A preocupação com a privacidade e a proteção dos dados pessoais é uma das prioridades das organizações públicas e privadas no mundo atual. O assunto é tão importante que já existe o Dia Internacional da Privacidade dos Dados (28/1).
Seguindo essa tendência mundial e com base no General Data Protection Regulation (GDPR) — Regulamento de Proteção de Dados da União Europeia —, entrou em vigor no Brasil, em 18/9/2020, a Lei 13.709/2018. Com exceção das sanções administrativas, que ficaram para agosto de 2021, a norma é conhecida como Lei Geral de Proteção de Dados, ou simplesmente LGPD.
O texto dispõe sobre o tratamento de dados pessoais em âmbito nacional, com o objetivo de proteger os direitos fundamentais de liberdade, privacidade e a livre formação da personalidade de cada indivíduo.
Com a sanção da LGPD, o que antes eram consideradas boas práticas agora passam a ser obrigação de todas as instituições, sejam elas públicas ou privadas, inclusive das organizações do terceiro setor, como entidades de classes, federações, sindicatos, ONGs etc.
É inquestionável que a LGPD foi proposta e promulgada com o viés de proteger as pessoas físicas nas relações de consumo, especificamente quanto ao uso e o correto tratamento de seus dados pessoais. Como dado pessoal, devemos entender toda e qualquer informação que identifique ou permita a identificação de uma pessoa:
“Artigo 5º Para os fins desta Lei, considera-se:
I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável.”
O conceito legal de dado pessoal é muito amplo, podendo ser classificado como qualquer informação básica como nome, RG, CPF, data de nascimento, e-mail, endereço e até mesmo dados que antes eram considerados genéricos, como profissão, cargo ou uma característica física específica que possa identificar determinada pessoa.
Esses são os dados que devem ser protegidos e passar por tratamento, e as organizações devem estar amparadas sobre umas das hipóteses descritas na lei: as dez bases legais para tratamento dos dados pessoais, dispostas no artigo 7. Caso algum tratamento de dados da organização não esteja classificado em uma dessas dez hipóteses, este será considerado ilegal. Sendo permitido apenas que os mesmos sejam utilizados para os fins consentidos por seus donos.
Outra definição legal é a de dado pessoal sensível:
“Artigo 5º Para os fins desta Lei, considera-se:
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.”
Os dados pessoais sensíveis, como o próprio nome diz, são aqueles que merecem uma proteção mais rígida, por se relacionarem à esfera íntima da pessoa, podendo gerar alguma forma de discriminação, trazendo maior risco e potencialização de danos em caso de qualquer incidente.
Por isso, a lei determina que esse tipo de dado seja tratado com maior cuidado. Outra diferenciação diz respeito ao tratamento de dados pessoais de crianças e adolescentes, devendo ser considerado o melhor interesse desse público, da criança e do adolescente, e salvo algumas poucas hipóteses, em que seja sempre exigido, para o tratamento, o consentimento prévio dos pais ou responsáveis.
A LGPD classifica, como tratamento de dados pessoais, qualquer ação da organização que se refira a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Esse extenso rol impossibilita desclassificar qualquer operação econômica das organizações como tratamento de dados pessoais.
O tratamento deve ter uma finalidade, um propósito legítimo, específico, explícito e do qual a pessoa física deve estar informada. Essa regra não permite mais a prática outrora de coleta de dados para diversos fins, sem uma autorização expressa para cada ação específica.
Quanto à necessidade, é certo que a organização deve tratar apenas os dados de que necessita para que possa se relacionar com a pessoa física naquilo que está permitido por esta última. Por exemplo, caso a organização esteja autorizada pelo titular a comunicar-se com ela por e-mail marketing, a mesma não está autorizada a manter o contato telefônico dela, pois não é um dado necessário para fins de envio do e-mail.
Portanto, é certo que em todas as ações desenvolvidas, seja na área do telemarketing ou em outra, se envolver o tratamento de dados pessoais, a organização deverá observar os princípios descritos no artigo 6º da LGPD. O cumprimento dos princípios em questão e a adoção de práticas e medidas que garantam a segurança dos dados tratados fará com que a organização esteja em conformidade com a LGPD.
A lei apresenta ainda as hipóteses em que os dados poderão ser tratados, e o rol exibido é taxativo, não permitindo o tratamento de dados em outras situações, que não as previstas na lei. Essas são as bases legais que autorizam o tratamento de dados pessoais.
Uma dessas hipóteses é o legítimo interesse, que poderá ser utilizado pela instituição para fundamentar o tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas.
Trata-se, portanto, de uma hipótese mais flexível para o uso de dados pessoais, mas isso não significa que não se deva ter cuidados e atenção às demais regras existentes na legislação, pois há limites e condições rígidas a serem obedecidas.
Dessa forma, considerando o relacionamento que já existe entre as organizações e seus apoiadores por diversos meios e a depender do caso concreto, o legítimo interesse poderá ser uma hipótese de tratamento dos dados pessoais, fundamentado na existência prévia e contínua e respeitando as legítimas expectativas, os direitos e as liberdades fundamentais dos apoiadores.
Ademais, outra hipótese de tratamento que pode ser utilizada para justificar a manutenção dos dados obtidos por meio da captação de recursos é o consentimento. Ele deve ser coletado individualmente de cada titular dos dados, de forma livre, informada e inequívoca.
As considerações acima se referem ao tratamento de dados das pessoas físicas com as quais a organização já se relacionava antes da vigência da LGPD.
De forma prévia e não considerando cada caso concreto, entendemos que a utilização do legítimo interesse como base legal para o tratamento dos dados pessoais já existentes nas bases de dados das organizações permitirá a continuidade de seu relacionamento com seus apoiadores e doadores.
Já a coleta dos dados feita pelo site institucional, seja de colaboradores, parceiros ou até mesmo de apoiadores, deve ser fundamentada em outra base legal (o consentimento), devendo ainda ser descrito e publicizado no site institucional todo o ciclo de vida dos dados, formalizado por uma política de privacidade.
Por outro lado, para que seja feito contato por telemarketing, com o objetivo de captar recursos, deve existir prévio consentimento, ou até mesmo ser feito um contato prévio para que a pessoa física dê o consentimento. Nesse caso, se for dado por ligação telefônica, deverá a organização gravá-la e informar ao interlocutor que tal processo está sendo feito para o fim do registro.
Portanto, desde agosto de 2020, o Programa de Privacidade e Proteção de Dados passou a ser obrigação legal de todas as organizações, que devem o quanto antes providenciar sua conformidade com a LGPD.
Sem isso, podem sofrer penalidades administrativas, judiciais e reputacionais, incluindo diversas sanções, tais como advertências; multas que podem chegar a 2% do faturamento anual; suspensão do tratamento dos dados pessoais e até do exercício das atividades.
Renata Lima é advogada e contadora especializada em Direito Tributário e em Terceiro Setor e sócia do Lima & Reis Sociedade de Advogados.
Carlos Salgado é advogado especializado em Terceiro Setor, Direito Digital e privacidade e proteção de dados e sócio do Lima & Reis Sociedade de Advogados.
Fonte: Conujr