O terceiro setor e a Lei Geral de Proteção de Dados

Antes de abordar o tema principal desse artigo, vale a pena, primeiramente, contextualizar o terceiro setor no Brasil. Esse foi um setor da sociedade que, desde a sua origem, em tempos imemoráveis da nossa história como nação, sempre teve forte presença e atuação no País por meio das Santas Casas e instituições de ensino religioso e que depois, mais à frente, passou por um estruturante entrelaçamento com o Estado. Ainda na década de 1930, durante o Estado Novo e em decorrência da criação do Conselho Nacional de Serviço Social, as entidades filantrópicas reconhecidas como de utilidade pública passaram a ter direito a subsídios estatais para tocarem suas inciativas.

As Organizações Sociais (lei 9.637/98) e as Organizações da Sociedade Civil de Interesse Público (lei 9.790/99), criadas já em um novo contexto da administração pública moderna, permitiram que pessoas jurídicas de direito privado sem fins lucrativos, pudessem atuar para atender necessidades públicas ligadas à promoção de serviços sociais, muitas vezes, abrangendo atividades para as quais o estado sozinho, seria inepto.

Dados da pesquisa “Doação Brasil” realizada pelo Instituto para o Desenvolvimento do Investimento Social (IDIS) em 2015, mostram que 77% dos entrevistados fizeram alguma doação naquele ano. Ainda segundo o IDIS, estima-se que, juntos, os brasileiros tenham doado em 2015 o montante de R$ 13,7 bilhões, o equivalente a 0,23% do Produto Interno Bruto (PIB) nacional. À guisa de comparação, esse percentual é três vezes maior no Reino Unido (0,73% do PIB) e sete vezes maior nos Estados Unidos (1,67% do PIB).

De acordo com o Mapa das Organizações da Sociedade Civil, todos os 5.570 municípios brasileiros possuem, ao menos, uma OSC. Isso sem mencionar que é cada vez maior o interesse de empresas em investir no social. O investimento social privado (ISP) do Brasil alcançou R$ 2,9 bilhões em 2016, a sua grande maioria investida em projetos de impacto social, especialmente, educação.

Levantamento realizado pelo Censo do Grupo de Institutos Fundações e Empresas (GIFE), aponta que 81% da receita do investimento social privado são destinadas à educação. O desenvolvimento comunitário fica com 52%, cultura e artes 50% e geração de trabalho e renda 44% desse percentual.

Reconhecidamente, o Marco Regulatório das Organizações da Sociedade Civil (MROSC, Lei nº 13.019/2014) é considerado uma importante aperfeiçoamento legislativo e institucional relacionado às organizações da sociedade civil e suas relações de parceria com o Estado nacional.

Já com o advento da covid-19, a filantropia e a responsabilidade social mobilizaram volumes inéditos de recursos. Tanto por parte de empresas quanto de pessoas físicas, captou-se a impressionante cifra de R$ 3,24 bilhões, valor subdimensionado, avaliam entendidos, em razão de muitos filantropos não divulgarem suas iniciativas pessoais e de serem computados, nesse montante, apenas os valores anunciados publicamente pelos doadores e checados pela Associação Brasileira de Captadores de Recursos (ABCR).

LGPD – Em maio de 2018, entrou em vigor na União Europeia a General Data Protection Regulation (GDPR), importante marco da mudança na forma como até então se tratavam os dados pessoais de usuários. Como essa legislação teve aplicabilidade extraterritorial desde sua entrada em vigor, muitas empresas brasileiras que realizam negócios na Europa já tiveram que se adequar a essa nova realidade.

