LGPD e os impactos no Terceiro Setor
Entenda como a Lei Geral de Proteção de Dados Pessoais irá impactar na forma com que as entidades capturam, armazenam e utilizam os dados de seus doadores, associados, beneficiários, tanto no meio digital como no papel.
O que é a LGPD?
Quando entra em vigor?
O que ela tem a ver com minha ONG?
Quais as multas em caso de infração?
Por onde começo?
O objetivo desse post é meramente informativo e direcionado às entidades sem fins lucrativos. Não nos responsabilizamos por medidas adotadas por terceiros e também não prestamos consultoria jurídica sobre o assunto.
O que é a LGPD?
LGPD é a sigla para Lei Geral de Proteção de Dados Pessoais. É uma lei que dispõe sobre o tratamento de dados pessoais, em meio digital ou não, com objetivo de proteger os direitos fundamentais de liberdade e privacidade. Em 14 de agosto de 2018, o então presidente Michel Temer sancionou a Lei 13.709/2018.
O Brasil ainda não possuía uma lei específica para proteção de dados pessoais, como em outros países da Europa ou EUA. A lei brasileira teve como principal influência em sua criação a GDPR (General Data Protection Regulation) que regulamenta a questão nos países europeus.
A LGPD define diretrizes ou regras sobre a coleta, armazenamento, tratamento e compartilhamento dos dados pessoais. Ela eleva o grau de proteção e define inclusive penalidades em caso de descumprimento.
Dados pessoais são quaisquer informações relacionadas a uma pessoa natural identificável. E tratamento de dados entende-se pelas operações realizadas com esses dados pessoais, tais como coleta, armazenamento, compartilhamento, eliminação, entre outras.
Quando entra em vigor?
O Senado Federal aprovou em 26/08/2020, sem prorrogação de prazo, a vigência da LGPD. Agora vai para a sanção do presidente Jair Bolsonaro, que tem 15 dias para tal.
Então a partir de SETEMBRO de 2020 já está valendo.
O que ela tem a ver com minha ONG?
Absolutamente tudo, pois toda e qualquer organização sem fins lucrativos coleta e armazena informações relacionadas às pessoas em torno da sua causa. Sejam elas doadores, associados, parceiros, voluntários, beneficiários, ou mesmo de funcionários. Então, a entidade precisa estar em conformidade com a lei, sob pena de infrações, que falaremos mais adiante.
Existe uma confusão grande, onde algumas entidades acham que não precisam passar por um processo de adequação e revisão de processos para tender a LGPD, pelo fato de não armazenarem nada em formato digital, ou seja, elas tem tudo em papel. Esse é um grande equívoco, pois a lei trata dos dados pessoais de forma ampla, estejam eles em formato digital ou não. As multas serão as mesmas independentemente da forma em que estejam esses dados.
Enfim, todas entidades do terceiro setor, terão em algum momento revisar os processos internos e ajustar o que for necessário para atendimento a essa lei. Aquelas que negligenciarem estarão assumindo risco de multas, que é o próximo assunto.
Quais as multas em caso de infração?
A fiscalização do cumprimento da LGPD ficará a cargo da ANDP – Autoridade Nacional de Proteção de Dados Pessoais, a ser criada pelo governo. A ANDP poderá aplicar multas de até 2% do faturamento anual da organização, e no limite de R$ 50 milhões por infração, a partir de agosto de 2021.
Ou seja, a aplicação de uma multa pode inviabilizar a operação de uma entidade sem fins lucrativos. Então, quanto antes o tema for tratado e trabalhado dentro das entidades menor o risco para elas, o que leva ao próximo assunto.
Por onde começo?
Para as entidades que estão começando a se familiarizar com o assunto e desejam saber o que precisam fazer, veja esse passo a passo básico que elaboramos:
# Passo 1 – Entenda a LGPD
É preciso primeiramente realizar um aprofundamento no entendimento da LGPD, em todos os aspectos. Importante conscientizar que todos os colaboradores, voluntários e direção precisarão se envolver e realizar esforços em conjunto. Ou seja, todos precisam estar alinhados e compromissados com o assunto.
# Passo 2 – Levantamento de todos os dados
Reúna todas as fontes de dados que a entidade detém. Quais dados de colaboradores, fornecedores, doadores, associados, e assim por diante. Diante disso, é preciso avaliar possíveis falhas no processo do tratamento desses dados e os riscos de um vazamento. Verifique com a equipe quem tem acesso e limite somente àqueles que realmente precisam.
# Passo 3 – Crie uma política de privacidade
É um documento muito importante que precisa ser criado. É nele que são detalhados todos itens sobre a coleta, armazenamento e uso dos dados pela entidade. Nele deverão constar também as medidas adotadas pela organização para garantir a segurança desses dados.
# Passo 4 – Consentimento expresso
Um conceito muito importante da LGPD é o consentimento. Em termos simples, o titular (doador, voluntário, etc.) deve autorizar o uso da informação, dando consentimento ou permissão para a entidade sem fins lucrativos.
Por exemplo, se sua entidade coleta e-mails de possíveis doadores para posteriormente transformar essa pessoa em um doador efetivo, ela precisa dar esse consentimento expresso no momento do cadastro. Ela poderá inclusive solicitar a remoção de seus dados a qualquer momento.
# Passo 5 – Elabore um plano de segurança da informação
A LGPD e a segurança da informação andam de mãos dadas. Crie um plano, por mais simples que seja, que aborde a proteção de dados pessoais. Dê preferência e adote sistemas de gestão que possam organizar esses dados de forma segura. Que possa permitir controle de acessos às informações além de uma auditoria em caso de incidentes. Importante também a segurança com acesso criptografado, armazenamento de dados em território nacional e políticas de backups automatizadas.
Especialmente nesse último passo nós podemos te ajudar com a implementação de um sistema de gestão específico para o terceiro setor. Dessa forma sua entidade irá aumentar a segurança da informação e estar preparada para oferecer mais proteção aos dados pessoais dos envolvidos com sua causa.