Igreja pode ser responsabilizada por possíveis vazamentos de dados dos membros

Foi publicada em 2018 a Lei Geral de Proteção de Dados, também conhecida como LGPD, que tem por objetivo principal a proteção dos direitos fundamentais de liberdade e privacidade de todos. Ou seja, de garantir proteção adequada contra violações de privacidade, bem como assegurar a transparência no uso dos dados em quaisquer meios. A Lei 13.709/18 é aplicada onde os dados encontram-se coletados, ou seja, a lei não está restrita ao mundo virtual, mas também com os dados mantidos em meios físicos (livros, fichas, etc.). Portanto, uma Igreja pode ser responsabilizada por possíveis vazamentos de dados dos membros ou visitantes. Ou seja, nada impede que os responsáveis sejam enquadrados nesta lei, que possui punições significativas.

Como as igrejas costumam coletar diversas informações pessoais em seus cadastros de membros, informações financeiras e em alguns casos informações confidenciais de foro íntimo através de confissões, existem grandes chances desta lei via a ser invocada em um possível litígio.

A lei já começou a vigorar em setembro/2020, embora as possíveis sansões só sejam aplicadas a partir de 1º de agosto de 2021. Portanto, estamos diante de uma mudança significativa na relação e cuidado com os dados pessoais, inclusive dos membros das Igrejas.

Destaca-se que a lei determina que todos dados pessoais (informação relacionada à pessoa natural identificada ou identificável, como nome, idade, endereço, e-mail, estado civil, número de documentos, situação patrimonial, etc.) só podem ser coletados por qualquer tipo de suporte (papel, eletrônico, som e imagem, etc.) mediante o consentimento do usuário, o devido esclarecimento sobre a finalidade de solicitar aquela informação e o tempo em que o dado será tratado até o seu descarte. Neste sentido, é interessante nos formulários (em papel ou eletrônicos) ter um espaço para o "aceite/concordância" de quem está fornecendo os dados, bem como de possíveis autorizações específicas para futuras utilizações (ex. envio de newsletter, e-mail, mensagens por WhatsApp, contatos telefônicos, etc.). Pois, o fato de uma pessoa fornecer seus dados pessoais em um cadastro não lhe dá o direito para uso desta informação. A nova lei passa a exigir que exista o aceite formal, ou seja, o consentimento específico da pessoa para o uso daquela informação.

A lei também classifica determinados dados como sensíveis, que seriam aqueles que, por sua natureza, devem ter uma proteção mais rigorosa, a exemplo de informações a respeito da origem (origem racial ou étnica), de crenças (convicções religiosas, as opiniões políticas, a filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político), corporais (referentes à saúde, dados genéticos e dados biométricos) e sexuais (vida sexual).

Outro aspecto importante a ser observado é que a lei conceitua como Titular dos Dados a pessoa natural a quem se referem os dados pessoais que são objetos de tratamento. Neste sentido, os dados são do Titular e não são da Igreja. Portanto, o Titular pode pedir para corrigir, excluir ou ter a portabilidade dos dados, a qualquer tempo e a Igreja deve estar preparada para atendê-lo.

A LGPD ainda traz o conceito da figura do Encarregado da Proteção de Dados que é pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O Controlador é pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais, no caso, a Igreja. Já o Operador é pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador;

Outra questão importante é a que cabe a Igreja manter registro sobre as atividades de tratamento dos dados, de forma que possam ser apresentadas por requerimento dos titulares ou analisadas pela Autoridade Nacional, em prazo de até 15 dias. Neste sentido, em caso de solicitação, as Igrejas devem apresentar relatórios que comprovem o risco de impacto à proteção dos dados pessoais coletados.

Até então, partia-se do pressuposto que o culpado era quem roubava e divulgava os dados. Mas, com a nova lei o entendimento é diferente. Quem detém ou coleta o dado é responsável por guardar e proteger. Em caso de roubo ou vazamento dos dados o responsável por proteger estes dados será punido por não cumprir com sua obrigação de guardar seguramente os dados. Neste sentido, há previsão de punições para quem deixar de proteger os dados dos usuários de acordo com a lei, como a suspensão de suas atividades relativas a tratamento de dados pessoais de terceiros por até seis meses ou multas de até 2% de seu faturamento, que poderá chegar até R$ 50 milhões, além de dar publicidade sobre a infração. Com isso, não seria nada interessante ver o nome da Igreja estampado nos jornais como uma instituição que vaza os dados. Por outro lado, é importante destacar que a própria lei define os critérios que serão utilizados para as punições. Os principais são: a gravidade e a natureza das infrações; a boa-fé do infrator; a reincidência; a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados e a adoção de política de boas práticas e governança. Portanto, as medidas e procedimentos que a Igreja vir a tomar, ou deixar de realiza-lo, irá influenciar na severidade da punição.