O Brasil por sua vez, frente ao significativo crescimento da produção de dados e os repetidos episódios de vazamentos, precisou responder às muitas demandas da sociedade e expectativas da comunidade de negócios internacionais, buscando aprimorar sua legislação. Assim, na esteira da Marco Civil da Internet (Lei nº 12.965/2014) e dos avanços que essa legislação especifica inegavelmente trouxe para nossa sociedade no tocante à proteção de dados e uso de informações pessoais, foi promulgada, em agosto de 2018, a Lei nº 13.709, denominada Lei Geral de Proteção de Dados do Brasil (LGPD). A regulamentação da matéria da proteção do uso de dados pessoais pretendeu garantir que qualquer cidadão brasileiro possa ter controle sobre como, onde, e por quem, os seus dados estão sendo utilizados. De fato, o racional na elaboração da LGPD, foi permitir que essa considerável massa de informações que cada cidadão brasileiro possui, acumula e carrega, do momento do seu nascimento até sua última hora, passe a necessitar, salvo poucas exceções, de um consentimento prévio para sua cessão, compartilhamento e tratamento, especialmente num país como o nosso, no qual se costuma pedir a identificação do CPF e número do telefone do cada consumidor, na prática do ato de compra mais comezinho.

Assim, a LGPD buscou regrar o tratamento de dados pessoais, inclusive através de meios digitais, seja por pessoa natural ou jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, visando com isso garantir a privacidade dos dados pessoais e permitir um maior controle sobre eles, através da criação de regras claras sobre os processos de coleta, armazenamento e compartilhamento dessas informações. Entre os principais pontos da LGPD, vale destacar sua aplicabilidade a todos os setores da economia, a necessidade de consentimento do usuário para a coleta de suas informações pessoais, os efeitos extraterritoriais, e a possibilidade do titular dos dados poder retificar, cancelar ou, ainda, solicitar a exclusão de seus dados de uma determinada base de coleta de informação.

Vista sobre a ótica da territorialidade ainda, a LGPD pretendeu regular toda e qualquer operação de tratamento de dados, independente de quem a realiza e o meio pelo qual se coleta os dados, bem como ainda, o país no qual a pessoa esteja. Nesse aspecto em particular, a LGPD segue a GDPR europeia, alargando significativamente o conceito e aplicabilidade do limite territorial.

Prorrogação da entrada em vigor – Desde a sua promulgação, porém, a LGPD já teve sua vigência alterada mais de uma vez. Seu texto original estabelecia, em seu art. 65, sua entrada parcial em vigor no dia 28/12/2018, quanto à Autoridade Nacional de Proteção de Dados (ANPD) e, 24 meses após a data de sua publicação, quanto aos seus demais artigos e disposições. Passados quase dois anos da promulgação da lei, a ANPD ainda não saiu do papel.

No dia 12/6 foi publicada no Diário Oficial da União a Lei nº 14.010/2020, que institui o regime jurídico emergencial para o período de pandemia da covid-19 e ampliou o período de vacatio legis da LGPD, estabelecendo que as sanções administrativas e multas referentes aquela legislação passem a vigorar a partir de 1/8/2021. Ainda mais recentemente, em 29/6, o Presidente do Senado Federal prorrogou por mais 60 dias a Medida Provisória nº 959/2020, publicada originalmente em 29/4/2020 e que adiou a entrada em vigor da LGPD de agosto de 2020 para maio de 2021.

Aumenta sobremodo a insegurança jurídico sobre o tema a eventual hipótese da MP 959/2020 ser rejeitada pelo Congresso, ou ainda, perder a sua validade pela sua não apreciação, prevalecendo então o começo da vigência da LGPD para 14/8/2020, como estabelecido inicialmente pela Lei nº 13.853/2019, responsável pela criação da ANPD. Quanto às sanções da LGPD, essas passam a valer em agosto de 2021.

Efeitos da pandemia à parte, esse repetido postergar da vigência da matéria legal tende a sinalizar um claro despreparo da sociedade civil como um todo, para a recepção da novel legislação de dados e demostra, de maneira inequívoca, a tentativa deliberada de postergar-se o início dessa nova realidade e de seus consequentes e necessários efeitos no cotidiano de todos os brasileiros. Ocorre que, adiar o prazo para que a LGPD entre em vigor, não é solução para as questões sobre as quais sua matéria busca regramento. Ao contrário, representa um potencial risco de retrocesso regulatório para as instituições, empresas e, por óbvio, os membros da sociedade civil a quem a lei se destina na defesa de seus interesses.

