Com o objetivo de atender as demandas exigidas pela LEI 13709 DE AGOSTO DE 2018 (Lei Geral de Proteção de Dados – LGPD), convidamos alguns irmãos daárea jurídica para nos assessorarem.

Ao nos aprofundarmos sobre o tema – implantação da LGPD –, vimos a necessidade de elaborar um material para a Convenção Batista Paranaense e para às igrejas e congregações que consiste em um E-BOOK (Clique aqui para baixar) e também PERGUNTAS FREQUENTES sobre o tema.

Este material foi produzido com o objetivo de orientar pastores e líderes das igrejas batistas sobre a necessidade de implantação e adequação às exigências da lei.

Agradecemos ao Dr. Edmilson Vieira, Dr. Leandro Canto, Dr. Natã Ienzen que estão assessorando a implantação na CBP e a Dra. Simone Letchacoski pela elaboração deste material e na coordenação da equipe e implantação.

Desde já a CBP se coloca à disposição para orientá-los na medida do possível sobre as necessidades de adequação e implantação na igreja.

EXEMPLOS DE DOCUMENTOS PARA IMPLEMENTAÇÃO DA LGPD


Com a finalidade de orientar às igrejas e organizações associadas da CBP acerca da adaptação às determinações da LGPD – Lei Geral de Proteção de Dados, segue uma relação de documentos básicos a serem implementados. Para baixar os arquivos, basta clicar no nome dos documentos:

