(Por Laura Gonçalves Sucena)
Para saber mais sobre a Lei Geral de Proteção de Dados (LGPD), que determina regras e critérios sobre coleta, armazenamento e tratamento de dados pessoais, o programa Qualificação da Gestão das Organizações da Sociedade Civil (OSC) realizou mais um Ponto Org sobre o tema. O dispositivo legal n° 13.709/2018 entrou em vigor no último dia 18 de setembro, trazendo normas para disciplinar a maneira dos dados pessoais dos indivíduos.
A Lei cria novas obrigações para proteção de dados pessoais, sejam eles digitais ou não, estabelecendo mais direitos aos indivíduos e mais obrigações às organizações públicas ou privadas que usam dados pessoais no Brasil. Também conta com regras claras sobre os processos de coleta, armazenamento e compartilhamento dessas informações para que elas não sejam usadas de maneira errada ou diferente do que foi informado para o titular. Isso ajuda a promover o desenvolvimento tecnológico ao mesmo tempo que procura garantir a segurança dos indivíduos.
Segundo Nathália Garcia, líder do programa Qualificação da Gestão da FEAC, a lei traz regras sobre o que se pode ou não fazer com os dados pessoais dos outros, como empresa, entidade ou poder público. “Ano passado realizamos um Ponto Org para falar sobre a LGPD antes mesmo dela entrar em vigor. Algumas organizações começaram a se preparar desde então, mas ainda era tudo muito teórico e parecia distante. Nossa proposta para este Ponto Org, foi orientar em como fazer as adequações na prática, apresentar soluções fáceis que podem e devem ser aplicadas. Essa temática é importante para todos nós, e as OSC precisam estar atentas com relação às suas especificidades, público-alvo e área de atuação.”
Aprendendo sobre a lei
Comandado pela advogada Ana Carolina Mello, o encontro reuniu mais de 80 participantes das OSC de Campinas, e trouxe informações importantes sobre o tema. Ana Carolina contou que a Lei foi inspirada no regulamento europeu. Com relação à aplicabilidade nas relações de emprego, foi citado o cuidado que deve ser tomado ao armazenamento de dados.
“Por força do contrato de trabalho, o empregado concede informações particulares ao empregador, o que torna o controlador. Dessa forma, cabe ao empregador tomar decisões necessárias a respeito do tratamento a ser conduzido específico em cada caso”, informou a advogada.
Uma sequência de dados abrangidos pela LGPD envolve o contrato de trabalho. São informações que vão desde as que antecedem a celebração do contrato até dados fornecidos no momento da celebração do contrato de trabalho. Tais informações podem ter reflexos em decisões pela empresa e, por fim, ao término do contrato de trabalho.
Segundo a advogada, toda vez que o empregador transmite qualquer informação de um empregado, que promova a identificação a um terceiro, existirá uma transmissão de dados pessoais nos termos da LGPD. Efetivamente, a Lei permite que o empregador distribua os dados com os denominados operadores, em virtude do tratamento de dados. Porém, há responsabilidade solidária entre ambos no tratamento dos dados, desta forma, o empregador deve garantir que o operador esteja em concordância com a LGPD.
A lei conta com 10 bases legais sobre o tratamento de dados (Consentimento, Execução de contrato, Cumprimento de obrigação legal, Exercício regular de direito, Proteção da vida, Tutela da saúde, Execução de políticas públicas, Estudo por órgão de pesquisa, Proteção ao crédito e Interesse legítimo do controlador ou terceiro). “Então temos que saber que nem tudo necessita consentimento. Existem outras justificativas que nos deixa em locais mais seguros”, afirmou Ana Carolina.
O tratamento de dados pessoais de crianças foi um dos pontos explorados pela advogada e que chamou a atenção dos participantes. “Esse tratamento deverá ser realizado com consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. As informações de tratamento devem ser dadas de forma clara e acessível. Apenas os dados estritamente necessários devem ser coletados”, falou.
