No dia 16 de agosto de 2020 entra em vigor a
Lei Geral de Proteção de Dados, conhecida como LGPD. É uma lei federal, de
número 13.709, publicada em 14 de agosto de 2018. A LGPD cria um marco legal
para a proteção de dados pessoais nas relações contratuais, comerciais,
empresariais, trabalhistas, associativas, de consumo, de ensino, etc. e
estabelece novos direitos ao cidadão, seja ele consumidor, empregado,
fornecedor, associado, colaborador ou cliente. Com isso, a LGPD traz mais
obrigações para as organizações que administram dados pessoais exigindo uma
relação muito mais transparente.
– E as igrejas? Precisam se
preocupar?
Primeiro vamos verificar se a lei se aplica ou
não às igrejas. O art. 3º da lei diz que ela se aplica
a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público
ou privado, independentemente do meio, do país de sua sede ou do país onde
estejam localizados os dados.
Operação de Tratamento é o ato do
diretor, chefe ou gerente dizer: “Pegue os dados do cliente e preencha a
ficha”. É o ato da secretária ou atendente ao digitar os dados em um programa
ou escrever em papel. É a transmissão desses dados, já em formato digital, para
um banco de dados dentro da empresa, ou para aquele lugar misterioso chamado
“nuvem”. É o tempo que estes dados ficam guardados. É o acesso constante ou
esporádico a esses dados. É o ato de colocá-los em uma pasta no arquivo
metálico. Tudo isso é Operação de Tratamento.
– Igreja faz
algo parecido?
Sim, faz, com certeza. Alguém
orienta ou decide coletar os dados dos membros, registrar em um livro ou ficha,
numa planilha no computador ou em um sistema.
Portanto, não restam dúvidas de que
igreja faz, sim, tratamento de dados.
O próximo requisito da lei é ser
uma Pessoa Jurídica de Direito Privado.
Igreja é uma Pessoa Jurídica de
Direito Privado?
O art. 44 do Código Civil
Brasileiro diz que Pessoa Jurídica de Direito Privado são: associações;
sociedades; fundações; organizações religiosas;
partidos políticos e as empresas individuais de responsabilidade limitada.
Jean Regina e Thiago Vieira, na
obra Direito Religioso, esclarecem
que “os templos de qualquer culto foram batizados pelo Código Civil Brasileiro
como organizações religiosas”, e dessa forma, “possuem a natureza jurídica de
Direito Privado”.
Na mesma linha, Viviane Maldonado,
uma das maiores autoridades em proteção de dados do Brasil, na obra Lei Geral de Proteção de Dados Comentada,
refere que a lei se aplica, por força do art. 44, Inc. IV do Código Civil, às
organizações religiosas, explicando que para a LGPD não importa “o objetivo
pelo qual tais entidades foram constituídas”.
Portanto, se a entidade religiosa
estiver formalmente organizada, tendo um CNPJ, ela é, sim, alvo do Sistema
Brasileiro de Proteção de Dados Pessoais.
– E o que devem
as igrejas fazer?
A resposta para esta pergunta não
se encontra em livros, portanto, o que segue agora é orientação do autor como
profissional. O que tenho orientado vai depender da realidade de cada
organização, lembrando que, diante da grande circulação do Mensageiro Luterano, não escrevo exclusivamente para as congregações
da IELB.
Iniciamos separando as igrejas em
dois grandes grupos: com CNPJ e sem CNPJ.
As que não possuem CNPJ não
precisam fazer nada, porque a lei é clara: a aplicação é somente para Pessoas
Jurídicas.
As com CNPJ, dividimos em três
subgrupos: (1) as que exercem somente a atividade religiosa e mais nada; (2) as
que possuem um agregado como local para comercializar livros, bíblias,
camisetas, realizando assim transações comerciais; e (3) as que possuem um
complexo de ensino seja por EAD, ou presencial como cursos bíblicos, ensino
primário, médio ou superior; e, por fim, as administrações centralizadas que
possuem empregados, realizam investimentos financeiros, transações
imobiliárias, realizam transações contratuais; etc.
Para as do grupo 1, que não fazem
outra coisa senão a prática de cultos religiosos, a sugestão é esperar por uma
regulação da ANP. É muito provável que a ANP flexibilize a norma para as
igrejas que só realizam atividade religiosa. Mesmo assim, sugerimos que estas
organizações atuem por cautela, já que estamos falando de direito pessoal de
seus congregados e de respeito aos membros, por isso, sugere-se revisar os
sistemas de arquivos, verificar onde ficam, quem os acessa, e eliminar o acesso
injustificado. Outro conselho é para aqueles que utilizam a tecnologia. Se os
registros estão em um computador na igreja, verificar que medidas de segurança
existem contra vazamentos ou acesso injustificado, e, no caso de utilização de
programas on-line (nuvem), exigir da
empresa contratada um documento escrito sobre a conformidade do sistema com a
LGPD; lembrem-se de que a lei determina responsabilidade
solidária, ou seja, se a empresa contratada com serviço de cadastro dos
membros tiver algum incidente de segurança, a igreja irá responder conjuntamente,
mesmo que a empresa terceirizada assuma total responsabilidade pelo dano. Mesmo
assim, o processo existirá e a igreja estará incluída nele.
