LGPD e Terceiro Setor: conceitos básicos para dirigentes (Parte 1)
Por Bianca Monteiro¹
O atual momento de crise em que estamos vivendo em função da pandemia tem exigido uma série de esforços extras das organizações da sociedade civil - OSCs, também chamadas de organizações do terceiro setor.
Não é nenhuma novidade que os recursos financeiros na maioria das organizações são limitados e que a captação de recursos em razão da covid-19 ficou ainda mais difícil, contrariando o que poderia demonstrar o aumento do volume de doações², uma vez que a destinação dos doadores foi, em grande parte, as ações emergenciais de saúde e assistência social.
Também é recorrente o debate sobre os percalços relacionados à governança e à gestão, que a cada dia estão mais profissionais, mas que ainda demandam atenção. Além disso, as organizações lidam com os desafios da adaptação ao trabalho remoto e da digitalização forçada de parte dos trabalhos, já que muitas organizações tiveram suas atividades quase que integralmente paralisadas.
E é neste cenário desafiador e complexo que precisamos introduzir um assunto tão atual, necessário e disruptivo como a proteção de dados. Fato é que mesmo não existindo uma conjuntura muito favorável, é imprescindível trazer luz ao tema diante da vigência da lei n°13.709/2018³, a já famosa lei geral de proteção de dados, amplamente difundida pela sigla LGPD, desde 18 de setembro de 2020.
Para muito além dos aspectos procedimentais, é preciso que fique claro para as organizações do terceiro setor que a proteção de dados precisa ser incorporada ao cotidiano organizacional, considerando que a grande maioria das instituições atuam na defesa, luta, garantia e implementação de direitos e, portanto, compreender que a proteção de dados é uma espécie de direito fundamental vai muito além de se preocupar em ter uma política de privacidade no site.
Com o objetivo de esclarecer os conceitos mais básicos da LGPD e sua aplicação nas organizações do terceiro setor, optei por elaborar um texto no formato de perguntas e respostas, visando ser bem objetiva e simples e, com isso, trazer clareza para os dirigentes e profissionais envolvidos com as OSCs.
Antes de iniciar as questões pertinentes especificamente sobre a lei geral de proteção de dados é importante definir o conceito de terceiro setor adotado.
O que são organizações do terceiro setor? Qual a diferença entre organizações do terceiro setor e organizações da sociedade civil?
Não há um conceito uniforme na doutrina e nem definição em lei do que são organizações do terceiro setor. Contudo, há dois elementos comuns em todos os conceitos: natureza privada e ausência de finalidade econômica ou lucrativa⁴.
De acordo com esse recorte — pessoas jurídicas de direito privado sem fins lucrativos — nos termos da legislação vigente, a natureza jurídica das organizações que compõem o terceiro pode ser: associação, fundação ou organização religiosa.
Por sua vez, a Lei nº 13.019/2014⁵, conceitua em seu artigo 2º, I:
- organização da sociedade civil: entidade privada sem fins lucrativos que não distribua entre os seus sócios ou associados, conselheiros, diretores, empregados, doadores ou terceiros eventuais resultados, sobras, excedentes operacionais, brutos ou líquidos, dividendos, isenções de qualquer natureza, participações ou parcelas do seu patrimônio, auferidos mediante o exercício de suas atividades, e que os aplique integralmente na consecução do respectivo objeto social, de forma imediata ou por meio da constituição de fundo patrimonial ou fundo de reserva. Em relação as OSC, é importante esclarecer que as pessoas jurídicas que se adequam a tal definição são as associações⁶ e fundações;
- as sociedades cooperativas previstas na Lei nº 9.867, de 10 de novembro de 1999; as integradas por pessoas em situação de risco ou vulnerabilidade pessoal ou social; as alcançadas por programas e ações de combate à pobreza e de geração de trabalho e renda; as voltadas para fomento, educação e capacitação de trabalhadores rurais ou capacitação de agentes de assistência técnica e extensão rural; e as capacitadas para execução de atividades ou de projetos de interesse público e de cunho social;
- as organizações religiosas que se dediquem a atividades ou a projetos de interesse público e de cunho social distintas das destinadas a fins exclusivamente religiosos.
