais em seus cadastros de membros, informações financeiras e em
alguns casos informações confidenciais de foro íntimo através de confissões,
existem grandes chances desta lei via a ser invocada em um possível litígio.
A lei já começou a vigorar em setembro/2020, embora
as possíveis sansões só sejam aplicadas a partir de 1º de agosto de 2021.
Portanto, estamos diante de uma mudança significativa na relação e cuidado com
os dados pessoais, inclusive dos membros das Igrejas.
Destaca-se que a lei determina que todos dados
pessoais (informação relacionada à pessoa natural identificada ou
identificável, como nome, idade, endereço, e-mail, estado civil, número de
documentos, situação patrimonial, etc.) só podem ser coletados por qualquer tipo
de suporte (papel, eletrônico, som e imagem, etc.) mediante o consentimento do
usuário, o devido esclarecimento sobre a finalidade de solicitar aquela
informação e o tempo em que o dado será tratado até o seu descarte. Neste
sentido, é interessante nos formulários (em papel ou eletrônicos) ter um espaço
para o "aceite/concordância" de quem está fornecendo os dados, bem
como de possíveis autorizações específicas para futuras utilizações (ex. envio
de newsletter, e-mail, mensagens por WhatsApp, contatos telefônicos, etc.).
Pois, o fato de uma pessoa fornecer seus dados pessoais em um cadastro não lhe
dá o direito para uso desta informação. A nova lei passa a exigir que exista o
aceite formal, ou seja, o consentimento específico da pessoa para o uso daquela
informação.
A lei também classifica determinados dados como
sensíveis, que seriam aqueles que, por sua natureza, devem ter uma proteção
mais rigorosa, a exemplo de informações a respeito da origem (origem racial ou
étnica), de crenças (convicções religiosas, as opiniões políticas, a filiação a
sindicatos ou a organizações de caráter religioso, filosófico ou político),
corporais (referentes à saúde, dados genéticos e dados biométricos) e sexuais
(vida sexual).
Outro aspecto importante a ser observado é que a
lei conceitua como Titular dos Dados a pessoa natural a quem se referem os
dados pessoais que são objetos de tratamento. Neste sentido, os dados são do
Titular e não são da Igreja. Portanto, o Titular pode pedir para corrigir,
excluir ou ter a portabilidade dos dados, a qualquer tempo e a Igreja deve
estar preparada para atendê-lo.
A LGPD ainda traz o conceito da figura do
Encarregado da Proteção de Dados que é pessoa indicada pelo controlador e
operador para atuar como canal de comunicação entre o controlador, os titulares
dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O Controlador é
pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento
de dados pessoais, no caso, a Igreja. Já o Operador é pessoa natural ou jurídica
que realiza o tratamento de dados pessoais em nome do controlador;
Outra questão importante é a que cabe a Igreja
manter registro sobre as atividades de tratamento dos dados, de forma que
possam ser apresentadas por requerimento dos titulares ou analisadas pela
Autoridade Nacional, em prazo de até 15 dias. Neste sentido, em caso de
solicitação, as Igrejas devem apresentar relatórios que comprovem o risco de
impacto à proteção dos dados pessoais coletados.
Até então, partia-se do pressuposto que o culpado
era quem roubava e divulgava os dados. Mas, com a nova lei o entendimento é
diferente. Quem detém ou coleta o dado é responsável por guardar e proteger. Em
caso de roubo ou vazamento dos dados o responsável por proteger estes dados
será punido por não cumprir com sua obrigação de guardar seguramente os dados.
Neste sentido, há previsão de punições para quem deixar de proteger os dados
dos usuários de acordo com a lei, como a suspensão de suas atividades relativas
a tratamento de dados pessoais de terceiros por até seis meses ou multas de até
2% de seu faturamento, que poderá chegar até R$ 50 milhões, além de dar
publicidade sobre a infração. Com isso, não seria nada interessante ver o nome
da Igreja estampado nos jornais como uma instituição que vaza os dados. Por
outro lado, é importante destacar que a própria lei define os critérios que
serão utilizados para as punições. Os principais são: a gravidade e a natureza
das infrações; a boa-fé do infrator; a reincidência; a adoção reiterada e
demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano,
voltados ao tratamento seguro e adequado de dados e a adoção de política de
boas práticas e governança. Portanto, as medidas e procedimentos que a Igreja
vir a tomar, ou deixar de realiza-lo, irá influenciar na severidade da punição.
A lei é nova. Muitos aspectos ainda precisam ser
regulamentados. Outros pontos, com o tempo, certamente, terão entendimentos
mais esclarecidos. Mas, isso não impede a aplicação da Lei a partir do início
de sua vigência (18 de setembro de 2020). Ainda no sentido da regulamentação da
lei, em 27 de dezembro de 2020 foi criada a ANPD - Agência Nacional de Proteção
de Dados, que é o órgão responsável pela regulação sobre a proteção de dados
pessoais. Responsável por zelar, implementar e fiscalizar a LGPD.