Segundo a especialista, só há duas situações em que os dados de crianças podem ser passados sem consentimento: para contatar os pais/responsáveis, desde que não haja armazenamento, sem passar para terceiros; e quando utilizado para a proteção da criança.
LGPD na prática
Mas como fazer para colocar todas essas informações na prática em sua instituição? Segundo a advogada é preciso entender quais dados sua instituição coleta, de que forma eles são coletados e qual a finalidade de uso destes dados. Com isso é possível estabelecer qual a base legal para usar estes dados e ficar de acordo com a lei. Dados que não são necessários devem ser excluídos.
Se a instituição tem um site, é importante verificar a política de privacidade, se o site faz uso de cookies para coletar dados do usuário, sendo necessário notificar e pedir o aceite do usuário, e ainda ficar atento à coleta de dados para cadastro, que deve focar nos dados estritamente necessários e apenas para a finalidade informada.
Com relação aos softwares e antivírus, as instituições devem mantê-los atualizados e devem ser originais, para garantir a proteção da instituição contra malwares, ransomwares e outros ataques cibernéticos que podem colocar em risco não só os dados dos titulares, mas a segurança da organização como um todo. “As pessoas também devem ficar atentas às atualizações de softwares. Se eles existem é porque trazem mais segurança para os sistemas e devem ser feitos”, explicou o advogado Sávio Amaral, sócio de Ana Carolina.
Os advogados também falaram sobre os processos de Marketing e doações, revisão de contratos, treinamento de equipe, segurança da informação e como se deve agir em caso de vazamento de dados. “Caso aconteça um vazamento de dados, apesar de todos os cuidados, a empresa/instituição deverá tomar algumas medidas. Dependendo do grau do vazamento, deverá comunicar à Agência Nacional de Proteção de Dados e ao titular a ocorrência de um incidente de segurança. Este incidente pode ser uma invasão hacker com roubo de dados que possam causar dano real ao titular, por exemplo”, explicou Sávio.
Os advogados frisaram que a segurança da informação está diretamente relacionada com proteção de um conjunto de informações, sejam elas físicas ou digitais, evitando acessos não autorizados. O nível de proteção deve, em qualquer situação, corresponder ao valor dessa informação e aos prejuízos que poderiam decorrer de seu uso impróprio. “Para a proteção da instituição, o melhor a fazer é criar uma Política de Segurança da Informação adequada à realidade da organização”, explicaram Ana Carolina e Sávio.
Claudete de Lima, coordenadora do Centro Síndrome de Down (CESD), participou do encontro virtual e elogiou a proposta do tema. “Este é um assunto novo e complexo, e nós do terceiro setor temos que nos adaptar à aplicação da lei, pois trabalhamos com crianças e pessoas com deficiência. Para mostrar o impacto social ao nosso público, é essencial o uso de imagem e a divulgação das mesmas, então devemos nos adequar o mais rápido possível à lei. Por isso as informações passadas foram fundamentais”, falou.
Para o mentor em Empreendedorismo da Casa Hacker, Alexandre Martins, o encontro foi importante e especial. “O Ponto Org abre portas para as organizações do terceiro setor se prepararem para uma cultura de tratamento de dados mais segura para si e para todos envolvidos. Hoje o encontro foi muito esclarecedor”, comentou.
Ponto Org
Iniciativa do Programa Qualificação da Gestão das OSC da Fundação FEAC, o Ponto Org oferece assessoramento técnico e coletivo e visa a disseminação de boas práticas que qualifiquem a atuação dos profissionais para gerar impactos positivos nas instituições.
Qualificação da Gestão das OSC
O Programa Qualificação da Gestão é uma iniciativa da Fundação FEAC que investe para que organizações da sociedade civil adotem boas práticas com objetivo de operarem de forma autônoma, com processos de gestão eficientes, conformidade, regularidade e, principalmente, impacto social significativo.
Informações:
https://www.feac.org.br/qualificacaodagestao/