PERGUNTAS FREQUENTES LGPD

É uma lei que regulamenta como deve ser feito o tratamento de dados pessoais (inclusive nos meios digitais) por uma pessoa natural ou jurídica (seja pública ou privada), com a finalidade de proteger a liberdade, a privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Esta lei se aplica para qualquer operação de tratamento de dados pessoais realizados por pessoa natural ou jurídica realizada no território brasileiro, coletados no território nacional, que tenha como objetivo a oferta ou fornecimento de bens ou serviços.
A LGPD não se aplica para o tratamento de dados realizados: (i) por pessoa natural para fins exclusivamente particulares e não econômicos; (ii) para fins jornalísticos, artísticos, acadêmicos – desde que obedecidos alguns requisitos da lei; (iii) realizados exclusivamente para fins de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão deinfrações penais. PORTANTO TODAS AS IGREJAS E ASSOCIAÇÕES RELIGIOSAS NÃO SE ENCONTRAM NO ROL DAS EXCEÇÕES DE APLICABILIDADE DA LGPD.
(i) Titular: pessoa natural dona dos dados pessoais, sensíveis ou anonimizados; (ii) Controlador: pessoa natural ou jurídica, (pública ou privada) a quem compete as decisões referente ao tratamento dos dados pessoais; (iii) Operador: pessoa natural ou jurídica (pública ou privada) que realiza o tratamento dos dados em nome do controlador; (iv) Encarregado ou DPO (Data Protection Officer): é o profissional responsável pela proteção de dados dentro da pessoa jurídica (pública ou privada), garantindo a segurança das informações, tanto dos titulares quanto da própria organização. Esta pessoa é indicada pelo controlador e pelo operador para atuar como canal de comunicação entre o controlador, os titulares e a Autoridade Nacional de Proteção de Dados (ANPD); (v) Agentes de tratamento: o controlador e o operador em conjunto; (vi) Tratamento: toda a operação realizada com os dados pessoais, sensíveis e anonimizados; (vii) Anonimização: utilização de meios técnicos no qual se perde a possibilidade de associação (direta ou indireta) de um dado a um indivíduo; (viii) Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais, sensíveis ou anonimizados para uma determinada finalidade; (ix) Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante a guarda do dado pessoal, sensível ou anonimizado ou do banco de dados; (x) Eliminação: exclusão de dado ou conjunto de dados armazenados em banco de dados; (xi) Transferência internacional de dados: é a transferência de dados pessoais, sensíveis ou anonimizados para um país estrangeiro ou organismo internacional do qual o país seja membro; (xii) Uso compartilhado de dados: tratamento compartilhado de banco de dados pessoais, sensíveis ou anonimizados por órgãos e entidades públicas no cumprimento de suas competências; (xiii) Relatório de impacto à proteção de dados pessoais: documentação do controlador com a descrição dos processos de tratamento de dados que podem gerar riscos às liberdades civis e aos direitos fundamentais dos titulares, bem como com as medidas de mitigação dos riscos; (xiv) Órgão de pesquisa: órgão ou entidade da administração pública (direta ou indireta) ou pessoa jurídica privada, sem fins lucrativos, que tenha como missão institucional a pesquisa de caráter histórico, científico, tecnológico ou estatístico; (xv) Autoridade nacional: órgão da administração pública (ANPD) responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território brasileiro.
Para a LGPD todo dado relacionado com a pessoa natural está classificado em Dado Pessoal, Dado Sensível, Dado Anonimizado sendo: (i) Dado pessoal: toda informação relacionada a pessoa natural, seja ela identificada ou passível de identificação, por qualquer atividade de tratamento, como por exemplo: nome, endereço, imagem, voz, CPF, RG, entre outros; (ii) Dado sensível: todo aquele que, pela exposição, possa gerar constrangimento ao titular, tendo a lei trazido o seguinte rol: a) origem racial ou étnica; b) convicção religiosa; c) opinião política; d) filiação a sindicato ou a organização de caráter religioso, filosófico ou político; e) dado referente à saúde ou à vida sexual; f) dado genético ou biométrico. (iii) Dado Anonimizado: todo aquele que o titular não possa ser identificado.
É o conjunto estruturado dos dados pessoais, sensíveis ou anonimizados dos titulares, estabelecido em um ou vários locais, seja físico ou eletrônico.
É toda a operação realizada com os dados de uma pessoa natural, desde a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, OU SEJA: TUDO O QUE SE RELACIONAR COM O DADO DE UMA PESSOA NATURAL.
Na coleta e tratamento dos dados deve-se analisar muito bem a sua finalidade, adequação, necessidade, qualidade, transparência, segurança, prevenção, não discriminação, responsabilidade e prestação de contas sobre os dados coletados e tratados.