LGPD e Terceiro Setor – Inegavelmente, a proximidade da entrada em vigor da LGPD e seus efeitos na composição do conjunto de regramentos legais do País indica a necessidade de redobrada atenção dos setores aos quais a lei se destina, no sentido de adequação de suas atividades regulares a ela. Entre esses setores estão as OSC. Em linhas gerais e para reflexão, são esses a seguir os pontos de atenção da LGPD no que tange às Organizações Sociais. Aqui cabe esclarecer que, não só a elas, mas, por agora, é delas de que trata este artigo.

De começo, os dados decorrentes das atividades das entidades do terceiro setor precisarão ser mantidos e organizados de forma clara e disponível e, por dados, entenda-se todos as informações captadas por e em razão de suas atividades como organização social, vale dizer, contratos, doações, serviços, informações financeiras, cadastrado de fornecedores, dados dos apoiados e apoiadores, informações contidas nos sites e outras mídias institucionais de divulgação das ações de captação de recursos, entre outros. Nesse levantamento de informações cabe avaliar, detidamente, quais situações apresentam inconsistências diante da LGPD e quais devem ser corrigidas para a garantia de que a lei seja cumprida, na integralidade de suas áreas de atuação e demanda.

Será necessária também a adoção de políticas institucionais pelas OSC, tanto internas quanto externas e que, na sua origem, não só garantam que aquela organização observa a LGPD, como também, exige dos seus eventuais parceiros e colaboradores a igual observância no cumprimento da lei, visando, assim, preservar a integralidade e confidencialidade dos dados cambiados entre instituições.

Outro esforço será sensibilizar as equipes internas sobre o uso adequado de dados, com a implementação de políticas institucionais sobre coleta, armazenamento, tratamento e compartilhamento dos dados, que garantam sigilo, privacidade e ética, reduzindo assim o risco da exposição e vazamento da base de dados da organização. É nesse contexto que a lei cria a figura denominada de Encarregado. Pela LGPD, todas as organizações devem estabelecer um Comitê de Segurança da Informação, responsável por analisar os procedimentos internos e que deverá contar com um profissional exclusivo para a proteção dos dados. Esse profissional será o responsável na instituição, pelo cumprimento do que dispõe a lei.

Quanto às multas, a nova lei prevê sanções que variam, de advertência e multa, até mesmo a proibição total ou parcial de atividades relacionadas ao tratamento de dados. As multas podem variar de 2% do faturamento do ano anterior até a R$ 50 milhões, passando por penalidades diárias.

Outros aspectos a serem considerados pelas OSC na adequação aos ditames da nova lei são os de garantir o consentimento e a transparência aos titulares dos dados em todas as etapas do projeto para os quais os dados foram coletados e a publicidade de dados e resultados, sinalizando assim, pela maior transparência possível.

Dados sensíveis – Aqui, abro um parênteses para destacar esse aspecto da LGPD. A lei não cuida somente dos dados pessoais, mas, em especial, prioriza o tratamento da informação qualificada como “sensível” e que, consequentemente, está sujeita a maior privacidade no seu uso e a maior atenção no seu trato por parte das instituições que a coletam. O art. 5º da LGPD, que regula a matéria naquele diploma legal, define em seu inciso II que, dado sensível é o “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

Para as entidades e projetos do terceiro setor que tenham suas atividades abrangidas pelo amplo expecto do inciso II do art. 5º da LGPD, as atenções dispensadas ao tratamento de dados pessoais envolvidos na base de um projeto social devem ser redobradas, e se tornam fundamentais nas suas distintas fases de elaboração e desenvolvimento. O tema dos dados pessoais também é tratado nos artigos 11º, 12º e 13º da LGPD.

Outro ponto de igual atenção para as instituições é o tratamento, igualmente cuidadoso, que deve ser conferido aos dados coletados no que se referem a crianças e adolescentes.

Finalmente, quanto aos dados assim definidos pela lei como “anonimizados”, qual seja, aqueles dados pessoais ou sensíveis que foram tratado para que suas informações não possam ser vinculadas ao seu titular original, o texto da LGPD assenta que, um dado anonimizado “perde a possibilidade de associação, direta ou indireta, a um indivíduo”. Portanto, a LGPD não se aplica a dados que foram tratados de forma a garantir que seus titulares permaneçam anônimos. Sendo assim, dados anonimizados podem ser compartilhados por instituições e empresas.

