LGPD e Terceiro Setor: conceitos básicos para dirigentes

Atualizado: 27 de Nov de 2020

(Parte 2)

Por Bianca Monteiro¹

Esta é a parte 2 do texto LGPD e Terceiro Setor: conceitos básicos para dirigentes.

Recomenda-se a leitura prévia da primeira parte: https://www.escolaaberta3setor.org.br/post/lgpd-e-terceiro-setor-conceitos-b%C3%A1sicos-para-dirigentes


A Lei Geral de Proteção de Dados - LGPD - se aplica as associações do terceiro setor (associações sem fins lucrativos)?


Sim. Como o PRÓPRIO Nome indica E UMA Lei Geral de Proteção de dados², o Que significa that se aplică Ao Poder Público, empresas, Organizações sem aletas Económicos (Primeiro Setor, Segundo Setor e Terceiro Setor) e also parágrafo como Pessoas Físicas that USEM OS dados com econômicos. As “leis gerais” se aplicam a todos os setores.

Observe que a lei não faz distinção sobre a econômica ou não das pessoas jurídicas de direito privado nos termos do artigo 1º e 3º, portanto, as associações, fundações e associações religiosas precisam se adequar as mudanças da LGPD³.


Como terceiro setor são agentes de tratamento de dados? São controladoras ou operadoras de dados pessoais?


Sim. Como terceiro setor, são agentes de tratamento nos termos da LGPD, podendo ser controladoras e / ou operadoras de dados.


A LGPD determina que quando uma organização do terceiro setor tomar as decisões referentes ao tratamento de dados pessoais será controladora dos dados. Por sua vez, quando a organização realizar o tratamento de dados pessoais em nome do driver ou a pedido dele será a operadora dos dados.


Tal caracterização em linhas gerais só é possível afirmar ser aferida no caso concreto, contudo é possível afirmar com segurança que uma organização será controladora e operadora de dados. Dificilmente teremos uma situação onde a exercerá um só papel.

Ao contrário do que pode considerar num primeiro momento, a distinção tem repercussões práticas, incluindo a apuração e definição de responsabilidades, considerando o papel fundamental do controlador na proteção dos dados.


A lei prevê que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas para proteger os dados pessoais (art. 46) restando claro que o operador pode ser responsabilizado e também tem o dever de zelar pela proteção adequada dos dados.


Vale deixar registrado que o conceito de controlador e operador e como responsabilidades inerentes no tratamento de dados pessoais são da pessoa jurídica, e no caso do terceiro setor, são das associações, fundações e associações religiosas e não seus dirigentes, associados, voluntários, empregados. O que significa que não é o dirigente que será o controlador ou operador, mas sim a instituição.


Quando os dados podem ser tratados pelas organizações do terceiro setor, entendidas como agentes de tratamento (controlador ou operador) nos termos da LGPD?


A lei prevê que os dados de pessoas físicas são tratados pelos agentes de tratamento (controlador ou operador de dados) e já está claro que as associações do terceiro setor de enquadramento básico conceituais.


Para que a atividade de tratamento dos dados (qualquer uma delas - coletar, armazenar, etc.) seja realizada é que a lei norma “critérios”, princípios e bases legais, que devem ser respeitados. É possível concluir que os dados sempre serão tratados desde que em conformidade com os princípios e em consonância com uma base legal que será definida em cada caso concreto.


As atividades de tratamento de dados pessoais devem sempre observar, além do princípio da boa-fé, os seguintes princípios⁷: necessário, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilidade e prestação de contas (artigo 6º).


Ademais é preciso combinar o respeito aos princípios com as bases legais previstas no artigo 7º. Muito além do tão falado consentimento, o tratamento de dados pessoais “comuns” ⁸ somente poderá ser realizado nas seguintes hipóteses:


- mediante o consentimento de autorização pelo titular;

- para o cumprimento de obrigação legal ou regulatória;

- pela administração pública para a execução de políticas públicas;

- para a realização de estudos por órgão de pesquisa;

- quando necessário para um execução de contrato ou procedimentos preliminares relacionados a um contrato;

- para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307 / 1996 (Lei de Arbitragem);

- para a proteção da vida ou da incolumidade física do titular ou de terceiro;

- para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

- quando necessário para atender aos interesses legítimos do controlador ou terceiro;

- para a proteção do crédito.


Quais são alguns exemplos práticos de tratamentos de dados realizados por organizações do terceiro setor?