A lei é nova. Muitos aspectos ainda precisam ser regulamentados. Outros pontos, com o tempo, certamente, terão entendimentos mais esclarecidos. Mas, isso não impede a aplicação da Lei a partir do início de sua vigência (18 de setembro de 2020). Ainda no sentido da regulamentação da lei, em 27 de dezembro de 2020 foi criada a ANPD - Agência Nacional de Proteção de Dados, que é o órgão responsável pela regulação sobre a proteção de dados pessoais. Responsável por zelar, implementar e fiscalizar a LGPD.

Uma das sugestões iniciais é a constituição de um grupo de trabalho para estudar a lei, detectar e trabalhar para melhorar os pontos fracos nos procedimentos quanto aos dados da Igreja. Ou seja, proceder as devidas adequações no tocante ao tratamento de dados pessoais dos membros e visitantes das Igrejas. Se possível, junte pessoas que conheçam os procedimentos internos da Igreja, com pessoas da Tecnologia da Informação (informática) e advogados. Eleja o Encarregado pela Proteção de Dados.

Portanto, com a nova lei não se admite mais amadorismo no tratamento de dados. Um deslize pode custar muito caro a Igreja.

A seguir, algumas situações comuns nas igrejas que podem ensejar problemas com a lei de proteção de dados:

a) Visitantes. Colher informações dos visitantes em formulários para futuros contatos. Sugestão: incluir uma autorização do visitante para utilização específica daqueles dados (exemplos: para contatos telefônicos, e-mail, WhatsApp, etc.). Bem como informá-lo sobre qual a finalidade de obtenção destes dados e onde serão armazenados;

b) Rol de Membros. Colher informações dos membros em formulários para o rol de membros. Sugestão: incluir uma autorização do membro para utilização específica daqueles dados (exemplos: para contatos telefônicos, e-mail, WhatsApp, etc.). Bem como informá-lo sobre qual a finalidade de obtenção destes dados e onde serão armazenados. Evite colher e manter dados desnecessários (que nunca serão utilizados. Ex. Cidade de Nascimento, etc.). Mantenha somente informações que serão úteis, preferencialmente, dados não sensíveis. Neste sentido, só deve ser mantido dados no Rol de Membros de pessoas que autorizaram expressamente. No caso de pessoas que não são mais membros, ou não autorizaram ou já faleceram, caso a Igreja queira manter os dados para fins históricos e/ou estatísticos, a sugestão é tornar os dados anonimizados. Ou seja, utilizar meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais o dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

c) Consulta a SPC/Serasa. Realizar consultas no SPC e/ou Serasa para admissão como membro ou para a ocupação de algum cargo ou função. Sugestão: evite tais consultas. Caso julgue necessária, previamente colha autorização específica da pessoa que terá seus dados consultados;

d) Sites, redes sociais e aplicativos. Política de Privacidade. Sugestão: inclua no site um texto com a política de privacidade que relate as práticas realizadas pelo site/aplicativo em relação às informações de seus visitantes, sejam dados de contato enviados pelo próprio usuário, sejam informações de navegação (cookies), sobre as páginas visitadas, fontes de tráfego, localização, entre outras. É preciso esclarecer como esses dados serão utilizados e para que finalidades e, ainda, se a Igreja vai repassá-los para instituições/empresas parceiras, por exemplo. Também, evite colher informações que não serão utilizadas. Caso venha colher, inclua uma autorização para utilização específica daqueles dados (exemplos: para contatos telefônicos, e-mail, WhatsApp, etc.). Bem como informá-lo sobre qual a finalidade de obtenção destes dados e onde serão armazenados; Neste espaço da Política de Privacidade também deve conter o nome e dados de contatos (e-mail, WhatsApp e telefone) do Encarregado de Proteção de Dados para solicitações e esclarecimento de dúvidas dos interessados;

e) Fotos e Filmagens. Imagens de cultos e eventos e a manutenção em arquivos e/ou divulgação no site e/ou redes sociais da Igreja. Sugestão: embora o tema ainda não tenha um entendimento consolidado, sugere-se inicialmente que no templo haja avisos em locais de fácil visualização de que o culto ou evento está sendo filmado e fotografado. Também é aconselhável manter uma área no templo onde não serão realizados fotos e filmagens (esse local deve ser informado nos avisos no templo). Outra alternativa é restringir as imagens ao palco/púlpito. Neste caso, as pessoas que irão aparecer nas imagens (músicos, cantores, pregadores, etc.) deverão firmar autorização específica e por escrito. Em qualquer situação, devem ser evitadas as imagens destacadas de pessoas famosas, menores e de cenas que possam ser julgadas como constrangedoras;

f) Informações financeiras . Algumas Igrejas mantêm e até divulgam informações financeiras dos membros, dizimistas,  patrocinadores,  ofertantes,  contribuintes, etc. Sugestão: reavaliar a necessidade da manutenção dessa informação, objetivando a dispensa de obtê-la (ou seja, não colher/guardar tal informação);

g) Atas e correspondências. Sugestão: evite a inclusão de dados sensíveis nos documentos das Igrejas, como por exemplo: motivo da disciplina/exclusão do membro, se a pessoa é membro ou não da Igreja, datas de admissão, exclusão, etc.;