(i) Mediante o consentimento do titular; (ii) Para cumprimento de obrigação legal ou regulatória do controlador; (iii) Pela administração pública para a realização de políticas públicas, respaldadas em convênios, contratos ou instrumentos congêneres; (iv) Para a realização de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; (v) Para a execução de contratos; (vi) Para processos judiciais, administrativos ou arbitrais; (vii) Para a proteção da vida ou da incolumidade física do titular ou de terceiro; (viii) Para a tutela da saúde; (ix) Para atender legítimo interesse do controlador ou de terceiro, sempre respeitando os direitos fundamentais (liberdade, vida, honra, respeito a privacidade); (x) Para proteção ao crédito.
Quanto ao tratamento de dados pessoais e sensíveis de crianças e adolescentes deve SEMPRE SER REALIZADO NO MELHOR INTERESSE DO MENOR E COM CONSENTIMENTO ESPECÍFICOS DOS PAIS (para menores de 16 anos - pai e mãe; para menores acima de 16 anos - pai ou mãe; ou em ambos os casos pelo responsável legal – quem detém a guarda do menor).
Além da garantia dos direitos fundamentais de liberdade, intimidade e privacidade, os titulares possuem os seguintes direitos: • Confirmação da existência de tratamento; • Acesso aos dados; • Correção dos dados; • Anonimização, bloqueio, eliminação dos dados desnecessários, excessivos ou tratados em desacordo com a lei; • Portabilidade dos dados para outro banco de dados de outro controlador, mediante requisição expressa; • Eliminação dos dados tratados com o consentimento do titular, exceto em casos de obrigações legais ou outras descritas na lei; • Informação das entidades públicas e privadas com as quais foram compartilhados os dados; • Informação da possibilidade de não consentir e o que isso acarreta • Revogação do consentimento; • Ir contra o controlador perante a autoridade nacional (ANPD); Oposição ao tratamento.
O não atendimento ao que determina a LGPD pode acarretar, de imediato, a responsabilização com base no Código Civil, no Código de Defesa do Consumidor, na lei do Marco Civil da Internet, no Código Penal, entre outras. Além disso, o não atendimento da LGPD pode acarretar, a partir de agosto de 2021, sanções administrativas como: (i) advertência; (ii) multa simples de até 2% do faturamento da pessoa jurídica limitada a R$50.000.000,00; (iii) multa diária, também com o limite de R$50.000.000,00; (iv) publicização da infração; (v) bloqueio dos dados até a regularização; (vi) eliminação dos dados; (vii) suspensão parcial do funcionamento do banco de dados pelo período de 06 meses, prorrogável por igual período, até a regularização; (viii) suspensão do exercício da atividade de tratamento de dados por 06 meses, prorrogável por igual período; (ix) proibição parcial ou total do exercício da atividade relacionada ao tratamento de dados.
Acima de qualquer outro benefício é estar em conformidade com a legislação (Compliance) e com os princípios bíblicos, sendo exemplo para a sociedade como cristãos. Ainda existem outros benefícios que são: (i) Estar preparado para qualquer requisição que possa ser feita pelo Titular dos dados, pela a Autoridade Nacional de Proteção de Dados (ANPD), Ministério Público, Poder Judiciário e qualquer outro órgão ou autoridade nacional; (ii) Organização interna, com mapeamento de todos os processos de coleta e tratamento de dados, plano de gerenciamento dos dados, dos riscos e políticas de gestão;
Todos os dados armazenados precisam estar adequados à lei, pois a LGPD não faz essa distinção. Dessa forma, será necessário fazer um recadastramento e nesta nova ficha inserir o termo de consentimento, para que possa manter os dados em seu cadastro. É importante criar uma estratégia para fazer este recadastramento, para que se tenha maior assertividade, precisa arquivar o termo de consentimento e controlar para garantir que todas as pessoas deem o aceite no termo. Os titulares que não autorizarem o tratamento de seus dados ou não se obtiver contato orienta-se a não utilização, com sua eliminação.
Pode ser gravado ou transmitido o culto ou evento de forma on-line. Mas é necessário que os participantes estejam cientes e concordes com tal situação. Assim, é aconselhável que sejam instaladas placas dentro da igreja ou local, informando sobre a transmissão ou gravação do evento. Caso a pessoa (titular) não queira sua imagem divulgada, deve procurar a secretaria ou ainda mandar um e-mail, para registrar o pedido e a providência adotada.
A orientação é a de que se busque as pessoas que aparecem nos vídeos para se registrar a autorização para usar sua imagem, para que não precise retirar o vídeo das mídias sociais. Caso alguma pessoa não permita a divulgação da imagem ou não seja possível obter tal autorização por qualquer motivo, é importante que, com o uso da tecnologia disponível, seja borrada ou apagada a imagem da pessoa que não deu o consentimento.
Na ficha de inscrição é importante ter um termo de consentimento do Titular sobre os dados ali informados, bem como sua utilização ou destinação posterior. Se o evento for gravado também é importante que haja essa informação para que o Titular consinta ou não quanto a possibilidade de aparecer sua imagem.
