Uma abordagem prática sobre a implementação da LGPD nas instituições espíritas
Caio Rocha
Nas duas primeiras partes do artigo A Lei Geral de Proteção de Dados nas instituições espíritas, publicadas nas edições 742 e 743 de O Médium, foram apresentados os principais conceitos implementados pela Lei Geral de Proteção de Dados (LGPD)[1] de forma simplificada. Vale lembrar que seu objetivo principal é a redução dos riscos relacionados ao tratamento indevido e/ou abusivo de dados considerados sensíveis. Para a melhor compreensão deste artigo, recomenda-se a leitura dos textos anteriores.
Ao se considerar os conceitos vistos anteriormente, o presente texto tem por objetivo trazer uma visão mais prática do tratamento de dados a ser realizado nas instituições espíritas, considerando as exigências trazidas pela LGPD. Para termos uma visão mais prática da implementação da lei, lançaremos mão de ideias analógicas e apontaremos caminhos tecnológicos gratuitos que as instituições podem adotar, caso queiram, para facilitar tratamento de dados pessoais, recolhimento, armazenamento, segurança e possível descarte de informações sensíveis.
Cabe ainda destacar que este artigo está longe de ser um manual. Nossa intenção é simplesmente demonstrar que a adoção da LGPD pelas instituições espíritas pode ter seu início com a implementação de medidas simples, que estão à disposição de todos.
Princípios
Para que seja possível ter uma melhor compreensão das sugestões e ideias a serem propostas aqui, faz-se necessário destacar os princípios da LGPD.
O art. 6o da LGPD destaca o fato que, ao tratar dados pessoais, há de se observar a boa-fé e os princípios da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas. De maneira resumida, pode-se afirmar que os princípios da finalidade e da adequação se complementam. Enquanto o primeiro tem por objetivo garantir ao titular das informações que seus dados pessoais serão utilizados para fins legítimos, específicos e bem definidos, o segundo garante que as informações recolhidas não serão usadas em um escopo diverso daquele anteriormente especificado. Então, por exemplo, se os dados foram recolhidos para preenchimento da ficha de cadastro da biblioteca, tais informações não poderão ser utilizadas em outro contexto.
O princípio da necessidade visa limitar a quantidade de informações recolhidas ao atendimento da finalidade informada ao titular. Utilizando-se do exemplo do recolhimento de informações para preenchimento da ficha de cadastro da biblioteca, não faria sentido recolher informação sobre o estado civil da pessoa.
De acordo com a LGPD, o princípio do livre acesso busca garantir ao titular a “consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais”. O da qualidade dos dados pretende garantir a “exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade, e para o cumprimento da finalidade de seu tratamento”. Já o princípio da transparência quer a “garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial”. Percebe-se que esses três princípios tentam certificar que o titular tenha acesso às informações coletadas para a verificação do cumprimento dos princípios anteriores.
Ao considerar que aquele que solicita (trata) os dados se torna responsável pelas informações coletadas, o princípio da segurança exige que sejam utilizadas “medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”, enquanto o da prevenção determina que sejam adotadas medidas capazes de prevenir a ocorrência de danos, em virtude do tratamento de dados pessoais.
O princípio da não discriminação impede o tratamento de dados para fins discriminatórios ilícitos e/ou abusivos.
Por fim, o princípio da responsabilização e prestação de contas exige que o responsável pelo tratamento de dados adote “medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”.
Com o entendimento dos princípios que a lei pretende resguardar, passaremos à parte prática do artigo, que pretende trazer algumas sugestões analógicas e digitais, com o único objetivo de fazer com que o leitor perceba que não é tão complexo iniciar a adaptação de sua instituição às exigências da LGPD. Provavelmente, pode ser que algumas das medidas listadas já sejam de conhecimento e estejam sendo utilizadas pela instituição espírita.
Medidas analógicas
Um dos entendimentos que se pode ter do vocábulo “analógico” é de ser algo que não envolve tecnologia computacional, por oposição à digital.[2] Em suma, são situações em que o recolhimento e o armazenamento das informações se dão, respectivamente, por anotações em folha de papel/caderno e consequente arquivamento em armário, por exemplo.
