LGPD nas organizações sociais: como lidar com a proteção de dados?

A Lei Geral de Proteção de Dados (LGPD) aprovada em 2018 no Brasil, ainda suscita dúvidas quanto à sua aplicação. Ainda hoje, de acordo com esta pesquisa, realizada pela Fundação Dom Cabral, cerca de 40% das empresas ainda dizem não estar preparadas para a entrada em vigor das penalidades previstas pela nova legislação. Além disso, 60% dos respondentes ainda desconhecem ou ignoram o alto impacto atrelado à ocorrência de acidentes de segurança cibernética. 

Pode parecer que a LGPD está restrita às grandes empresas. Mas, na verdade, zelar pela segurança cibernética é um dever de todas as organizações, até mesmo as não governamentais.

De acordo com a pesquisa LGPD e o Terceiro Setor, 69% das organizações da sociedade civil (OSCs) já ouviu falar sobre Lei Geral de Proteção de Dados Pessoais (LGPD), mas ainda não se aprofundou no tema, ao mesmo tempo em que 91% acredita que o impacto da nova legislação será, ao menos, moderado para o terceiro setor. 

E você? Sabe lidar com questões de proteção de dados? Cumpre o que está estipulado na LGPD na sua organização social? 

Se o tema ainda te deixa em dúvida, continue a ler! 

Neste artigo, vamos explicar:

• Como a Lei é relevante para o contexto atual;
• Por que as OSCs devem se preocupar com a proteção de dados;
• Listar um conjunto de boas práticas para ter tudo em conformidade com a lei;
• Perceber como a LGPD e os critérios ESG nas ONGs se relacionam.

A LGPD e a proteção de dados pessoais

Nos últimos 30 anos, a revolução tecnológica mudou para sempre a forma como nos relacionamos e comunicamos. Os fluxos de dados e o acesso a informações sofreram mudanças profundas, principalmente com o surgimento da Internet. Agora, utilizamos os nossos dados pessoais, cada vez mais específicos, para acessar todo tipo de sites, aplicações e serviços. 

No entanto, a forma como esses dados são tratados e armazenados nem sempre é a mais ética ou legal, (como vimos em casos como o da Cambridge Analytica). Os dados são, muitas vezes, utilizados como um bem valioso que pode ser comprado ou vendido, o que os torna mais suscetíveis a serem alvo de hackers e de roubos. Assim, põem em causa a privacidade e os direitos das pessoas. 

Para dar resposta a esta situação, foi desenvolvida, apresentada e aprovada a Lei 13.709 que “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”

No panorama das organizações sociais, a LGPD teve duas consequências:

1. Por um lado, as OSCs tiveram que se responsabilizar pela utilização dos dados individuais que possuem;
2. Por outro, esta lei deu ferramentas às pessoas para fiscalizarem a utilização dos seus dados e cobrarem as organizações sociais sobre qualquer uso indevido, podendo até recorrer à justiça para fazer cumprir os seus direitos.

De fato, o descumprimento da LGPD é desencorajado, já que pode dar origem a multas bastante elevadas, incluindo a obrigatoriedade de indenizar os titulares dos dados pelo seu uso abusivo.  

LGPD nas organizações sociais: por que se preocupar?

Como já percebemos, quem não cumprir a lei de proteção de dados pode sofrer com as penalidades previstas no regulamento. Pensando nisso, é crucial que todas as OSCs cumpram a LGPD, já que, de uma maneira ou outra, lidam com dados pessoais.

A maioria das organizações sociais é financiada por doações particulares e recolhem algum tipo de informação dos seus doadores. Mesmo que a sua OSC não recolha dados de doadores, com certeza que possui dados dos seus colaboradores e voluntários. 

Da mesma maneira, muitas OSCs possuem dados sensíveis das pessoas que ajudam para prestarem um serviço mais personalizado e cuidado. Isso inclui dados sobre crianças e adolescentes, religião, sexualidade, saúde, raça/etnia, preferência política, entre outros. 

Estes dados precisam ser armazenados com grande cuidado, tendo em conta a sua segurança. As OSCs são responsáveis diretas por todos os dados que possuem nas suas bases, incluindo dados comprados para utilizarem nas suas comunicações. Isso significa que, se forem roubados ou difundidos por engano (mesmo resultantes de um erro informático), caberá às OSCs responder a processos na justiça e a pagar as indenizações necessárias. 

Como as OSCs devem se adaptar à LGPD – Boas Práticas

Já entendeu por que é tão importante cumprir a LGPD nas organizações sociais, mas ainda tem dúvidas sobre como pode aplicá-lo aos processos da sua organização social? Siga estas orientações de boas práticas, que organizamos para o ajudar:

• A primeira coisa a fazer é mesmo ler a lei de proteção de dados e perceber o que consta no documento e quais as suas obrigações;
• Depois, analise os dados que possui na sua OSC e faça um mapeamento discriminando a sua origem, forma como é recolhido, natureza, categoria, quem tem acesso a essa informação, como é armazenada, por quanto tempo é guardada, etc. 
• Uma boa ideia é criar uma política interna de tratamento desses dados, para que todos os colaboradores saibam como proceder em cada etapa (da recolha ao armazenamento) e evitar qualquer problema judicial por incumprimento da lei. Assim, todos os stakeholders vão estar cientes da forma como lidam com dados sensíveis. 
• Também é importante informar os seus doadores e voluntários sobre os seus esforços para assegurar a segurança dos seus dados, de acordo com a LGPD, e acrescentar essa informação em formulários, inscrições e outros tipos de meios que recolham dados sensíveis para poder ter autorização para o tratamento dessas informações. 
• As pessoas devem ser, também, informadas sobre como podem solicitar o acesso aos seus dados, requisitar a sua edição ou pedir para que sejam excluídos.
• É importante ser proativo e eliminar vulnerabilidades que possam colocar em risco a segurança dos dados. Avalie a necessidade de investir em meios digitais mais robustos e com maiores garantias de proteção, mesmo que não pedido na lei.
• Caso seja necessário e, dependendo da quantidade de dados que tratam, a sua OSC deve ter um profissional dedicado ao tratamento de dados, que fique responsável por garantir o cumprimento das políticas da LGPD.

Tenha em atenção que estas recomendações são conselhos genéricos e não dispensam a consulta da Lei Geral de Proteção de Dados ou da necessidade de desenvolverem uma política interna, criada por profissionais da área.

LGPD e o G de ESG

Cumprir a LGPD é promover o critério de Governança de ESG na sua organização social. 

Estas duas temáticas complementam-se e estão unidas pelos mesmos princípios: maior transparência, equidade e prestação de contas. 

A transparência necessária à aplicação desta lei e do tratamento de dados vai ajudar a sua OSC a conseguir mais credibilidade, aumentar o seu valor no mercado, melhorar o seu funcionamento interno e conseguir atrair mais investidores e doadores para as suas iniciativas.

Pode, até ser bastante proveitoso criar parcerias com empresas para a implementação dos critérios ESG na sua organização social. Aproveite o conhecimento já adquirido pela implementação da LGPD para guiá-lo (por exemplo: uma empresa de informática para avaliar as vulnerabilidades de segurança do armazenamento dos seus dados e sugerir melhorias, enquanto a sua OSC pode ajudar os RH desta empresa a melhorar os seus esforços com a responsabilidade social).

Agora que você já sabe como operacionalizar a LGPD nas organizações sociais, conheça mais vantagens em aplicar o G de ESG na sua OSC! Leia mais sobre o assunto no nosso artigo A importância da Governança nas organizações sociais.