LGPD e terceiro setor: oportunidade de regulamentação mais adequada

Esta notícia é de propriedade intelectual da JOTA INFO

A minuta de resolução para agentes de tratamento de pequeno porte colocada em discussão pela Autoridade Nacional de Proteção de Dados (ANPD) no mês de agosto em consulta pública até dia 14 de outubro abriu espaço para que a aplicação da Lei Geral de Proteção de Dados (LGPD) seja calibrada para contemplar as possibilidades de conformidade que estão efetivamente ao alcance das organizações da sociedade civil (OSCs).

Na Europa, onde a General Data Protection Regulation (GDPR) – lei geral de proteção de dados da União Europeia – encontra-se em vigor há mais tempo, já foi possível perceber alguns impactos dessa legislação para o terceiro setor.

Em 2020, a Open Society Foundations apresentou o relatório “Civil Society Organizations and General Data Protection Regulation Compliance: Challenges, Opportunities and Best Practices”, que condensa a percepção de representantes de OSCs, sobre os impactos da legislação da União Europeia de proteção de dados pessoais em suas atividades.

Dentre os desafios diagnosticados estão: (i) a sobrecarga que a adequação traz uma vez que as organizações, no geral, já são cobradas em relação à transparência e accountability, dificultando a dedicação às suas atividades principais de cunho social, cultural, ambiental, entre outros; (ii) o auxílio a empresas de pequeno porte em detrimento do suporte às OSCs por parte das autoridades; e (iii) orientações das autoridades pouco ajustadas à realidade dessas organizações.

De maneira similar, no Brasil, organizações que têm como foco direitos na rede, proteção de dados e privacidade atuaram ostensivamente na construção da coalizão multissetorial que permitiu a construção e aprovação da LGPD entre 2017 e 2018, e agora todo o campo do chamado terceiro setor deve se adequar à nova lei.

Este debate se faz ainda mais relevante pela recente possibilidade de edição de norma que visa excepcionar as OSCs de determinadas obrigações da LGPD, equiparando-as aos agentes de tratamento de pequeno porte. Por meio deste artigo, lançamos luz sobre o potencial nas OSCs, considerando especificidades do campo que devem ser levadas em conta na produção da norma infralegal.

Processamento de dados de pessoas jurídicas sem fins lucrativos

Agentes de tratamento de pequeno porte requerem atenção do Estado na implementação de novas obrigações que impactam sua gestão. Não necessariamente devem ser dispensados de determinadas obrigações diante do fato de não tratarem dados sensíveis, como faz a norma técnica sob debate.

Isso porque, ainda que sejam negócios de pequeno porte, pessoas jurídicas com finalidade lucrativa podem se valer de tecnologias avançadas para realizar inferências sensíveis sobre os titulares de dados e comercializar essas conclusões, causando impactos consideráveis nas vidas das pessoas que são afetadas por esse tipo de processamento de dados. Há uma diferença entre agentes privados com e sem fins lucrativos e isso deve impactar a forma como o risco das atividades de tratamento desses agentes deve ser mensurado.

O tratamento de dados por parte das OSCs, no geral, apresenta fatores particulares como: (a) uma cadeia menor de agentes de tratamento de dados; e (b) menos acesso a mecanismos de big data para a combinação de bases de dados e formulação de inferências sobre os titulares de dados; e c) finalidades de interesse público, não estatal, na realização de suas atividades estatutárias.

Neste sentido, a equiparação das organizações da sociedade civil às empresas, dentro da categoria de agentes de tratamento de pequeno porte precisa ser adaptada para ser efetiva e condizer com o que acontece na realidade do campo.

Conceito de organizações da sociedade civil

A norma técnica, apesar de mencionar outras pessoas jurídicas sem fins lucrativos, deixa de abordar o tipo societário de cooperativas que é também pessoa jurídica de direito privado sem fins lucrativos, prevista no conceito trazido pelo artigo 2º, I, alínea b, da Lei nº 13.019/2014 – o Marco Regulatório das Organizações da Sociedade Civil (MROSC). Em consonância com a previsão da mesma lei, as organizações religiosas alcançadas pela norma devem ser aquelas “que se dediquem a atividades ou a projetos de interesse público e de cunho social distintas” (art. 2º, inciso I, alínea c), diferenciando-se das organizações destinadas a fins exclusivamente religiosos.

