Coletivo Proteja
Lei Geral de Proteção de Dados Pessoais

 

Introdução

Desde sua criação em 2015, o Coletivo Proteja tem se destacado como uma iniciativa dedicada ao fortalecimento de organizações e comunidades, com foco na luta contra as violações de direitos humanos, combinando comunicação, cultura digital, gestão e articulação em rede. Atuando em diversas escalas, o coletivo visa qualificar as respostas às ameaças e demandas enfrentadas por esses grupos, promovendo sua resiliência e capacidade de manutenção de direitos sociais e ambientais.

A elaboração dessa cartilha tem o objetivo de introduzir conceitos sobre a Lei Geral de Proteção de Dados Pessoais (LGPD) em organizações e movimentos sociais, que frequentemente lidam com informações pessoais sensíveis e precisam compreender como a LGPD afeta suas práticas diárias e o que deve ser feito para garantir conformidade com a lei.

A proteção adequada de dados pessoais é uma forma de garantir a segurança e a integridade das pessoas e comunidades envolvidas. Não se trata apenas de uma questão de conformidade legal, mas de uma responsabilidade ética com os dados e a confiança depositada por esses indivíduos.

A Cartilha de LGPD elaborada pelo Coletivo Proteja é uma introdução ao tema, oferecendo um primeiro contato com os conceitos básicos e diretrizes da Lei Geral de Proteção de Dados Pessoais. Para garantir a conformidade plena com a lei, é fundamental que as organizações façam uma avaliação interna mais profunda, desenvolvam políticas específicas e busquem capacitação contínua sobre as melhores práticas de segurança e gestão de dados.

 

1. O que é a Lei Geral de Proteção de Dados Pessoais (LGPD)

A Lei Geral de Proteção de Dados (LGPD) – Lei nº 13.709 , foi publicada em 2018 e entrou em vigor em 2020. A lei foi criada para regulamentar o tratamento de dados pessoais. Ou seja, ela existe para garantir que pessoas e empresas utilizem dados pessoais coletados de forma justa e transparente. Além disso, a LGPD também controla a forma e frequência que dados pessoais são solicitados e armazenados por essas pessoas ou empresas.

A lei tem validade em todo país e aplica-se a qualquer operação que utilize dados pessoais, inclusive organizações que não possuem CNPJ. Ignorar a LGPD não é uma opção, pois trata-se de uma lei e as multas podem ser significativas, além de prejudicar a reputação da organização. 

 

1.1 Principais Conceitos

Dado Pessoal: Dado que permite identificar ou facilitar a identificação de uma pessoa. Exemplos: Nome, RG, CPF, número de telefone, e-mail, endereço, placa do carro, etc.

Dado sensível: Dado relacionado a características físicas,  personalidade do indivíduo e suas escolhas pessoais. Exemplos: religião, idade, tipo sanguíneo, características físicas, dados médicos,  opinião política, filiação a associações ou sindicatos, etc

Titular do Dado Pessoal: É a pessoa dona do dado pessoal ou dado sensível. Ou seja, a pessoa que será possível de identificar ou facilitar a identificação, através dos dados.

Tratamento de Dados Pessoais: Qualquer operação realizada com dados pessoais ou conjunto de dados pessoais por meios automatizados ou não. Exemplos: coleta, classificação, utilização, reprodução, distribuição, processamento, armazenamento, eliminação. Ou seja, é qualquer atividade, independente do objetivo, que envolva a utilização de dados de uma ou mais pessoas.

Antes de entrarmos em detalhes da nova lei, acreditamos que seja importante conhecermos alguns exemplos práticos do nosso dia a dia para darmos uma ideia melhor sobre o que iremos falar.

Atividade/Cenário

Situação que pode ocorrer

O que diz a LGPD

Nosso site oferece aos usuários a opção de receber informativos por e-mail.

O usuário(a) faz isso através de um cadastro no próprio site onde deve indicar seu nome e e-mail.

Após o cadastro de uma série de usuários(as), foi obtida uma lista com várias pessoas e seus respectivos e-mails. Vamos utilizar essa mesma lista para enviar convites de um evento, por mais que isso não tenha sido descrito no momento do cadastro.

A Lei diz que nós não podemos utilizar um dado pessoal que foi obtido para uma finalidade específica em outra finalidade. Ou seja, se no momento do cadastro não havia nenhum aviso sobre a possibilidade de utilizar o e-mail das pessoas para enviar convites de eventos, nós não podemos fazer isso.

Foi realizado um evento presencial e, para garantir o controle das pessoas que iriam participar desse evento, fizemos uma lista com o nome e RG dos participantes. Essa lista foi salva no computador e depois impressa para que as pessoas designadas para a atividade pudessem fazer a verificação de cada pessoa na entrada do evento.