Dito isso, imaginemos uma situação muito comum nas instituições espíritas, que é o recolhimento dos dados do colaborador da instituição para a elaboração do termo de voluntariado, com o consequente recolhimento da assinatura e posterior arquivamento do documento. Nesse ato inicialmente simples, há cuidados que devem ser tomados e que servem de exemplo para qualquer tipo de recolhimento de informações em um documento.
Em atendimento aos princípios de finalidade, adequação e não discriminação, além de se explicar ao titular das informações o que será feito com os dados recolhidos, deve ainda constar no documento o objetivo específico desta solicitação.
Em um documento como o termo de voluntariado, pegando por exemplo o modelo disponibilizado no site da AME/JF,[3] a finalidade encontra-se na Lei no 9.608, citada ao fim. O texto deixa claro que a qualificação feita com os dados do voluntário é lícita e tem por finalidade unicamente identificá-lo perante o compromisso assumido de voluntariado. Cabe destacar que, em atendimento ao princípio da necessidade, para a qualificação do colaborador no referido documento, foram solicitados apenas os dados mínimos necessários à sua identificação em um documento com força jurídica, como nome completo, número de identidade, CPF, endereço e telefones para contato.
Devido ao fato de no exemplo do termo de voluntariado estarmos tratando de um documento físico, é imprescindível que, em atendimento aos princípios da segurança e da prevenção, a instituição armazene o documento em um armário com chave, localizado em um ambiente restrito, cujo acesso seja feito apenas por aqueles que possam se responsabilizar pelo tratamento dessas informações. É importante destacar a necessidade de os documentos serem armazenados de forma ordenada, a fim de serem localizados rapidamente, para, assim, atender aos princípios do livre acesso, da qualidade dos dados e da transparência.
No exemplo exposto, há uma série de atos simples e que atendem à Lei:
- Informar ao titular dos dados (e estar escrito no documento) de maneira clara a finalidade do recolhimento de suas informações;
- Recolher apenas os dados necessários à finalidade determinada;
- Armazenar o documento em um ambiente restrito e seguro;
- Organizar e catalogar os documentos, para que seja fácil a sua localização.
Outro exemplo sobre recolhimento de informações sensíveis que, no entanto, não possui uma natureza formal como na ideia anterior, é o fornecimento de dados para pedidos de vibração e irradiação. Geralmente, nesses casos, há um caderno ou um pedaço de papel na recepção das instituições, para o frequentador informar os dados daquele para quem se quer o benefício espiritual.
É necessário se atentar ao fato de que aquele que apresenta as informações para solicitar vibração e irradiação nem sempre é o titular delas. Tendo como base o exemplo anterior, mas ampliando-o e explicitando os princípios que existem no ato a ser realizado, a orientação é:
- Em atendimento aos princípios de finalidade, adequação e não discriminação, fixar um aviso no local onde se encontra o papel para o recolhimento das informações para pedidos de vibração/irradiação, explicando o porquê de se estar recolhendo aqueles dados;
- Deixar explícito nesse aviso que os dados não serão armazenados, mas destruídos logo após a reunião. Assim, se justifica a aplicação parcial dos princípios de livre acesso, qualidade de dados e transparência;
- Para atender ao princípio da necessidade, constar no papel apenas os campos específicos para os dados que se quer recolher, evitando que o frequentador informe dados não necessários;
- Em atenção aos princípios da segurança e da prevenção, não usar caderno, pois o frequentador poderia ter acesso aos dados de outras pessoas;
- Fazer com que o papel seja depositado em algum lugar restrito e que somente o responsável pela área tenha acesso ao conteúdo;
- Fazer a reunião em um grupo fechado, com o objetivo de evitar que o nome de alguém seja falado e identificado por terceiros.