Observe que no universo do chamado Terceiro Setor tem-se três “espécies” do gênero organização da sociedade civil — OSCs, de acordo com a definição da Lei nº 13.019/2014, difundida como Marco Regulatório das Organizações da Sociedade Civil — MROSC: associações, fundações, organizações religiosas.
Vale a ressalva porque mesmo quando utilizamos a expressão organizações da sociedade civil e organizações do terceiro setor como equivalentes, embora as sociedades cooperativas estejam incluídas nos termos da lei como “OSCs” para fins de parceria com a administração pública, não se pode incluí-las quando falamos de terceiro setor⁷.
O que são dados pessoais?
O artigo 5º, I, da LGPD define dado pessoal como “informação relacionada a pessoa natural⁸ identificada ou identificável”. Os dados⁹ são tudo aquilo que combinados podem gerar informações e essas são capazes de identificar ou traçar perfis de pessoas física. Contudo, na prática vamos tratar dados e informações no mesmo sentido.
Os dados que podem identificar uma pessoa imediatamente são aqueles óbvios como RG, CPF, título de eleitor, e os identificáveis são todos aqueles capazes de identificar uma pessoa. Por exemplo a placa de um carro não é dado pessoal, mas pela placa é possível identificar uma pessoa? Sim.
Dado é algo que pode identificar uma pessoa de forma isolada (o dado em si) ou a combinação de dados geram informações que permitem que uma pessoa seja identificada. É como uma espécie de quebra-cabeças. As peças isoladas não fazem sentido, mas ao juntarmos montam uma imagem.
É por isso que diante do caso concreto que se pode definir se refere a dados pessoais ou não. Vou dar um exemplo simples e pessoal. Sou advogada especialista em terceiro setor e me dividido hoje entre a Bahia e Minas Gerais; provavelmente apenas com essas informações é possível que algumas pessoas consigam me identificar e sem ao menos falar no meu nome.
Um dos exemplos mais peculiares que eu já ouvi foi o de uma calota de carro que foi considerada dado pessoal devido a sua incontestável capacidade, no caso concreto, de identificar quem era o dono e usuário do veículo (pessoa física).
Existem categorias de dados pessoais?
A lei prevê três tipos de dados: dados pessoais; dados pessoais sensíveis; dados de crianças e adolescentes.
Desta forma é possível dizer que existem “categorias” de dados, ou para simplificar ainda mais, seria como se os dados fossem classificados em dados “comuns” e “especiais”. Dados pessoais seriam como “gênero” e dados sensíveis e dados de criança e adolescente “espécies”.
Dados pessoais, dados pessoais sensíveis e dados de criança e adolescente precisam de tratamento adequado, entretanto os dados “especiais” demandam um tratamento ainda mais criterioso e cauteloso.
A LGPD define dado pessoal sensível como todos que dizem respeito a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (artigo 5º, II).
Ademais é importante destacar que os dados sensíveis, precisam ser apurados diante do caso concreto, inclusive porque a maioria da doutrina já concluiu que o rol do artigo 5º, II é exemplificativo, ou seja, diante do caso concreto podem surgir outras hipóteses além das definidas capazes de gerar atitudes ou decisões preconceituosas ou discriminatórias a partir do conhecimento de alguns dados.
Por sua vez, os dados pessoais de crianças e de adolescentes, nos termos do artigo 14 da LGPD, deverão ser realizados em seu melhor interesse, nos termos deste artigo e da legislação pertinente.
O que é tratamento de dados?
De acordo com o artigo 5º, X, tratamento é “toda operação realizada com dados pessoais, como as que se referem a: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”, lembrando que este rol é exemplificativo¹⁰.
De forma simples praticamente tudo que se faça com os dados pode ser considerado tratamento. Até o simples fato de deixar um documento guardado em uma gaveta, ou aquele envio pelo aplicativo WhatsApp, a tela do computador aberta com um documento ou informação, e-mails, banco de dados, etc., ou seja, sua organização certamente faz tratamento de dados pessoais em seu cotidiano.
O que você precisa saber sobre o tratamento de dados, incluindo os seus dados porque você é um titular, é que o uso dos mesmos não está proibido pela LGPD. O que a lei faz é criar regras para o uso destes dados.