Uma das sugestões iniciais é a constituição de um
grupo de trabalho para estudar a lei, detectar e trabalhar para melhorar os
pontos fracos nos procedimentos quanto aos dados da Igreja. Ou seja, proceder
as devidas adequações no tocante ao tratamento de dados pessoais dos membros e
visitantes das Igrejas. Se possível, junte pessoas que conheçam os
procedimentos internos da Igreja, com pessoas da Tecnologia da Informação
(informática) e advogados. Eleja o Encarregado pela Proteção de Dados.
Portanto, com a nova lei não se admite mais
amadorismo no tratamento de dados. Um deslize pode custar muito caro a Igreja.
A seguir, algumas situações comuns nas igrejas que
podem ensejar problemas com a lei de proteção de dados:
a) Visitantes. Colher
informações dos visitantes em formulários para futuros contatos. Sugestão:
incluir uma autorização do visitante para utilização específica daqueles dados
(exemplos: para contatos telefônicos, e-mail, WhatsApp, etc.). Bem como
informá-lo sobre qual a finalidade de obtenção destes dados e onde serão
armazenados;
b) Rol de Membros. Colher informações dos membros em formulários para o rol de
membros. Sugestão: incluir uma autorização do membro para utilização específica
daqueles dados (exemplos: para contatos telefônicos, e-mail, WhatsApp, etc.).
Bem como informá-lo sobre qual a finalidade de obtenção destes dados e onde
serão armazenados. Evite colher e manter dados desnecessários (que nunca serão
utilizados. Ex. Cidade de Nascimento, etc.). Mantenha somente informações que
serão úteis, preferencialmente, dados não sensíveis. Neste sentido, só deve ser
mantido dados no Rol de Membros de pessoas que autorizaram expressamente. No
caso de pessoas que não são mais membros, ou não autorizaram ou já faleceram,
caso a Igreja queira manter os dados para fins históricos e/ou estatísticos, a
sugestão é tornar os dados anonimizados. Ou seja, utilizar meios técnicos
razoáveis e disponíveis no momento do tratamento, por meio dos quais o dado
perde a possibilidade de associação, direta ou indireta, a um indivíduo;
c) Consulta a SPC/Serasa. Realizar consultas no SPC e/ou Serasa para admissão como membro ou
para a ocupação de algum cargo ou função. Sugestão: evite tais consultas. Caso
julgue necessária, previamente colha autorização específica da pessoa que terá
seus dados consultados;
d) Sites, redes sociais e aplicativos. Política de Privacidade. Sugestão: inclua no site um texto com a
política de privacidade que relate as práticas realizadas pelo site/aplicativo
em relação às informações de seus visitantes, sejam dados de contato enviados
pelo próprio usuário, sejam informações de navegação (cookies), sobre as
páginas visitadas, fontes de tráfego, localização, entre outras. É preciso
esclarecer como esses dados serão utilizados e para que finalidades e, ainda,
se a Igreja vai repassá-los para instituições/empresas parceiras, por exemplo.
Também, evite colher informações que não serão utilizadas. Caso venha colher,
inclua uma autorização para utilização específica daqueles dados (exemplos:
para contatos telefônicos, e-mail, WhatsApp, etc.). Bem como informá-lo sobre
qual a finalidade de obtenção destes dados e onde serão armazenados; Neste
espaço da Política de Privacidade também deve conter o nome e dados de contatos
(e-mail, WhatsApp e telefone) do Encarregado de Proteção de Dados para
solicitações e esclarecimento de dúvidas dos interessados;
e) Fotos e Filmagens. Imagens de cultos e eventos e a manutenção em arquivos e/ou
divulgação no site e/ou redes sociais da Igreja. Sugestão: embora o tema ainda
não tenha um entendimento consolidado, sugere-se inicialmente que no templo
haja avisos em locais de fácil visualização de que o culto ou evento está sendo
filmado e fotografado. Também é aconselhável manter uma área no templo onde não
serão realizados fotos e filmagens (esse local deve ser informado nos avisos no
templo). Outra alternativa é restringir as imagens ao palco/púlpito. Neste
caso, as pessoas que irão aparecer nas imagens (músicos, cantores, pregadores, etc.)
deverão firmar autorização específica e por escrito. Em qualquer situação,
devem ser evitadas as imagens destacadas de pessoas famosas, menores e de cenas
que possam ser julgadas como constrangedoras;
f) Informações financeiras. Algumas Igrejas mantêm e até divulgam informações financeiras dos
membros, dizimistas, patrocinadores, ofertantes,
contribuintes, etc. Sugestão: reavaliar a necessidade da manutenção dessa
informação, objetivando a dispensa de obtê-la (ou seja, não colher/guardar tal
informação);
g) Atas e correspondências. Sugestão: evite a inclusão de dados sensíveis nos documentos das
Igrejas, como por exemplo: motivo da disciplina/exclusão do membro, se a pessoa
é membro ou não da Igreja, datas de admissão, exclusão, etc.;
h) Fichas de Inscrições em eventos. É Habitual a necessidade de preenchimentos de fichas com dados
pessoais para participação em congressos, retiros, convenções, etc.. Sugestão:
evite colher e manter dados desnecessários (que nunca serão utilizados).