Conclusão – Adiar a entrada em vigor da LGPD não é a solução. Pelo contrário, representa um atraso que coloca o Brasil em desvantagem competitiva e comercial frente à outras economias e países, que já se diferenciaram pela adoção de regras legais semelhantes e que, certamente, preferem fazer negócios ou, no caso do terceiro setor, apoiar projetos e instituições, que tenham suas atuações e inciativas escoradas por regras jurídicas claras e bem definidas de coleta e tratamento de dados, que respeitam e preservam a individualidade do cidadão.

Muitos dos que advogam a postergação da lei alegam que, quando da sua entrada em vigor, essa ainda encontraria empresas e instituições sem as condições de se adequar a sua aplicação, muitas à mercê de um cenário de terra arrasada pela covid-19, o que faria das penalidades pelo descumprimento da LGPD que potencialmente viriam, uma nova fonte arrecadadora para os cofres do Governo Federal e, em consequência, desvirtuando o objetivo principal a qual a lei se destina na essência.

Acredito que a adoção da LGPD, ainda que tardia, será salutar para o Brasil, uma vez que não podemos nos dar ao luxo de ignorar essa evolução da legislação ou, pior, permitir incorporá-la ao rol de tantas outras leis que, neste país, infelizmente, ficaram famosas por “não pegarem”.

Um longo caminho ainda se tem pela frente, com muitas perguntas em suspenso e etapas a serem superadas. Quando será efetivamente criada a ANPD? Quem comporá seus quadros técnicos? Que regramentos adotará? Quais critérios de penalidade serão observados em uma lei que não diferencia uma grande montadora de veículos ou uma poderosa instituição bancária, de uma pequena academia de ginástica de bairro, para efeito de aplicação de multas, salvo, claro, quanto aos valores percentuais incidentes sobre o faturamento. As multas terão caráter educativo em um primeiro momento ou já incorporarão um forte viés punitivo àqueles que descumprirem a legislação, fruto de um prolongado vacatio legis? Isso, claro, sem mencionar as posteriores interpretações da lei, advindas de decisões judiciais que analisarão, no momento em que provocadas, as eventuais inconstitucionalidades ou improcedências das medidas tomadas com base na LGPD.

Sob a ótica do terceiro setor, ainda que demande um esforço inicial de adequação, acredito que a LGPD será uma oportunidade para uma bem vinda profissionalização e modernização na coleta, tratamento e compartilhamento do grande número de dados e informações que compõem seu enorme e abrangente cabedal de iniciativas associativas e seus projetos de relevância social. Para um setor que tem boa parte de seu financiamento avindo de doações privadas, inegavelmente, é um diferencial competitivo e de atração de investimentos para seus integrantes estar alinhado com o sistema legislativo brasileiro, LGPD inclusive.   

As OSC poderão qualificar ainda mais suas práticas ao se adequarem à LGPD e, dessa forma, potencialmente, ampliar seu universo de captação de recursos e apoios, não só no Brasil, mas fora dele, principalmente em países e mercados nos quais legislações semelhantes já se transformaram em realidade.

Ademais, o respeito com a proteção de dados pessoais é um diferencial competitivo que, cada vez mais, a sociedade em geral tende a priorizar na sua busca por parceiros e definições de negócios, e na área de atuação social não é diferente.

Levando-se em conta o que foi observado, a LGPD traz elementos essenciais para a proteção das informações de dados pessoais de empregados, colaboradores, empresas, consumidores e terceiros e, como legislação de tratamento de dados, tem potencial de colocar o Brasil em um novo patamar de modernidade regulatória. Sua adoção, apoiada em tecnologia e embalada em uma bem vinda renovação da cultura nacional de coleta e tratamento de dados pessoais, pode determinar, em grande medida, nossa entrada em uma nova era de proteção dos direitos do cidadão, com base em princípios e fundamentos que já deveriam estar vigorando de longa data.