No dia 16 de agosto de 2020 entra em vigor a Lei Geral de Proteção de Dados, conhecida como LGPD. É uma lei federal, de número 13.709, publicada em 14 de agosto de 2018. A LGPD cria um marco legal para a proteção de dados pessoais nas relações contratuais, comerciais, empresariais, trabalhistas, associativas, de consumo, de ensino, etc. e estabelece novos direitos ao cidadão, seja ele consumidor, empregado, fornecedor, associado, colaborador ou cliente. Com isso, a LGPD traz mais obrigações para as organizações que administram dados pessoais exigindo uma relação muito mais transparente.
– E as igrejas? Precisam se preocupar?
Primeiro vamos verificar se a lei se aplica ou não às igrejas. O art. 3º da lei diz que ela se aplica a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados.
Operação de Tratamento é o ato do diretor, chefe ou gerente dizer: “Pegue os dados do cliente e preencha a ficha”. É o ato da secretária ou atendente ao digitar os dados em um programa ou escrever em papel. É a transmissão desses dados, já em formato digital, para um banco de dados dentro da empresa, ou para aquele lugar misterioso chamado “nuvem”. É o tempo que estes dados ficam guardados. É o acesso constante ou esporádico a esses dados. É o ato de colocá-los em uma pasta no arquivo metálico. Tudo isso é Operação de Tratamento.
– Igreja faz algo parecido?
Sim, faz, com certeza. Alguém orienta ou decide coletar os dados dos membros, registrar em um livro ou ficha, numa planilha no computador ou em um sistema.
Portanto, não restam dúvidas de que igreja faz, sim, tratamento de dados.
O próximo requisito da lei é ser uma Pessoa Jurídica de Direito Privado.
Igreja é uma Pessoa Jurídica de Direito Privado?
O art. 44 do Código Civil Brasileiro diz que Pessoa Jurídica de Direito Privado são: associações; sociedades; fundações; organizações religiosas; partidos políticos e as empresas individuais de responsabilidade limitada.
Jean Regina e Thiago Vieira, na obra Direito Religioso, esclarecem que “os templos de qualquer culto foram batizados pelo Código Civil Brasileiro como organizações religiosas”, e dessa forma, “possuem a natureza jurídica de Direito Privado”.
Na mesma linha, Viviane Maldonado, uma das maiores autoridades em proteção de dados do Brasil, na obra Lei Geral de Proteção de Dados Comentada, refere que a lei se aplica, por força do art. 44, Inc. IV do Código Civil, às organizações religiosas, explicando que para a LGPD não importa “o objetivo pelo qual tais entidades foram constituídas”.
Portanto, se a entidade religiosa estiver formalmente organizada, tendo um CNPJ, ela é, sim, alvo do Sistema Brasileiro de Proteção de Dados Pessoais.
– E o que devem as igrejas fazer?
A resposta para esta pergunta não se encontra em livros, portanto, o que segue agora é orientação do autor como profissional. O que tenho orientado vai depender da realidade de cada organização, lembrando que, diante da grande circulação do Mensageiro Luterano, não escrevo exclusivamente para as congregações da IELB.
Iniciamos separando as igrejas em dois grandes grupos: com CNPJ e sem CNPJ.
As que não possuem CNPJ não precisam fazer nada, porque a lei é clara: a aplicação é somente para Pessoas Jurídicas.
As com CNPJ, dividimos em três subgrupos: (1) as que exercem somente a atividade religiosa e mais nada; (2) as que possuem um agregado como local para comercializar livros, bíblias, camisetas, realizando assim transações comerciais; e (3) as que possuem um complexo de ensino seja por EAD, ou presencial como cursos bíblicos, ensino primário, médio ou superior; e, por fim, as administrações centralizadas que possuem empregados, realizam investimentos financeiros, transações imobiliárias, realizam transações contratuais; etc.
Para as do grupo 1, que não fazem outra coisa senão a prática de cultos religiosos, a sugestão é esperar por uma regulação da ANP. É muito provável que a ANP flexibilize a norma para as igrejas que só realizam atividade religiosa. Mesmo assim, sugerimos que estas organizações atuem por cautela, já que estamos falando de direito pessoal de seus congregados e de respeito aos membros, por isso, sugere-se revisar os sistemas de arquivos, verificar onde ficam, quem os acessa, e eliminar o acesso injustificado. Outro conselho é para aqueles que utilizam a tecnologia. Se os registros estão em um computador na igreja, verificar que medidas de segurança existem contra vazamentos ou acesso injustificado, e, no caso de utilização de programas on-line (nuvem), exigir da empresa contratada um documento escrito sobre a conformidade do sistema com a LGPD; lembrem-se de que a lei determina responsabilidade solidária, ou seja, se a empresa contratada com serviço de cadastro dos membros tiver algum incidente de segurança, a igreja irá responder conjuntamente, mesmo que a empresa terceirizada assuma total responsabilidade pelo dano. Mesmo assim, o processo existirá e a igreja estará incluída nele.