Já se passou um ano desde que o evento ocorreu, mas a lista de participantes segue salva na rede. As listas que foram impressas estão guardadas em uma gaveta ou ficaram em posse das pessoas que estavam na entrada do local do evento auxiliando esse controle.

De acordo com a Lei, não é permitido o armazenamento de informações pessoais sem um motivo legal para isso. Considerando que o evento já ocorreu a um ano, não há nenhum motivo para essas listas ainda estarem salvas na rede. Além disso, as listas impressas são inseguras e podem facilmente serem replicadas ou distribuídas para desconhecidos, portanto é importante garantir que elas sejam descartadas da forma correta. 

Uma organização que temos um bom relacionamento pediu para que a gente compartilhasse os e-mails que temos cadastrados na Newsletter do nosso site para que eles pudessem enviar um material elaborado por eles. Eles garantiram que será apenas um e-mail e nada mais.

Para garantir o bom relacionamento com a outra organização, decidimos compartilhar os e-mails, afinal, a organização que nos pediu isso é nossa parceira e faz um trabalho parecido com o nosso. 

A Lei diz que é proibido o compartilhamento de dados pessoais com outras pessoas ou empresas. Além disso, se as pessoas se cadastraram para receber informativos, podemos utilizar seus e-mails somente para isso.

Tentamos utilizar os exemplos acima, pensando em atividades presentes no dia a dia da organização, mas a Lei é muito mais abrangente que isso e existe uma infinidade de situações que pode ser aplicada.

A seguir, falamos de forma mais técnica sobre a Lei e pontos de atenção que devemos ter.

 

2. Fundamentos e Obrigações

Abaixo iremos tratar de forma resumida os principais fundamentos da LGPD.

Todos os pontos mencionados aqui deverão ser considerados nas próximas atividades, assim como a adequação de atividades feitas anteriormente.

Respeito à privacidade:

Um dos principais pontos da LGPD trata sobre a privacidade dos dados pessoais obtidos ou em posse da associação.

É obrigação da associação garantir que os dados pessoais obtidos fiquem armazenados em local seguro e que não sejam compartilhados com outras pessoas ou outras organizações sem a aprovação do Titular do Dado Pessoal.

Em qualquer momento o Titular do Dado pode solicitar à organização a conferência, exclusão ou modificação do dado que ele passou anteriormente, por isso, é muito importante garantir que exista um meio de comunicação que permita que esse tipo de solicitação ocorra. Normalmente isso é feito através de  um e-mail destinado exclusivamente a tratar assuntos dessa natureza.

Consentimento e uso responsável dos dados pessoais:

Ao solicitar algum dado pessoal para uma atividade ou processo, devemos deixar muito bem especificado o motivo desta solicitação. Além disso, também é importante solicitar apenas informações que sejam essenciais para realização da atividade. Não podemos, em nenhuma situação, utilizar os dados pessoais de uma pessoa para uma finalidade a qual ela não foi informada ou não concordou. 

Por exemplo, não é correto solicitar o endereço da moradia de uma pessoa para realizar um evento online, já que essa informação não é necessária nesse tipo de atividade. Também não podemos utilizar listas de um evento anterior para realizar o envio de convites de novos eventos, a não ser que o titular tenha concordado com isso.

Utilização e armazenamento dos dados:

Uma vez que dados pessoais forem coletados, eles podem ser utilizados somente para a atividade ou evento descrito e, quando aplicável, somente pelo tempo necessário até a conclusão da atividade. O dado deve ficar armazenado em local protegido e apenas pessoas autorizadas podem acessá-lo, seja ele físico ou eletrônico.

Depois que o evento for concluído, os dados devem ser excluídos. Não é permitido ficar com esses dados mesmo que eles possam ser úteis para outro evento ou atividade futura.

 

3. Fases do Ciclo de um Dado Pessoal

As atividades envolvidas com a utilização de dados pessoais podem ser divididas em cinco processos principais.

Coleta: Forma que o dado pessoal é obtido ou coletado, independentemente do meio utilizado (documento físico, documento eletrônico, site, formulários, etc.).

Retenção: Arquivamento ou armazenamento de dados pessoais independentemente do meio utilizado (documentos físico, diretórios online, banco de dados, etc)

Processamento: Qualquer operação que envolva a utilização do dado pessoal como, classificação, avaliação, extração e/ou atualização.

Transferência (opcional): Qualquer operação que envolva reprodução, transmissão, distribuição, comunicação ou compartilhamento de dados pessoais.

Eliminação: Apagar ou excluir dados pessoais.

 

3.1 Exemplo de Atividade: Compra de Passagens

Cenário: Será realizada uma oficina para um grupo de pessoas e precisamos de algumas informações pessoais para a compra de passagens aéreas.