h) Fichas de Inscrições em eventos . É Habitual a necessidade de preenchimentos de fichas com dados pessoais para participação em congressos, retiros, convenções, etc.. Sugestão: evite colher e manter dados desnecessários (que nunca serão utilizados). Mantenha somente informações que irão serão úteis, preferencialmente, dados não sensíveis;

i) Dados de Crianças e Adolescentes. Sugestão: Redobrar os cuidados com os dados de crianças e adolescentes. Colher e/ou armazenar dados de menores de 18 anos requer autorização específica dos pais ou responsáveis;   

j) Confissões. Sugestão: evitar confissões por meio onde possa, facilmente, ficar registrada (e-mail, mensagens escritas em papel ou eletrônicas, etc.);

k) Fichas de Atendimento Pastoral. É comum alguns pastores manterem registros sobre os atendimentos pastorais, em especial nas Igrejas com vários pastores, para compartilhamento entre a equipe pastoral. Sugere-se que tenha muito cuidados com os dados anotados, bem como a guarda e compartilhamento desses dados;

l) Pedidos de Oração . É usual a anotação dos pedidos de oração e possível compartilhamento, em especial pelos grupos de oração e/ou intercessão de WhatsApp. Sugestão: solicite autorização expressa de quem está realizando o pedido e tenha cuidado para não ocorrer exposições de situações indesejadas;      

m) Reconhecimento facial/identificador de emoções . A partir de câmeras instaladas nas Igrejas, com softwares (programas de computadores) específicos, algumas igrejas têm realizado o reconhecimento facial, identificando as frequências nos cultos e outras utilizando para identificar emoções (angústia, medo, tristeza, alegria, etc.) e depois utilizam essas informações para direcionar sermões e aconselhamentos. Sugestão: esta prática pode ser considerada como uma infração a Lei, portanto deve ser evitada, a não ser com consentimento expresso (por escrito) e específico da pessoa;

n) Segurança da Informação . Sugestão: Com a nova lei não se admite mais ter a organização da igreja em planilhas adaptadas, sem qualquer segurança. Mantenha os dados em sistemas seguros, com senhas fortes. Troque as senhas frequentemente, especialmente quando algum usuário sair da função. Mantenha backups (cópias) em locais seguros;

o) Descartes de Papéis. Frequentemente, junto com o lixo vão embora muitos dados que poderão ser utilizados indevidamente. Portanto, quando do descarte de papéis, procure inutilizá-los, triturando, por exemplo;

p) Pessoas que colhem/manipulem os dados . Sugestão: as pessoas que colhem e/ou manipulem os dados (secretárias, tesoureiros, etc.) devem firmar um Termo de Responsabilidade junto à Igreja onde fique claro o comprometimento quanto ao sigilo, não vazamento, não utilização para outro fim e de tomada de todas as medidas no sentido de proteção dos dados;

q) Serviços de Terceiros . Igrejas que utilizam serviços de terceiros como: fornecimento de softwares, manutenção de equipamentos de informática, serviços de vigilância, de contador, etc. devem tomar os devidos cuidados. Sugestão: certificar-se que esses fornecedores de serviços estão adequados a Lei Geral de Proteção de Dados, reduzindo-se, assim, o vazamento de dados por intermédio de terceiros.

Por fim, têm-se dúvidas quanto as Convenções, Federações e Associações de Igrejas se estas estão obrigadas a observar a Lei Geral de Proteção de Dados, por tratarem de dados de outras pessoas jurídicas (Igrejas) e não de pessoas físicas. Inicialmente cabe salientar que a LGPD visa a proteção de dados pessoais (artigo 1º da LGPD), portanto de pessoas físicas. Logo, os dados de pessoas jurídicas (Igrejas) não estariam sujeitos a LGPD. Por outro lado, caso uma pessoa jurídica (Igreja) entenda que foi prejudicada pelo mau uso de seus dados, nada impede que vá até a justiça reclamar os seus direitos e o juiz aplique, por analogia, a LGPD. Portanto, sugere-se que por prudência, as Convenções, Federações, Confederações e Associações de Igrejas observem a LGPD quanto aos dados das Igrejas associadas, no que couber.

Acesse gratuitamente o e-book  A IGREJA E A LEI GERAL DE PROTEÇÃO DE DADOS (LGPD) a partir do link: 

https://igrejas.mmcontabilidade.com.br/conteudovirtual.aspx?nbk=ebook_lgpd_e_igrejas_27042021

Marcone Hahan de Souza. Contador e Administrador. Professor Universitário. Responsável pelo site M&M Contabilidade de Igrejas.

A M&M Assessoria Contábil possui uma área especializada no atendimento contábil para Igrejas de todo o Brasil. Conheça mais sobre esse serviço acessando  mmCONTABILIDADEdeIGREJAS.com.br . 

Gostou da matéria e quer continuar aumentando os seus conhecimentos na área de gestão eclesiástica?

Assine, gratuitamente, a nossa Newsletter Igrejas: Boletim Informativo sobre Gestão Eclesiástica, clicando no link a seguir: https://igrejas.mmcontabilidade.com.br/?inscbol=1  e assim você acompanha as nossas atualizações em primeira mão!