Existe um órgão específico que irá fiscalizar (Autoridade Nacional de Proteção de Dados – ANPD), porém qualquer pessoa pode denunciar caso se sinta lesada. Essa denúncia poderá ser realizada diretamente ao referido órgão ou por meio do Ministério Público, Procon, dentre outros, os quais também poderão agir de ofício, por meio de medidas extrajudiciais ou procedimentos judiciais contra quem esteja violando os direitos fundamentais dos Titulares (liberdade, intimidade e privacidade) e ainda aplicar sanções com base em outras disposições legais eventualmente negligenciadas.
A orientação é a de que apenas as pessoas necessárias (equipe da tesouraria) tenham acesso a essas informações de quem são os dizimistas e respectivos valores. É necessário observar sempre a finalidade, adequação, necessidade, segurança, prevenção, não discriminação e responsabilidade sobre os dados. Nesse sentido, orienta-se que nos relatórios financeiros seja informado o total com a arrecadação, por exemplo, não de forma pormenorizada com valores e nomes dos membros da igreja. Se houver a prática de envelopes de dízimos e ofertas, é importante que esses dados não estejam registrados do lado de fora do envelope, nem no mural da igreja para divulgação.
A orientação é de que primeiramente a igreja mapeie os dados que trata e regularize as situações atuais e básicas, por meio de termo de consentimento, termo de uso do site, política de privacidade, ficha de membro e visitantes. Assim que essas situações estiverem regularizadas, a segunda fase é regularizar o banco de dados antigo, providenciando o consentimento de todos. Após esta regularização é importante montar o relatório de fragilidades, no qual estarão descritas as atitudes que serão tomadas diante das fragilidades detectadas.
Números de telefone também são dados pessoais pertencentes aos Titulares. A orientação é a de que os pastores não informem nenhum dado que possuam para outras pessoas, sem a autorização do respectivo titular sobre esta informação.
Não. A LGPD declara nula eventual cláusula geral que dê esse tipo de consentimento. A melhor forma de conseguir este consentimento é quando uma pessoa se torna membro da igreja, por meio de assinatura do termo próprio.
Grupos de WhatsApp entrariam no relatório de fragilidades, posto que é um aplicativo que pode trazer problemas dependendo do seu uso e de quem faz parte, em especial se for de uso institucional (oficial da igreja), pela facilidade de compartilhamento de dados e arquivos. Para minimizar está fragilidade, ao invés de adicionar uma pessoa no grupo o ideal seria enviar o link do convite para que a pessoa aceite ingressar naquele grupo. Isso é um indicativo que ela está consentindo fazer parte.
Sim pode realizar, porém é importante que todos os participantes saibam que está sendo transmitido e que será utilizado apenas para esta finalidade. Caso alguém não esteja de acordo poderá deixar sua câmera fechada ou ainda a imagem da pessoa deve ser “borrada”, com o uso das tecnologias.
O ideal é que se tenha o mínimo de dados destas pessoas, eliminando os que não têm mais relevância para o cadastro como por exemplo, RG, CPF, endereço, dentre outros, mantendo apenas data de nascimento e falecimento. Para qualquer divulgação é necessário a autorização da família, inclusive se for preparado um material sobre a igreja, com informações mais detalhadas sobre sua fundação e os primeiros membros. Importante avaliar se os dados a serem divulgados são imprescindíveis, pois é possível contar a história sem a divulgação de dados de tais pessoas já falecidas.
Sendo a pessoa titular de seus dados, primeiramente precisamos saber como foi obtido e se havia tal autorização para se saber o número do telefone (WhatsApp) ou endereço de e-mail (Newsletter) dela. Se houver consentimento não há problema algum.
Importante avaliar se essa prática é necessária e não poderia ser alterada, posto que essa divulgação institucionalizada é um ponto de fragilidade. Sabe-se que a pessoa é titular de seus dados, de modo que precisamos verificar se há autorização prévia da pessoa para divulgar seu número do telefone no âmbito da igreja. Vale lembrar que há grande possibilidade desse dado estar exposto também para pessoas que possam ter acesso a esse boletim. Se houver consentimento, nos termos da LGPD não haveria problema.
Se o visitante informou seu número de telefone, que é um dado que lhe pertence, não há qualquer problema em realizar esse contato posteriormente. Todavia, esse dado, sem autorização, não pode ser utilizado para outra finalidade ou repassado para terceiros.
Todo e qualquer cadastro é um banco de dados e requer cuidados, ainda mais quando faz parte de uma igreja (instituição). Mas havendo necessidade para tal e autorização prévia dos titulares quanto aos dados armazenados, não há problema.
Cultos transmitidos de forma on-line podem ser realizados, porém é importante que todos os participantes saibam que está sendo transmitido e que será utilizado apenas para esta finalidade. Caso alguém não esteja de acordo poderá deixar sua câmera fechada ou ainda a imagem da pessoa deve ser “borrada”, com o uso das tecnologias. Quanto aos pedidos específicos de oração, precisa ter um pouco mais de cuidado já que a pessoa não poderá ser discriminada de nenhuma forma. Se a pessoa sabe que o culto está sendo transmitido on-line, quando realiza o pedido, se pressupõe que está consentindo com os dados eventualmente informados.