A LGPD se aplica ao tratamento de dados realizado tanto por meios físicos quanto digitais. Daí se ratifica a ideia de que estar em conformidade com a LGPD se faz necessário em todas as organizações do terceiro setor porque mesmo que não esteja desenvolvendo quaisquer projetos ou atividades, a entidade trata os dados dos associados e dirigentes por exemplo.
Ao estabelecer critérios objetivos para o uso de dados pessoais é possível verificar e avaliar se os agentes de tratamentos dos dados, ou seja, os controladores e operadores (primeiro, segundo e terceiro setor e pessoas físicas que atuem com finalidade econômica) estão agindo em conformidade visando assim coibir eventuais abusos.
Quem nunca se sentiu perseguido pela Internet quando pesquisou por um produto ou serviço? Ou quem nunca teve a sensação de estar sendo monitorado pelo celular?
Reitero que além de todas as nossas preocupações profissionais, é fundamental compreender o impacto da proteção de dados em nosso cotidiano e consequentemente no exercício de nossa cidadania.
— —
1. Bianca Monteiro. Advogada, mentora, escritora e professora. Atua com terceiro setor desde 2002. Pós-graduanda em Advocacia digital e proteção de dados, Pós-graduada em Direito Público, em Gestão Estratégica de Organizações do Terceiro Setor e em Direitos e Garantias Fundamentais. Coautora do livro Roteiro do Terceiro Setor: Associações, Fundações e Organizações Religiosas. 6ª ed. Editora Fórum. Vice-presidente da Comissão Permanente de Direito do Terceiro Setor da OAB/MG. Saiba mais em: www.biancamonteiro.com.br.
2. Até o dia 12/11/20 quando foi realizada a consulta já foram identificadas pelo projeto do monitor de doações da covid-19 da Associação Brasileira de Captadores de Recursos - ABCR o valor de R$.6.474.874.076. Disponível em https://www.monitordasdoacoes.org.br/pt
3. Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD)
4. São comuns também os seguintes os objetivos sociais: saúde, educação, assistência social, desenvolvimento comunitário, inclusão social, cultura, meio ambiente, esporte, economia solidária.
5. Lei nº 13.019, de 31 de julho de 2014 - Estabelece o regime jurídico das parcerias entre a administração pública e as organizações da sociedade civil, em regime de mútua cooperação, para a consecução de finalidades de interesse público e recíproco, mediante a execução de atividades ou de projetos previamente estabelecidos em planos de trabalho inseridos em termos de colaboração, em termos de fomento ou em acordos de cooperação; define diretrizes para a política de fomento, de colaboração e de cooperação com organizações da sociedade civil; e altera as Leis nº 8.429, de 2 de junho de 1992, e 9.790, de 23 de março de 1999.
6. É comum o uso da expressão organizações não governamentais - ONGs em especial pela imprensa. Pela minha experiência ao longo de quase 19 anos dedicados ao terceiro setor normalmente estamos falando de associações.
7. As cooperativas, incluindo as definidas pela legislação como sociais tem rateio e são espécies de sociedades, ou seja, têm finalidade “lucrativa”.
8. Os donos dos dados são as pessoas físicas (e não as organizações). Não tem como pensar em dados pessoais sem pensar nos titulares. Os titulares são previstos como pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (art. 5º V). Os titulares possuem uma série de direitos, afinal a lei visa a proteção de dados, mas ao fim e ao cabo visa proteger as pessoas (artigos 9º e 18).
9. Vale ressaltar que dados e informações, apesar de tratados como sinônimos, são coisas distintas. “O dado é o estado primitivo da informação, pois não é algo per se que acresce conhecimento. Dados são simplesmente fatos brutos que, quando processados e organizados, se convertem em algo inteligível, podendo ser deles extraída uma informação”. Sobre proteção de dados indispensável a leitura de BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento - Rio de Janeiro: Forense, 2019.
10. A LGPD prevê as hipóteses quando não se aplica, no artigo 4º, para as organizações do Terceiro Setor seriam principalmente tratamento de dados realizados para fins exclusivamente jornalístico e artísticos.