Alternativamente, deveria ser utilizado o conceito de organizações da sociedade civil da Lei nº 13.019/2014 para definição de pessoas jurídicas sem fins lucrativos, que abarcam as associações e fundações, e inclui as cooperativas e organizações religiosas que atuam com finalidades públicas. Dessa maneira, também ficariam excluídos os partidos políticos que não deveriam ser considerados necessariamente agentes de pequeno porte.

Dados sensíveis e grupos vulneráveis

Notadamente, ressaltam-se como atividades de alto risco aquelas que envolvem o tratamento de dados pessoais sensíveis. Tal determinação excluiria da aplicação da norma OSCs que processam dados sobre origem racial ou étnica, convicção religiosa, opinião política, relacionado à saúde, entre outros – grande parte das organizações no Brasil, sobretudo aquelas ligadas a defesa de direitos e minorias políticas e sociais.

Nesse sentido, a norma também veda que organizações que realizem atendimento de “grupo vulnerável” possam se valer das exceções apresentadas na normativa. Além do conceito de “grupo vulnerável” não estar definido nem na LGPD nem no regulamento sob debate, muitas OSCs recaíram novamente nesta hipótese, tornando a norma inócua para a grande maioria das organizações da sociedade civil no país.

Como alternativa, para as organizações da sociedade civil, seria interessante fazer constar que a presença do interesse público em sua atividade excepciona o “alto risco” presente no tratamento de dados pessoais sensíveis ou de grupos vulneráveis. Para tanto, seria possível vincular aos casos de atividade ou projeto de finalidade de interesse público, desde que a organização tenha dentre seus objetivos sociais uma das atividades elencadas no art. 84-C da Lei nº 13.019/2014.

A título de comparação, o Artigo 9 (2) (g) da GDPR prevê expressamente a possibilidade da justificativa de interesse público para o tratamento de dados pessoais sensíveis. Essa base legal, de acordo com o relatório da Open Society, é bastante utilizada para a implementação de projetos de caráter social por organizações da sociedade civil na Europa.

No Brasil, seria uma forma de viabilizar o uso de dados sensíveis pelas organizações, especialmente no tocante aos projetos que acontecem em parceria com o poder público, que por si só enseja uma série de obrigações.

O encarregado de proteção de dados pessoais

A regulamentação proposta pela ANPD excepciona os agentes de tratamento de pequeno porte da necessidade de apontamento de encarregado de proteção de dados pessoais. No entanto, segue prevendo um canal de comunicação que pressupõe que alguém da organização deve analisar e responder a demanda. Considerando que grande parte das OSCs possuem quadro pequeno de funcionários, a medida se manteria de difícil realização.

Outra ideia é a formação de um comitê de proteção de dados pessoais, que enderece a função do encarregado de forma coletiva, seguindo a lógica de governança das OSCs e gerando aprendizados e reflexões coletivas. E ainda, que haja a autorização expressa para nomeação de um encarregado comum para o caso de atuação em rede, coletivos, redes e movimentos sociais.

Na experiência do regulamento europeu, há a possibilidade de indicação de um único encarregado para um grupo de entidades, de acordo com o artigo 37(2).

Custos legis

Para muitas organizações do terceiro setor, o custos legis de implementação da legislação precisa ser suportado ou apoiado pelo Estado para que não seja este um encargo desproporcional ao campo dedicado a causas de relevância pública e social. O fornecimento de ferramentas, como modelos e guias orientativos para tanto, é fundamental por parte da ANPD.

Importante destacar que, segundo dados do IPEA, 83% das OSCs no Brasil não têm trabalhadores com vínculos formais; outros 7% delas têm até dois vínculos, totalizando 90% de OSCs com no máximo dois empregos formais. Trata-se, portanto, de um universo massivamente formado por micro-organizações[1].

Operacionalizar a norma, da teoria para a prática, para uma diversidade tão grande de organizações requer distinções proporcionais e adequadas à realidade para garantir aplicação e cumprimento, consagrando o princípio da igualdade formal e material. É um desafio relevante que devemos nos debruçar este de equacionar as regras para adequar às entidades privadas sem fins lucrativos na medida de suas particularidades e características, sem descuidar dos direitos e garantias que a Lei Geral de Proteção de Dados busca resguardar.

[1] Disponível em: https://www.ipea.gov.br/portal/images/stories/PDFs/livros/livros/180607_livro_perfil_das_organizacoes_da_sociedade_civil_no_brasil.pdf Acesso em set. 2021

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Endereço e contato

Siga o intituto Genésio A. Mendes nas redes sociais:

Facebook

Instagram

LinkedIn

WhatsApp

Siga o instituto Genésio A. Mendes nas redes sociais: