“A essência dos direitos humanos é o direito a ter direitos”
- Hannah Arendt
A plena vigência da lei Geral de Proteção de Dados (“LGPD”), a lei 13.709, de 14 de agosto de 2018 , somada à Resolução ANPD 2, de 27 de janeiro de 2022 (“Resolução 2/22”) da Autoridade Nacional de Proteção de Dados (“ANPD”) que aprovou o Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte, trazem preocupações e reflexões que diretamente impactam o cotidiano e a lida de informações por parte das entidades de cunho religioso. Especialmente porque em grande parte estas entidades são pessoas jurídicas de direito privado sem fins lucrativos (associações civis), que em princípio estariam recentemente sob o manto das dispensas conferidas pela Resolução 2/22, mas que devem avaliar a real extensão desta questão face ao dia a dia de seu relacionamento com os titulares de dados.
Desde os estágios inaugurais do mundo os indivíduos passaram a se organizar em grupos a fim de se conseguir a sobrevivência e suprir questões de aspectos familiares. Com isto começaram a se organizar em pequenas sociedades, que eram montadas por grupos com aspectos em comum, seja origem, casamentos, ofícios, tais como pastores de rebanhos, artesãos, guerreiros e comerciantes. Conforme os aspectos sociais da sociedade passaram a ficar mais complexos com o aumento do tamanho da estrutura da sociedade, de igual modo, a convivência entre os indivíduos passou a ser mais hostil, sendo necessário que os líderes dos grupos estabelecessem regras de convivência.
Com isto, as normas sociais foram evoluindo para acompanhar o desenvolvimento das cidades. Desta forma, num capítulo não distante da humanidade, surgiu a tríade dos direitos básicos: direitos de liberdade, igualdade e fraternidade, dos quais emanam todos os outros aspectos legais da sociedade. Nas sociedades contemporâneas as relações passaram a ser ainda mais complexas, sendo necessária a elaboração de milhares de legislações específicas para se amparar os direitos básicos individuais.
Em paralelo, os indivíduos trazem consigo desde os períodos antigos a crença e o desejo natural para se reunirem para partilhar da mesma convicção. Com isto, a sociedade moderna se depara com diversas organizações religiosas, nas quais amparadas pelo direito fundamental de liberdade, possuem a autonomia para estabelecerem os critérios do seu próprio sistema de crença e organização institucional.
A organização estatal se vê diante de uma sociedade globalizada e totalmente conectada, onde diariamente surgem preocupações com o tratamento de dados pessoais. Com o advento da LGPD as instituições religiosas se depararam com a necessidade de ponderar a liberdade religiosa com a Ordem Pública, de modo, que as associações religiosas passaram a necessitar de uma adequação ao sistema de gerenciamento de membros, bem como, da maneira que armazenam os dados pessoais (e até pessoais sensíveis), além de informações de cunho privado e pessoal relacionadas aos dízimos, doações, contribuições, caridades e ofertas.
A LGPD dispõe sobre “o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.” (Art. 1). O titular dos dados é toda pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (Art. 5º, V).
A LGPD é uma norma principiológica e não procedimental, dado que não fixa ou estabelece procedimentos que devam ser seguidos pelos responsáveis pelo tratamento de dados. A regulação brasileira é baseada em princípios e busca garantir e alocar direitos aos titulares de dados, estabelecendo regras claras (em sua maioria) sobre as operações de tratamento realizadas por órgãos públicos ou privados. E o conceito de “tratamento” é aquele mais amplo possível, envolvendo “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” (Art. 5, X).
A normativa apresenta 3 importantes figuras que as entidades devem ter conhecimento – controlador, operador e encarregado. O Controlador é aquele definido pela lei como sendo toda pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. O Operador é pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. E por último, o Encarregado, que será a pessoa indicada pelo Controlador e Operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); (Art. 5º, VI, VII, e VIII).
Um princípio básico da LGPD é a responsabilização do Controlador (a quem compete a tomada de decisões referentes ao tratamento de dados pessoais), que deve ser capaz de demonstrar que o processamento é/foi realizado de acordo com a regulação (LGPD e regulamentação a ser fixada pela ANPD), de forma eficaz, ativa e passivamente, inclusive por meio de prestação de contas. Importância da relação entre Controlador e Operador, pois, ainda que a norma brasileira tenha determinado que o Operador deva realizar o tratamento de dados conforme as instruções do Controlador, não há exigência de formalização por meio de contrato ou outro ato jurídico que vincule as partes. A melhor recomendação é no sentido de que o vínculo seja formal e documentalmente estabelecido e regrado.
Com isso, se torna vital a realização de um delicado e eficaz mapeamento, que usualmente engloba atividades de conhecimento da entidade da qual se busca avaliar, que pode incluir apresentação do projeto aos líderes de equipe e gestores e treinamento básico de conscientização de políticas, cultura e melhores práticas de data privacy e proteção de dados, além de discussão sobre formas da empresa de coleta e processamento de dados. Também é nesta etapa que inicia a mapeamento através do questionário de privacy assessment e de planilhamento de data mapping. O profissional jurídico responsável avaliará o data mapping para posterior fechamento e finalização. Concluída esta etapa, inicia-se a fase de diagnóstico, por meio de análise aprofundada do questionário de privacy assessment e de eventual documentação adicional, visando a elaboração de relatório com diagnóstico contemplando a classificação, a finalidade e a base legal dos dados pessoais, bem como identificação de eventuais riscos, juntamente com recomendações de medidas a serem adotadas para atender a LGPD.