Apenas para ilustrar de forma bem resumida algumas hipóteses onde são realizadas atividades de tratamento, lembrando que os dados pertinentes e dados de criança e adolescente demandam atenção redobrada: dados de dirigentes, associados, voluntários e empregados; dados dos usuários ou beneficiários; dados de clientes ou consumidores, incluindo alunos; dados de pacientes; dados dos doadores pessoa física⁹.


Por onde começar?


Recomendo começar fazendo uma avaliação da maturidade da governança e como boas práticas de gestão já em execução nas entidades.


É fundamental compreender a forma geral de conceitos e impulsos, o que inclui a capacitação e conscientização dos dirigentes e demais colaboradores da organização.

Depois é preciso ter a clareza e compreensão de que será necessário contar com profissionais que entendam do tema. O ideal é que seja uma equipe multidisciplinar composta por advogados e profissionais de Tecnologia da Informação (TI) e segurança da informação.


Não existe receita de bolo, infelizmente, e provavelmente como fácil e rápido trarão uma ilusão de conformidade. Para a implementação de programa de adequação à LGPD (incluindo as adequações mais simples), sugiro contar com uma colaboração de profissionais com conhecimentos técnicos relacionados à proteção de dados.

É preciso lembrar que a LGPD é uma lei que se soma ao complexo ordenamento jurídico brasileiro e que não será aplicada de forma isolada, por este motivo uma consultoria ou assessoria jurídica qualificada é recomendada.


Quais são os custos para fazer um programa de adequação a lei?


Mais uma pergunta que não tem resposta pronta. Tudo vai depender do tamanho do programa de adequação, ou seja, o cost vai depender não apenas do tamanho da organização, do nível da atual governança, da existência de boas práticas de gestão incorporadas ao cotidiano das atividades da organização.


Um primeiro olhar pode realmente atestar a diferença abissal do tratamento de dados realizados pelas organizações do terceiro setor e como empresas que comprovam os dados como atividade principal do negócio (core business) e certamente para essas despesas e risco será infinitamente mais elevado.


É claro que um programa de privacidade e proteção de dados em uma organização do terceiro setor em nada se compara, em grau de complexidade e custo, com a maior parte das empresas, contudo, ao ambiente empresarial tem alguns aspectos mais favoráveis ​​no que diz respeito processos e procedimentos internos relacionados a governança e gestão, além de orçamento diferenciado (sem entrar no mérito das micro e pequenas).


Por outro lado, ocorre que pelas próprias finalidades ou objetivos sociais das associações do terceiro setor, conforme explicado na primeira parte do texto, fica evidente que teremos muitos dados pessoais relacionados e de criança e adolescente o que certamente é motivo de alerta para os dirigentes, e consequentemente devido a necessidade de um maior grau de segurança da informação ter os custos mais elevados.


- -


1. Bianca Monteiro. Advogada, mentora, escritora e professora. Atua com terceiro setor desde 2002. Pós-graduanda em Advocacia digital e proteção de dados, Pós-graduada em Direito Público, em Gestão Estratégica de Organizações do Terceiro Setor e em Direitos e Garantias Fundamentais. Coautora do livro Roteiro do Terceiro Setor: Associações, Fundações e Organizações Religiosas. 6ª ed. Editora Fórum. Vice-presidente da Comissão Permanente de Direito do Terceiro Setor da OAB / MG. Saiba mais em: www.biancamonteiro.com.br

2. Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD).


3. Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde deseja usar os dados, desde que:

I - uma operação de tratamento seja realizada no território nacional;

II - a atividade de tratamento tenha por objetivo a oferta ou oferta de bens ou serviços ou o tratamento de dados de preferência no território nacional;

III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional.


4. Art. 5º: IX - agentes de tratamento: o controlador e o operador.


5. Art. 5º: VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais.


6. Art. 5º: VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.


7. Recomendo a leitura do artigo 6º da LGPD.


8. Para tratamento de dados pessoais pessoais e de dados pessoais de criança e adolescente se faz necessário observar as regras dos artigos 11 e 14 respectivamente. Registro de uma imensa divergência doutrinária no que diz respeito como bases legais para tratamento de dados de criança e adolescente.


9. Se uma organização capta com empresas é importante considerar a proteção de dados como um diferencial “Competência”.


O texto foi originalmente publicado pelo OSC LEGAL Instituto, no site www.osclegal.org.br

  • Ícone branco do Facebook
  • Ícone branco do Twitter
  • Branca Ícone LinkedIn
  • Branca ícone do YouTube
  • Ícone branco do Instagram

Contate-nos

© Escola Aberta do Terceiro Setor | Todos os direitos reservados