Medidas tecnológicas
Apesar do costume de se utilizar os analógicos para o recolhimento de dados sensíveis nas instituições espíritas, um problema que pode ocorrer nesse tipo de medida é a dificuldade em se armazenar corretamente e implementar regras efetivas de segurança para atendimento integral da LGPD. Isso se dá pois, em parte, muitas instituições espíritas não têm estrutura física adequada para armazenamento e controle de documentos de forma segura e catalogada. Sem contar que a rotatividade de trabalhadores voluntários pode, inclusive, dificultar a definição daqueles que terão acesso às informações.
Uma solução é a adoção de medidas tecnológicas, por meio de ferramentas gratuitas que garantem armazenamento, catalogação, localização e segurança dos documentos. Os arquivos podem ser armazenados na nuvem[4] e o acesso restrito por senha. Para isso, é preciso que haja um computador com acesso à internet na instituição e pessoas capacitadas para a função. Entre as vantagens de se utilizar ferramentas tecnológicas estão a facilidade de concessão e revogação de acesso aos arquivos e a não necessidade de uma estrutura física.
Ao adaptar o exemplo do fornecimento de dados para pedidos de vibração e irradiação para uma estrutura totalmente tecnológica, a instituição pode disponibilizar um formulário on-line[5] em seu site ou em um link a ser divulgado amplamente. Assim, não haveria o risco de os frequentadores escreverem informações não solicitadas no papel, uma vez que no formulário constarão apenas os campos específicos dos dados que se quer recolher. As informações iriam automaticamente constar em um documento ou local onde apenas o responsável por sua visualização teria acesso.
No exemplo do termo de voluntariado, seria possível utilizar-se de plataformas de assinatura digital on-line[6] para elaborar o documento, enviá-lo ao colaborador, recolher sua assinatura e armazenar o arquivo na nuvem.
Como exemplos de ferramentas tecnológicas temos a conta empresarial do Google, que é gratuita para organizações sem fins lucrativos;[7] e o cadastro no site TechSoup Brasil,[8] que dá descontos para esse tipo de organização.
A adoção da LGPD pelas instituições espíritas pode ser iniciada com a implementação de medidas simples, que estão à disposição de todos, sejam elas analógicas ou digitais. A instituição deve conhecer as possibilidades e adequar os métodos à sua realidade, sempre com o objetivo de atender aos princípios listados na LGPD.
[1] Lei nº 13.709, de 14 de agosto de 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em junho de 2022.
[2] Significado retirado do dicionário on-line Priberam. Disponível em: https://dicionario.priberam.org/analógico. Acesso em junho de 2022.
[3] Disponível em: https://amejf.org.br/cem/#termos. Acesso em junho de 2022.
[4] (…) é um termo utilizado para descrever uma rede global de servidores, cada um com uma função única. A nuvem não é uma entidade física, mas uma vasta rede de servidores remotos ao redor do globo que são conectados e operam como um único ecossistema. Estes servidores são responsáveis por armazenar e gerenciar dados, executar aplicativos ou fornecer conteúdos ou serviços, como transmissão de vídeos, webmail, software de produtividade ou mídias sociais. Em vez de acessar arquivos e dados do local ou de um PC, você pode acessá-los on-line, de qualquer dispositivo com acesso à internet. As informações estarão disponíveis em qualquer lugar, a qualquer hora. Disponível em: https://azure.microsoft.com/pt-br/overview/what-is-the-cloud/. Acesso em junho de 2022.
[5] Como exemplo de plataformas para a elaboração de formulários on-line de maneira gratuita, pode-se citar o Forms, do Google, disponível gratuitamente para quem tem um conta na plataforma; e o Formulários, do MailChimp, disponível em: https://www.mailchimp.com/.
[6] São exemplos de plataformas de assinatura digital: DocuSign (disponível em: https://www.docusign.com) e Adobe Acrobat Sign (disponível em: https://www.adobe.com/pt/sign/how-to/create-digital-signature.html).
[7] Para mais informações, acesse https://www.google.com/nonprofits/.
[8] Para verificar os benefícios, veja as empresas listadas como “doadores” no site https://www.techsoupbrasil.org.br/.