Ciclos do Dado Pessoal na atividade “Compra de Passagens”:

Coleta: A pessoa responsável pelo contato com os participantes deve solicitar apenas informações essenciais para a compra de passagens e deixar claro que as informações serão compartilhadas com a agência de viagem ou companhia aérea responsável.

Retenção: As informações pessoais obtidas devem ser armazenadas em uma planilha eletrônica salva em rede interna segura e controlada. Apenas pessoas responsáveis pela solicitação de compra das passagens podem ter acesso à essa planilha.

Processamento: As informações pessoais armazenadas na planilha eletrônica podem ser reorganizadas e avaliadas (exemplo: ajustar dado de participante enviou uma informação errada). Apesar de atividades simples, a organização e avaliação de dados já são consideradas atividades de Processamento do Dado.

Transferência: Após concluídas etapas acima, os dados pessoais dos participantes serão compartilhados com a agência de viagem. É importante confirmar que somente contas e pessoas essenciais para a atividade sejam colocadas em cópia no e-mail. Quanto menos pessoas tiverem acesso a essas informações, melhor.

Eliminação: É recomendado que durante o planejamento da atividade ou projeto, seja definido quando será feita a exclusão dos dados. Normalmente a exclusão é feita somente depois que o projeto terminou, então é muito fácil esquecer de realizá-la. A exclusão dos dados deve ser feita quando não existir mais assuntos pendentes com os participantes. É importante lembrar que e-mails trocados contendo informações pessoais também devem ser excluídos. Com a exclusão, o ciclo do dado pessoal está concluído.

Utilizamos o exemplo da compra de passagens, mas é fundamental que toda atividade que envolva dados pessoais respeite as fases do ciclo dito acima, desde a coleta até a eliminação. Cada etapa, por mais simples que pareça, envolve responsabilidades claras para garantir a proteção e a privacidade das informações dos participantes.

 

4. COMO INTRODUZIR A LGPD NA ORGANIZAÇÃO?

Abaixo temos uma sugestão de passos que podem ser seguidos para iniciar a estruturação interna da organização visando atendimento à Lei Geral de Proteção de Dados Pessoais.

1. Compreenda a Lei Geral de Proteção de Dados (LGPD):

É essencial que a pessoa responsável pela estruturação da LGPD na organização tenha conhecimento sobre o tema. Abaixo algumas sugestões de leitura para aprofundamento sobre o assunto.

Site da Autoridade Nacional de Proteção de Dados (ANPD) 

Leia a Lei Geral de Proteção de Dados Pessoais (LGPD)

Consulte Cartilhas e Guias específicos para pequenas empresas

2. Mapeie os dados que você coleta:

Identifique quais dados pessoais você coleta de participantes do movimento, parceiros, associados, fornecedores e qualquer pessoa que compartilhe seus dados com a organização, independente da atividade ou projeto.

Documente onde esses dados são armazenados, como são utilizados e quando serão excluídos.

3. Crie políticas e procedimentos:

Defina pessoas responsáveis pelo armazenamento e processamento dos dados e como elas irão coletar, armazenar, usar e compartilhar dados pessoais. 

Crie um canal para que os titulares dos dados possam exercer seus direitos (acesso, correção, exclusão, etc.). Importante garantir que o e-mail para tratar esse tipo de assunto indicado na Política de Privacidade seja acessado com frequência para avaliação das solicitações.

4. Implemente medidas de segurança:

Adote medidas para proteger os dados pessoais contra acessos não autorizados, perda, destruição ou uso indevido.

Utilize sistemas adequados para garantir a segurança da informação e garanta que tudo esteja salvo em ambiente controlado e acessado somente por pessoas responsáveis pelo tratamento dos dados.

5. Treine os participantes da Organização:

Capacite os participantes sobre a importância da proteção de dados e suas responsabilidades.

Conscientize-os sobre as melhores práticas para o tratamento de dados pessoais

6.Busque ajuda especializada:

Por ser um assunto complexo, muitas organizações optam pela contratação de um advogado ou especialista em proteção de dados para auxiliá-los na adequação à LGPD.

Diversas empresas oferecem soluções personalizadas para pequenas organizações ou movimentos.

Recursos úteis:

Abaixo alguns textos e materiais que tratam de maneira simplificada sobre o tema. Apesar de mencionarem “Pequenas empresas” a ideia geral apresentada também é válida para Organizações, Movimentos Sociais e OSCs. A LGPD se aplica a todas as organizações e movimentos, independentemente do seu porte.

Sebrae – LGPD em Pequenos Negócios

Solides – LGPD para Pequenas Empresas

A ANPD oferece um canal de atendimento para dúvidas sobre a LGPD: https://www.gov.br/anpd/pt-br/canais_atendimento