Entrevista para a revista Filantropia. Leia a íntegra
Desde sua entrada em vigor, em setembro de 2020, a Lei Geral de Proteção de Dados Pessoais (LGPD) tem provocado impactos profundos em diversos setores da sociedade, e as Organizações da Sociedade Civil (OSC) não são uma exceção. Regularmente, essas instituições lidam com um volume significativo de informações de terceiros, especialmente em suas relações com doadores, beneficiários, parceiros e colaboradores. O fato é que os desafios para elas se adequarem à nova lei não só existem, como também engordam a lista de tarefas que disputa o precioso tempo das organizações em sua missão social.
Para sanar as principais dúvidas sobre esse tema, buscamos as respostas com diversos especialistas na aplicação prática da LGPD para o Terceiro Setor. Todos os advogados consultados foram unânimes ao afirmar que primeiro obstáculo enfrentado pelas OSC quando se deparam com a lei está na conscientização sobre sua importância pelos membros de sua própria instituição.
Cuidado com a multa
Ignorar a conformidade não é uma opção. Inspirada no Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, as regras brasileiras sobre como os dados pessoais devem ser coletados, armazenados e processados preveem multas caso não sejam respeitadas. Luis Felipe Tolezani, da Lopes & Castelo Sociedade de Advogados, explica que, apesar de a LGPD não possuir sanções penais, existem sanções administrativas decorrentes da fiscalização pela Autoridade Nacional de Proteção de Dados (ANPD). “Essas sanções também podem ser aplicáveis no âmbito judicial, seja na esfera trabalhista, cível ou consumerista”, completa.
As sanções da LGPD incluem a advertência, multa simples e/ou diária, bloqueio ou eliminação da base de dados, publicização da infração e até suspensão ou proibição das atividades de tratamento. Na prática, se uma organização depende da sua base de dados para funcionar, ela poderá ter suas atividades paralisadas em um eventual bloqueio ou eliminação desse conteúdo decorrente de uma sanção.
Já as multas, cujo teto chega a R$ 50 milhões, trariam uma consequência ainda pior para as OSC, sobretudo aquelas que já operam com um volume de recursos bastante escasso em caixa. Para Tolezani, ainda que a LGPD não poupe as entidades filantrópicas do seu cumprimento integral, a ANPD poderá levar em consideração essa condição proferindo uma sanção menos danosa, dependendo da gravidade da infração, claro. No entanto, é preciso lembrar — independentemente do puxão de orelha do órgão regulador — se um vazamento de dados se torna público, a má reputação da ONG poderá prejudicar a busca por financiamentos, parcerias e doações.
Cabe lembrar ainda que o cuidado para evitar sanções pelo uso indevido dos dados não se limita às áreas e profissionais internos da organização. Por isso, vale a pena revisitar contratos já assinados com os clientes, funcionários e fornecedores a fim de checar se há medidas que protegem a ONG de eventuais ocorrências. Larissa Pigão, advogada especializada em Direito Digital e Proteção de Dados Pessoais, esclarece que não há a necessidade de substituir esses documentos. “Os contratos com fornecedores, por exemplo, podem ser revisados para a inclusão de cláusulas relacionadas à proteção de dados, tais como a finalidade do uso deles, a base legal para o seu tratamento, os direitos do titular e os procedimentos em caso de incidentes”, diz. Essas cláusulas adicionais podem ser incluídas em um aditivo simples.
No entanto, o advogado Glauco Eduardo Reis, especializado em Direito do Terceiro Setor e sócio do escritório Monello Advogados, faz um alerta importante: ainda que os contratos sejam ajustados para ficarem em conformidade com a LGPD, pode acontecer de os fornecedores ou parceiros da OSC não aplicarem nas suas rotinas as proteções especificadas no aditivo. “Isso pode ser evidenciado durante auditorias ou relatórios de impacto, quando se verifica que o cumprimento das normas é apenas formal, sem aplicação prática”, diz. “Por isso, o mapeamento de riscos torna-se essencial para evitar que contratos aditivados fiquem limitados a uma ‘letra morta’ e protejam as organizações, de forma eficaz, de incidentes com responsabilidades solidárias.