Mantenha somente informações que irão serão úteis, preferencialmente, dados não
sensíveis;
i) Dados de Crianças e Adolescentes. Sugestão: Redobrar os cuidados com os dados de crianças e
adolescentes. Colher e/ou armazenar dados de menores de 18 anos requer
autorização específica dos pais ou responsáveis;
j) Confissões. Sugestão:
evitar confissões por meio onde possa, facilmente, ficar registrada (e-mail,
mensagens escritas em papel ou eletrônicas, etc.);
k) Fichas de Atendimento Pastoral. É comum alguns pastores manterem registros sobre os atendimentos
pastorais, em especial nas Igrejas com vários pastores, para compartilhamento entre
a equipe pastoral. Sugere-se que tenha muito cuidados com os dados anotados,
bem como a guarda e compartilhamento desses dados;
l) Pedidos de Oração. É usual a anotação dos pedidos de oração e possível compartilhamento,
em especial pelos grupos de oração e/ou intercessão de WhatsApp. Sugestão:
solicite autorização expressa de quem está realizando o pedido e tenha cuidado
para não ocorrer exposições de situações
indesejadas;
m) Reconhecimento facial/identificador de emoções. A partir de câmeras instaladas nas Igrejas, com softwares (programas
de computadores) específicos, algumas igrejas têm realizado o reconhecimento
facial, identificando as frequências nos cultos e outras utilizando para
identificar emoções (angústia, medo, tristeza, alegria, etc.) e depois utilizam
essas informações para direcionar sermões e aconselhamentos. Sugestão: esta
prática pode ser considerada como uma infração a Lei, portanto deve ser
evitada, a não ser com consentimento expresso (por escrito) e específico da
pessoa;
n) Segurança da Informação. Sugestão: Com a nova lei não se admite mais ter a organização da
igreja em planilhas adaptadas, sem qualquer segurança. Mantenha os dados em
sistemas seguros, com senhas fortes. Troque as senhas frequentemente,
especialmente quando algum usuário sair da função. Mantenha backups (cópias) em
locais seguros;
o) Descartes de Papéis. Frequentemente, junto com o lixo vão embora muitos dados que
poderão ser utilizados indevidamente. Portanto, quando do descarte de papéis,
procure inutilizá-los, triturando, por exemplo;
p) Pessoas que colhem/manipulem os dados. Sugestão: as pessoas que colhem e/ou manipulem os dados (secretárias,
tesoureiros, etc.) devem firmar um Termo de Responsabilidade junto à Igreja
onde fique claro o comprometimento quanto ao sigilo, não vazamento, não
utilização para outro fim e de tomada de todas as medidas no sentido de
proteção dos dados;
q) Serviços de Terceiros. Igrejas que utilizam serviços de terceiros como: fornecimento de
softwares, manutenção de equipamentos de informática, serviços de vigilância,
de contador, etc. devem tomar os devidos cuidados. Sugestão: certificar-se que
esses fornecedores de serviços estão adequados a Lei Geral de Proteção de
Dados, reduzindo-se, assim, o vazamento de dados por intermédio de terceiros.
Por fim, têm-se dúvidas quanto as Convenções,
Federações e Associações de Igrejas se estas estão obrigadas a observar a Lei
Geral de Proteção de Dados, por tratarem de dados de outras pessoas jurídicas
(Igrejas) e não de pessoas físicas. Incialmente cabe salientar que a LGPD visa
a proteção de dados pessoais (artigo 1º da LGPD), portanto de pessoas físicas.
Logo, os dados de pessoas jurídicas (Igrejas) não estariam sujeitos a LGPD. Por
outro lado, caso uma pessoa jurídica (Igreja) entenda que foi prejudicada pelo
mau uso de seus dados, nada impede que vá até a justiça reclamar os seus
direitos e o juiz aplique, por analogia, a LGPD. Portanto, sugere-se que por
prudência, as Convenções, Federações, Confederações e Associações de Igrejas
observem a LGPD quanto aos dados das Igrejas associadas, no que couber.
Acesse gratuitamente o e-book A IGREJA E A
LEI GERAL DE PROTEÇÃO DE DADOS (LGPD) a partir do link:
https://igrejas.mmcontabilidade.com.br/conteudovirtual.aspx?nbk=ebook_lgpd_e_igrejas_27042021
Marcone Hahan de Souza. Contador e Administrador.
Professor Universitário. Responsável pelo site M&M Contabilidade de Igrejas.
A M&M Assessoria Contábil possui uma área
especializada no atendimento contábil para Igrejas de todo o Brasil. Conheça
mais sobre esse serviço acessando mmCONTABILIDADEdeIGREJAS.com.br.
Gostou da matéria e quer continuar aumentando os
seus conhecimentos na área de gestão eclesiástica?
Assine,
gratuitamente, a nossa Newsletter Igrejas: Boletim Informativo sobre Gestão
Eclesiástica, clicando no link a seguir: https://igrejas.mmcontabilidade.com.br/?inscbol=1 e
assim você acompanha as nossas atualizações em primeira mão!