Se você chegou até este conteúdo é porque já ouviu falar do termo Lei Geral de Proteção de Dados, a famosa LGPD.
Neste artigo, abordaremos de forma prática e objetiva dos principais pontos para você ficar por dentro de todas as mudanças que essa lei traz para o terceiro setor.
O que é a LGPD?
Em uma época que a internet ampliou o acesso a informações e dados pessoais, a LGPD (Lei nº 13.709/18) foi criada para estabelecer novas regras e obrigações para quem realiza a captação de dados pessoais e garantir mais direitos para os indivíduos que os compartilham, sejam eles disponibilizados de forma online ou offline.
A LGPD estabelece processos claros para a captação, armazenamento e compartilhamento dessas informações, garantindo que os dados não serão utilizados de forma incorreta ou diferente do que foi informado ao titular das informações.
O que muda para as entidades do terceiro setor?
Para as entidades a LGPD traz impactos que vão desde a forma de captar os dados dos seus associados e não associados até a gestão interna do dia a dia da organização. Por exemplo, para desenvolver qualquer campanha, seja para promover eventos, captar recursos com patrocinadores ou outras atividades envolvendo dados pessoais, estas devem ser pautadas na transparência garantindo que todos os envolvidos estejam cientes do propósito da campanha.
Para executar qualquer atividade envolvendo dados pessoais, a entidade deverá explicar de forma clara ao titular para qual finalidade deseja utilizar aqueles dados, oferecendo inclusive explicações sobre o prazo que eles ficaram armazenados e canais que o usuário poderá acionar caso deseje remover ou ter mais detalhes sobre a sua utilização.
Neste caso, é evidente que a entidade tem o direito de explicar que ao remover os dados do titular em questão, ela perderá a capacidade de atendê-lo com qualidade, inviabilizando a prestação do serviço.
Qualquer tratamento de dados, não se limitando a: Acessar, coletar, armazenar, distribuir, modificar, processar, transferir ou até eliminar deve estar pautado nas bases legais, se as entidades obtiverem acesso a dados pessoas e este acesso não se enquadrar nas bases legais da LGPD, cometerão uma infração grave.
Quais são as bases legais da LGPD?
Abaixo citaremos todas as 10 bases legais disponibilizadas na lei, com destaque para as bases que fazem mais sentido para as entidades.
As que fazem mais sentido para as entidades:
- Consentimento: A entidade teve acesso aos dados solicitando o consentimento para realizar o tratamento dos dados.
- Cabe aqui ressaltar alguns pontos importantes:
- O consentimento deve ser livre de vícios (Aquele famoso botão “você concorda com os nossos termos” sem explicar em detalhes do que o termo se trata.)
- No termo, é preciso explicar para qual finalidade os dados serão utilizados, qualquer outra necessidade não inserida no termo resultará na necessidade de uma nova solicitação de consentimento.
- Além de explicar onde e como utilizará os dados, deve-se também informar os canais de comunicação com a entidade para se obter mais informações sobre os dados pessoas, inclusive a opção de exclusão.
- O consentimento deve ser livre de vícios (Aquele famoso botão “você concorda com os nossos termos” sem explicar em detalhes do que o termo se trata.)
2. Interesse legítimo do controlador ou terceiros: Quando o titular dos dados já faz parte da base de relacionamento da entidade. Neste caso a instituição poderá entrar em contato para divulgar atividades, eventos, aviso sobre campanhas, entre outras ações.
- Esta base legal é a mais flexível, porém vale tomar alguns cuidados:
- A comunicação com estes dados não poderá infringir os direitos e liberdade do titular dos dados, deverá haver comprovação que aquela comunicação é de interesse do destinatário (Não utilize base de dados de terceiros ou parceiros).
- Caso este contato resulte em uma ação posterior que envolva um tratamento como por exemplo: Integração financeira a partir de uma inscrição em um evento, divulgação dos dados para um patrocinador ou parceiro, atualização dos dados ou pagamento de contribuições, a instituição deverá obter o consentimento para isso.
- A comunicação com estes dados não poderá infringir os direitos e liberdade do titular dos dados, deverá haver comprovação que aquela comunicação é de interesse do destinatário (Não utilize base de dados de terceiros ou parceiros).
3. Execução de contrato: Quando os dados são necessários para que um contrato possa ser assinado.
4. Cumprimento de obrigação legal: Quando uma lei obriga que os dados sejam guardados por certo período, a entidade deve cumprir o que a lei pede e armazenar os dados pelo tempo necessário (Exemplo: dados de associados que receberam notas fiscais, ex-funcionários, colaboradores, ex-alunos, dados médicos de entidades que trabalhem na área da saúde).
Outras bases legais para conhecimento:
- Exercício regular de direito: O exercício regular de direito permite o uso de dados pessoais em contratos que envolvam processos judiciais, administrativos e arbitral.
- Proteção da vida: Esta base legal é mais limitada a necessidade de monitorar pandemias, garantir ajuda humanitária, tratamentos de pacientes inconscientes, internação de urgência ou campanhas de vacinação.
- Tutela da saúde: Obtenção dos dados por profissionais para realizar procedimentos e serviços voltamos a saúde. Estes dados não podem ser compartilhados para obtenção de vantagens financeiras.
- Execução de políticas públicas: Estes dados poderão ser usados para a execução de políticas públicas, para o atendimento a necessitados e solução de problemas de comunidades. Ex: cadastro de bolsa família, auxílios emergenciais e política de cotas.
- Estudo por órgão de pesquisa: Obtenção dos dados através de pesquisas, podem ser feitas por órgãos da administração pública direta ou indireta sem finalidade lucrativa. Órgãos privados não podem valer desta base legal.
- Proteção ao crédito: Esta base legal permite a coleta de dados pessoais para criação de cadastros de inadimplentes e adimplentes para avaliação de risco de crédito (Ex. Cadastro positivo).
Agora que entendemos como deveremos coletar e tratar os dados pessoais, quais são os principais papeis envolvidos na LGPD?
- Titular: Trata-se da pessoa física proprietária dos dados pessoais (Associados, não associados, doadores, funcionários, entre outros.).
- Controlador: Pessoa física ou jurídica que decide a respeito do tratamento dos dados pessoas. No caso trata-se da Associação, Sindicato ou Federação.
- Operador: Pessoa física ou jurídica que realiza o tratamento de dados pessoais em nome do controlador. No caso seria a sua assessoria contábil, empresas que processam pagamentos ou mesmo a nossa plataforma de gestão de associações, sindicatos e federações.
- Encarregado: Responsável da instituição para acompanhar o tratamento de dados pessoais dos titulares, este também deve ser o canal de comunicação com a autoridade nacional e parceiros. Pode ser uma pessoa física ou jurídica.
Quais são os tipos de dados perante a LGPD?
Os dados pessoais podem ser classificados em dois tipos: Dados Pessoais e Dados Pessoais Sensíveis. Entenda a diferença:
- Dados Pessoais Sensíveis: Qualquerdado que possa identificar o titular: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
- Dados Pessoais não sensíveis: São dados que sozinhos não podem identificar o titular: Idade, Sexo, CPF, RG, CEP, Endereço IP, Data de nascimento etc. No entanto a junção destes dados pode resultar em uma identificação, tornando as informações sensíveis.
Conclusão
Agora que você conhece a LGPD é hora de ir para a prática. Para realizar uma boa gestão dos dados é preciso desenvolver uma política de tratamento de dados, nós preparamos um GUIA GRATUÍTO com os principais pontos que você precisa se atentar para implementar uma política de proteção dos dados na sua entidade.