As do grupo 2, que além da prática
de cultos religiosos possuem algum tipo de agregado para oferta de bens como
venda livros, venda de bíblias, venda de camisetas, produção de periódicos,
etc., sem dúvida alguma, precisam se adequar à LGPD, porque já há um tráfego de
dados pessoais que ultrapassa o simples rol de membros. Elas têm cadastro de
fornecedores (Pessoas Físicas), de consumidores, emissão de nota fiscal,
cadastro de clientes, etc. E se elas possuem um site, em que qualquer pessoa de
qualquer lugar do planeta pode acessar, o site também precisa estar em
conformidade. Então, diria que estas organizações estão bem atrasadas em seu
planejamento sobre LGPD.
As do grupo 3, que além da prática
de cultos religiosos ofertam algum tipo de serviço educacional, e para as
complexas organizações administrativas centralizadas (como a sede
administrativa da IELB, por exemplo), precisam parar e pensar urgentemente no
assunto.
Por quê? Porque as organizações
deste grupo tratam dados pessoais
sensíveis e dados pessoais de
crianças e adolescentes. Os riscos são muito maiores, os prejuízos são
muito maiores. Nas administrações centralizadas há uma série de dados sensíveis
como afastamentos por problemas de saúde dos pastores e empregados; troca de
fichários com planos de saúde e serviços contábeis; nessas fichas, há dados dos
filhos dos pastores; existem relatórios e fichas de problemas éticos, contratos
de imobiliários, existe um RH com uma fonte imensa de cadastros com inúmeras
informações de todos os tipos, etc.
Nas escolas, a situação é muito
pior. Além de serem dados de crianças e adolescentes, esses dados circulam
entre transportadores escolares, setor financeiro, a empresa que confecciona os
cartões de acesso; a cantina, a portaria.
Hoje pode até parecer exagero, mas
amanhã haverá pessoas dedicadas exclusivamente a violar a segurança desses
unicamente para violar dados e gerar processos indenizatórios.
– A lei impede a liberdade de culto e dificulta a atividade
das igrejas?
Este ponto é
polêmico. Alguns podem entender que sim, e utilizam o art. 3º, Inc. II da lei a
seu favor. Tal entendimento mostra-se equivocado, porque o inciso II que diz
que a lei se aplica à atividade de tratamento que tenha por objetivo a oferta ou o fornecimento de bens ou
serviços é hipótese de extraterritorialidade, ou seja, usada apenas quando
a operação de tratamento envolve outro país. Portanto, não se aplica ao caso
das igrejas. Ademais, mesmo que o texto fosse aplicado, esquece-se que há no
final uma conjunção alternativa: “ou”. Sendo assim, a lei se aplica à atividade
de tratamento que tenha por objetivo a oferta ou o fornecimento de bens ou
serviços “ou” o tratamento de dados de indivíduos localizados no território
nacional. E, como já vimos, igrejas fazem tratamento de dados.
Outro ponto que
destaco é que a lei, em nenhum momento, exige a negativa de fé ou causa
embaraço à atividade religiosa (lembrando daqueles três grupos que citei que
merecem tratamento diferenciado). Neste ponto, aplico aqui o conselho que dou
em minhas palestras e workshop: quando não sabemos o que fazer diante da LGPD,
que é uma novidade no Brasil, devemos olhar para o outro lado do oceano, ver o
que acontece por lá, para entender o que poderá acontecer por aqui.
Neste aspecto,
na Europa, a GDPR, dita por uns como mais rígida que a LGPD, não causou nenhum
embaraço às igrejas, muito pelo contrário, as igrejas aceitaram e incentivaram
a adequação em suas organizações.
A National
Churches Trust, no Reino Unido, por exemplo, criou um serviço para auxiliar as
igrejas evangélicas a se adequarem ao GDPR.
O site Parish
Resources, na Inglaterra, oferece um serviço de orientação para implantação do
GDPR, esclarecendo que o processo de adequação é extremamente útil para a
administração da igreja, porque realiza uma auditoria nos dados cadastrados
atualizando-os.
A União Batista também dedica uma
página na internet para auxiliar as igrejas na implantação do GDPR,
esclarecendo que as igrejas não devem ver o regulamento como uma imposição do
Estado, mas uma maneira de garantir que as
igrejas ajudem a proteger as pessoas contra o uso indevido de seus dados
pessoais.
Portanto, não devemos ver a
LGPD como uma ação absurda contra as igrejas, mas uma oportunidade de
integração social, mostrando que as igrejas, assim como qualquer outra
entidade, também respeitam a personalidade de seus fiéis.
Fabio Leandro Rods Ferreira
É advogado de proteção de dados e Data
Protection Officer certificado
N
