A Lei 13.709/18, mais conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), entrou em vigor em agosto de 2020 e, desde então, tem sido debatida nos âmbitos empresarial, do setor público e da sociedade civil, sobretudo no que se refere a seus impactos na gestão de dados pessoais contidos, por exemplo, em cadastros, mailings, sites, relatórios e pesquisas, além daqueles obtidos em atuação junto a clientes, usuários e parceiros.
Para falar sobre os desafios do campo das organizações da sociedade civil (OSCs) frente à nova legislação, a SimbiOsc promoveu a primeira edição do SimbiOsc Talks, com a participação de Laís de Figueiredo Lopes e Maraísa Rosa Cezarino, advogadas do Szazi, Bechara, Storto, Reicher e Figueirêdo Lopes Advogados.
A SimbiOsc é uma realização da Pacto e da Vamos (parceria formada por Fundação Lemann, Instituto humanize e República.org) que visa fortalecer o ecossistema brasileiro de organizações da sociedade civil por meio de um ambiente de trocas e aprendizagem contínua para seu desenvolvimento institucional e ampliação de seu impacto social, ambiental e econômico.
Especialistas no campo das organizações da sociedade civil, ambas ressaltaram o papel preponderante da sociedade civil organizada e recuperaram o histórico de sua atuação para a conquista da lei, que foi inspirada na legislação europeia, criada, por sua vez, para responder a um dos maiores escândalos envolvendo o vazamento de dados de mais de 270 milhões de pessoas e de suas conexões na rede social Facebook.
No Brasil, a LGPD substitui a Lei 12.965, de 2014, mais conhecida como Marco Civil da Internet, que foi construído e aprovado com ampla participação da sociedade com a finalidade de regular o uso da Internet no país por meio da previsão de princípios, garantias, direitos e deveres para quem usa a rede, bem como da determinação de diretrizes para a atuação do Estado.
“Apesar de trazer obrigações a todas as organizações, a legislação tem como finalidade nos proteger, dando clareza sobre nossos direitos enquanto titulares de dados. Nós precisamos saber onde estão e para que são usados os nossos dados para exercermos o direito de concordar ou discordar desse uso”, observou Laís.
Privacidade e Personalidade
Maraísa, por sua vez, lembrou que vivemos em um tempo em que as empresas solicitam dados cadastrais que, muitas vezes, são comercializados e usados para mapear tendências e comportamentos, para melhor segmentar a entrega de publicidades e ofertas ou até mesmo influenciar o resultado de eleições. A prática é conceituada como influência da personalidade digital.
“Com o avanço na internet e o aumento das conexões via redes sociais, as empresas perceberam que se elas aprendessem a capturar a personalidade de quem está na frente da tela, poderiam vender produtos e serviços com mais eficácia e, ao mesmo tempo, provocar opiniões e vontades que essas pessoas não tinham. Foi então que as organizações da sociedade civil se deram conta de que não só a nossa privacidade estava vulnerável, mas também a nossa personalidade”, explicou.
Dados comuns e dados sensíveis
Laís observou que o tratamento de dados sensíveis é algo inerente ao core business das OSCs. São considerados dados sensíveis aqueles com potencial de gerar discrimação, risco de vida ou de perda de oportunidades, tais como raça, etnia e orientação sexual, política ou filosófica. No entanto, a lei determina que qualquer dado pode ser considerado sensível, dependendo do contexto, como, por exemplo, o endereço.
“É necessário que as organizações entendam como não deixar de atuar, mas de um jeito correspondente às bases legais de tratamento de dados. Trata-se de mais uma camada regulatória da gestão das OSCs, mas, que, neste caso, deve nos estimular a cuidar da cultura de dados interna, que se soma à governança colaborativa e compartilhada de dados que queremos implementar na sociedade”, explicou a advogada.
Dicas e recomendações às OSCs
Apesar de beneficiar o conjunto da sociedade, as especialistas concordam que a metodologia que baseia a LGPD foi pensada sobretudo para o setor privado e, portanto, necessita ser adaptada para o cotidiano das OSCs.
A seguir, reunimos as principais dicas, recomendações e boas práticas para a adequação das organizações às diretrizes da lei:
- Superar a lógica da prestação de contas legal, contemplando a perspectiva de resposta aos titulares de dados com os quais a organização se relaciona;
- Desenvolver uma cultura organizacional voltada à segurança de dados, de modo a estabelecer processos desde a concepção dos projetos e ações;
- Realizar mapeamento a fim de saber: quais dados utiliza, como os trata, para quais finalidades e por quanto tempo;
- Repensar que tipos de dados coleta e priorizar apenas os necessários para a atuação da OSC;
- Investir em estrutura tecnológica de segurança da informação (no mínimo, o apoio de um técnico de informática é necessário);
- Contar com uma pessoa encarregada pelo tema, seja membro da equipe ou prestador de serviço especializado;
- Ter uma política de privacidade no site deve ser apenas a formalização do compromisso com uma cultura organizacional voltada à segurança de dados pessoais;
- A política de privacidade pode ser um vídeo curto – quanto mais acessível e transparente, melhor;
- Desmistificar: não é necessário pedir consentimento para uso de todo e qualquer dado – existem vários outros tipos de justificativas constantes da legislação (como previsão em lei – a exemplo de dados solicitados para contratação CLT – ou implementação de políticas públicas – como entidades de acolhimento, por exemplo).
Saiba mais
Relatório da Open Society Foundations examina as formas como a lei mais abrangente do mundo sobre privacidade de dados tem impactado as organizações não governamentais e o que esse tipo de organização tem feito para cumprir a lei. O documento apresenta ainda pesquisas mostrando como governos, empresas e indivíduos poderosos têm tentado utilizar a lei para impedir essas organizações de prosseguir com a investigação de interesse público e a elaboração de relatórios. Finalmente, a publicação fornece um guia de melhores práticas que pode ser utilizado para assegurar o cumprimento e limitar o risco. Acesse.