Nesta esteira, importante frisar que a natureza dos dados tratados pelas instituições religiosas por si só envolve o tratamento de dados sensíveis pela definição legal. Segundo a LGPD, dado pessoal sensível é todo “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.” (Art. 5, II)
As associações religiosas ao cadastrar seus respectivos membros recolhem dados tais como, RG, CPF, e-mail, parentesco com outros membros, estado civil, endereço, sexo, fotos, e em casos de instituições que fazem campanhas de doação de sangue regularmente, o tipo sanguíneo de seus membros doadores. Trata-se de um emaranhado de dados e informações que não podem mais ser livremente tratados e devem necessariamente receber cuidado, atenção e foco de segurança de informação por atraírem grande responsabilidade aos atuais controladores e operadores.
A coleta de dados pessoais (e acabarão inevitavelmente envolvendo cunho religioso pela natureza do local / evento) usualmente pode se dar, dentre outras formas e possibilidades, seja por meio eletrônico ou físico, durante (i) uma celebração regular ou festa específica, (ii) a coleta e preenchimento de ficha / cadastro de membro, contribuinte ou dizimista da entidade, (iii) a preparação e organização de encontro de jovens ou de casais para eventos ou retiros espirituais, (iv) organização de banco de dados e busca por novos membros; (v) o compartilhamento de cadastro com a empresa de contabilidade e outras, (vi) a captura de imagens de vídeo, ou transmissões ao vivo de celebrações; e (vii) a coleta e armazenamento regular de imagens da câmera de vigilância e segurança da entidade.
O Estatuto da Criança e do Adolescente também assegura entre os principais princípios das crianças e adolescentes, a liberdade de consciência e crença, de modo, que aos tutelados pelo ECA é garantido o direito a se filiar a uma instituição religiosa. Por este motivo, as congregações religiosas passam a armazenar em seus bancos de dados, dados de menores de idade. E tanto dados quanto imagens de crianças e adolescentes, de plano temos que a divulgação deve ser sempre evitada – com a devida proteção dos dados. Na prática, recomendamos que a divulgação de dados e imagens de crianças e adolescentes seja sempre evitada ou realizada no mínimo possível, ainda que haja autorização dos pais (por exemplo em sites de congregações e igrejas ou painéis de avisos e divulgações nos locais).
Além dos dados recolhidos para o cadastro de membros, muitas instituições religiosas fazem o recolhimento de valores monetários, seja por doações, dízimos e ofertas, fazendo um levantamento dos valores entregues por cada um de seus membros, de maneira física, por meio de envelopes nominais, ou por meio de aplicativos que permitem o depósito bancário, bem como, o recém-chegado Pix.
Com tantos dados, as instituições religiosas também passam a ser alvos de hackers e de sequestros cibernéticos. Praticamente o crime virtual / eletrônico não “vê cara nem religião”, afetando a todos em mesma intensidade e escala.
Um empecilho para a adequação da entidade à LGPD decorre do próprio estabelecimento do participante, pois em muitas religiões, os trabalhos são realizados por voluntários não fixos e que constantemente mudam, dificultando total transparência sobre acessos aos dados pessoais.
Além do mais, religiões também possuem presença em diversos países, tendo uma sede geral a qual armazena todos os dados de seus respectivos membros, apresentando problemas quanto ao armazenamento de dados em bancos de dados no exterior, dado que muitas instituições religiosas possuem diversas unidades pelo globo terrestre. Assim, a transferência de dados entre unidades (no país ou para o exterior) deve ser avaliada com devida atenção, pois requer autorização expressa.
As instituições religiosas não são isentas de obrigatória adequação à LGPD, devendo as associações religiosas respeitar regulação da lei e normativas da Agência Nacional de Proteção de Dados (ANPD), no trato de dados pessoais, inclusive aqueles sensíveis, de seus frequentadores.
Com o início das aplicações das multas, é previsto que diversas Associações Religiosas passem a criar movimentos alegando que a imputação de multas e a obrigatoriedade de se adequar a LGPD, deva ferir o Direito de Liberdade Religiosa, pois em tese é uma legislação interferindo no modus operandi das religiões no território brasileiro. Contudo, tais alegações não devem prosperar, porque a determinação da LGPD não interfere nas doutrinas e cultos religiosos. Não impede a reunião de pessoas com uma crença comum. Porém determina que todas as Associações garantam que os dados pessoais de seus membros sejam usados tão somente para a finalidade do indivíduo compor a religião que desejar.
A ANPD é a responsável por fiscalizar e punir as empresas que não adaptarem seus negócios à legislação, sendo que as instituições podem receber multas de até 2% (dois por cento) do faturamento, e ainda terão que lidar com a má reputação no mercado.
Por isso, reforçamos ser vital a adequação legal e o planejamento, que são essenciais para manter a atividade regular e minimizar riscos jurídicos.