As do grupo 2, que além da prática de cultos religiosos possuem algum tipo de agregado para oferta de bens como venda livros, venda de bíblias, venda de camisetas, produção de periódicos, etc., sem dúvida alguma, precisam se adequar à LGPD, porque já há um tráfego de dados pessoais que ultrapassa o simples rol de membros. Elas têm cadastro de fornecedores (Pessoas Físicas), de consumidores, emissão de nota fiscal, cadastro de clientes, etc. E se elas possuem um site, em que qualquer pessoa de qualquer lugar do planeta pode acessar, o site também precisa estar em conformidade. Então, diria que estas organizações estão bem atrasadas em seu planejamento sobre LGPD.
As do grupo 3, que além da prática de cultos religiosos ofertam algum tipo de serviço educacional, e para as complexas organizações administrativas centralizadas (como a sede administrativa da IELB, por exemplo), precisam parar e pensar urgentemente no assunto.
Por quê? Porque as organizações deste grupo tratam dados pessoais sensíveis e dados pessoais de crianças e adolescentes. Os riscos são muito maiores, os prejuízos são muito maiores. Nas administrações centralizadas há uma série de dados sensíveis como afastamentos por problemas de saúde dos pastores e empregados; troca de fichários com planos de saúde e serviços contábeis; nessas fichas, há dados dos filhos dos pastores; existem relatórios e fichas de problemas éticos, contratos de imobiliários, existe um RH com uma fonte imensa de cadastros com inúmeras informações de todos os tipos, etc.
Nas escolas, a situação é muito pior. Além de serem dados de crianças e adolescentes, esses dados circulam entre transportadores escolares, setor financeiro, a empresa que confecciona os cartões de acesso; a cantina, a portaria.
Hoje pode até parecer exagero, mas amanhã haverá pessoas dedicadas exclusivamente a violar a segurança desses unicamente para violar dados e gerar processos indenizatórios.
– A lei impede a liberdade de culto e dificulta a atividade das igrejas?
Este ponto é polêmico. Alguns podem entender que sim, e utilizam o art. 3º, Inc. II da lei a seu favor. Tal entendimento mostra-se equivocado, porque o inciso II que diz que a lei se aplica à atividade de tratamento que tenha por objetivo a oferta ou o fornecimento de bens ou serviços é hipótese de extraterritorialidade, ou seja, usada apenas quando a operação de tratamento envolve outro país. Portanto, não se aplica ao caso das igrejas. Ademais, mesmo que o texto fosse aplicado, esquece-se que há no final uma conjunção alternativa: “ou”. Sendo assim, a lei se aplica à atividade de tratamento que tenha por objetivo a oferta ou o fornecimento de bens ou serviços “ou” o tratamento de dados de indivíduos localizados no território nacional. E, como já vimos, igrejas fazem tratamento de dados.
Outro ponto que destaco é que a lei, em nenhum momento, exige a negativa de fé ou causa embaraço à atividade religiosa (lembrando daqueles três grupos que citei que merecem tratamento diferenciado). Neste ponto, aplico aqui o conselho que dou em minhas palestras e workshop: quando não sabemos o que fazer diante da LGPD, que é uma novidade no Brasil, devemos olhar para o outro lado do oceano, ver o que acontece por lá, para entender o que poderá acontecer por aqui.
Neste aspecto, na Europa, a GDPR, dita por uns como mais rígida que a LGPD, não causou nenhum embaraço às igrejas, muito pelo contrário, as igrejas aceitaram e incentivaram a adequação em suas organizações.
A National Churches Trust, no Reino Unido, por exemplo, criou um serviço para auxiliar as igrejas evangélicas a se adequarem ao GDPR.
O site Parish Resources, na Inglaterra, oferece um serviço de orientação para implantação do GDPR, esclarecendo que o processo de adequação é extremamente útil para a administração da igreja, porque realiza uma auditoria nos dados cadastrados atualizando-os.
A União Batista também dedica uma página na internet para auxiliar as igrejas na implantação do GDPR, esclarecendo que as igrejas não devem ver o regulamento como uma imposição do Estado, mas uma maneira de garantir que as igrejas ajudem a proteger as pessoas contra o uso indevido de seus dados pessoais.
Portanto, não devemos ver a LGPD como uma ação absurda contra as igrejas, mas uma oportunidade de integração social, mostrando que as igrejas, assim como qualquer outra entidade, também respeitam a personalidade de seus fiéis.
Fabio Leandro Rods Ferreira
É advogado de proteção de dados e Data Protection Officer certificado
