01 - Impactos da LGPD nas Associações Civis: O que fazer antes de planejar uma videoconferência

Todas as Associações Civis, mesmo que sem fins lucrativos, armazenam dados relacionados a pessoas envolvidas em prol de sua causa, ou seja, parceiros, voluntários, doadores, associados e colaboradores.

O Código Civil (Lei nº 10.406/02) define as associações como a união de pessoas que se organizam para fins não econômicos (art. 53). 

Muitas causas, inclusive, envolvem informações de crianças e adolescentes, e não importa onde essas informações estão: se em formato digital ou não. Mesmo não fazendo uso de sistema informatizado, essas informações podem estar em fichas, e-mails ou formulários. E são sobre essas informações que a LGPD trata: os dados pessoais. 

São dados pessoais: qualquer informação que possa identificar uma pessoa natural viva, ou que seja suficiente para tal, tais como: Nome, CPF, RG, Carteira de Habilitação, Título de Eleitor, Endereço, Filiação, origem racial ou étnica, as convicções religiosas, as opiniões políticas, a filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos.

Se a sua Associação possui cadastros, de pelo menos um, destes grupos: patrocinadores, associados, voluntários, dizimistas, crianças e adolescentes, ou melhor, de pessoas naturais, ela deve garantir a proteção desses dados.

As Associações Civis, geralmente, não dispõem de recursos financeiros e de pessoas para que possam se adequar à Lei Geral de Proteção de Dados - LGPD. O que fazer então?

Faremos uma série de artigos voltados para a adequação à LGPD. E o nosso primeiro artigo é sobre a videoconferência.

Antes os encontros eram presenciais, em sua maioria, e hoje, quando realizados, são por ferramentas de videoconferência. Os contatos não são mais somente por e-mails ou por telefone, mas utilizam também aplicativos de mensagens como WhatsApp e Telegram, e redes sociais, como Facebook, Youtube, Instagram, dentre outros.

Podemos considerar que, num encontro online (por chamada de vídeo), as pessoas ao entrar estão cientes de que suas conversas e imagens poderão ser gravadas, disponibilizadas, compartilhadas, e que poderão ser expostas em canais de comunicação da Associação. Poderá ser usado seu e-mail para divulgações de novos eventos e de informativos a respeito de suas atividades. Inicialmente, do interesse do participante. Não, não é bem assim!

Segundo a LGPD, a comunicação dos direitos do titular e uso de seus dados pessoais deve ser autodeterminada. E, para fins práticos, o que significa isso?

O direito à autodeterminação informativa, um importante direito, fortemente vinculado aos direitos fundamentais à privacidade, à intimidade, à honra, à imagem e à liberdade (de expressão, de informação e de opinião) já havia sido garantido pela Lei nº 12.965/14 (Marco Civil da Internet), e em essência, ela vem assegurar que o titular dos dados seja informado antes mesmo de fornecer seus dados, e de todo o uso que será feito dele. Já neste momento, considerar-se-á a coleta dos dados pessoais estritamente necessários (princípio da minimização), com quem serão compartilhados, onde serão armazenados, em que situações específicas serão utilizados, e os direitos de acesso, de revogação do consentimento (se este for o único meio legal para que a Associação possa tratar esse dado). Reforçando, a necessidade do prévio comunicado e consentimento do titular para a coleta, uso, armazenamento e tratamento de informações pessoais.

Além disso, entre outros princípios relacionados à proteção de dados, a LGPD destaca o princípio do livre acesso, segundo o qual se deve garantir ao titular acesso facilitado às informações sobre o tratamento de seus dados.

Em termos práticos, significa dizer que é preciso designar um canal de comunicação para que o titular possa obter qualquer informação sobre seus dados pessoais, sem nem mesmo perguntá-lo por quê e apenas confirmando sua identidade (por algum dado ou informação previamente coletado do titular - nem sempre dado pessoal, e se necessário, dados suplementares podem ser solicitados e, não se esqueça de levar em conta os riscos desses novos dados coletados).

Se os dados pessoais forem tratados por meios eletrônicos, a Associação Civil deve dispor de meios que permitam que os pedidos também sejam efetuados por via eletrônica e responder aos pedidos: a qualquer momento e gratuitamente, de maneira imediata, a confirmação de existência ou o acesso a seus dados pessoais, em formato simplificado, ou no prazo de até 15 (quinze) dias, contado da data do requerimento do titular, uma declaração clara e completa.

A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular:

I - em formato simplificado, imediatamente; ou

II - por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.

Lei nº 13.709/2018 - Art. 19

Uma nova cultura, quando não em uso ainda, deve ser considerada: a de que todos esses direitos devem ser resguardados desde a concepção, ou seja, desde a ideia inicial da necessidade de obter dados pessoais, a sua utilização, o seu armazenamento e o seu descarte ou guarda provisória ou permanente.

O que fazer antes de planejar uma reunião por videoconferência?

1) Definir quem poderá participar;

2) Verificar a obtenção de autorização dos participantes envolvidos, inclusive os palestrantes;

3) Em qual canal poderá ser feito o cadastro para participação. Mencionar todos;

4) Quais dados serão necessários para o cadastro;

5) Quando dados pessoais forem solicitados:

• considerar aqueles estritamente necessários;
• documentar a coleta, bem como todo o ciclo de vida dos dados pessoais, referente à reunião, antes de sua divulgação e estreia, e isso inclui: guardar as evidências de todo o processo;

6) Na estreia do evento, mencionar, juntamente às palavras iniciais, a Política de Privacidade e Proteção de Dados e onde o participante pode obter mais informações;

7) Caso disponibilize o chat, compartilhar o link para a Política de Privacidade de Dados;

8) As informações sobre a Política de Privacidade e Proteção de Dados deve constar da gravação. Sugestão: Coloque na tela as informações, antes de seu início;

9) A escolha do aplicativo de videoconferência também é essencial, de forma a garantir a segurança da reunião e um sistema de criptografia de ponta que assegure a proteção de vídeo e áudio, e o acesso de pessoas não convidadas;

10) Defina o conteúdo que será apresentado e compartilhe apenas parte da sua tela, além de cuidados com direitos autorais.

Outros cuidados que as Associações precisam ter:

1) Criação de salas privadas - só entra quem você permitir. Ao contrário de salas públicas, que permitem o acesso de qualquer pessoa através de um link;

2) Compartilhar apenas o conteúdo previamente selecionado para a reunião;

3) Microfone e câmera ligados apenas do apresentador, se possível. Desligar microfone e câmera dos demais com antecedência;

4) Apenas o organizador da reunião poderá criar sala de espera. A sala de espera é outro recurso possível de segurança, fazendo com que todos os convidados para a reunião esperem o organizador autorizar a sua entrada efetivamente;

5) Definir e aplicar restrições aos participantes. Quem poderá compartilhar a própria tela e enviar arquivos aos outros participantes, bloquear o envio de áudio e vídeo durante a videoconferência, são alguns exemplos de restrições;

6) Aprender como pode bloquear ou retirar um participante da sala (Poderá ser necessário!);

7) Manter o antivírus atualizado;

8) Manter o microfone desligado e somente ligá-lo quando for falar;

9) Compartilhar a reunião somente se tiver o consentimento ou outra base legal evidenciados;

10) Se o intuito for guardar a reunião em meio físico e/ou na nuvem, cuidar para que sejam adotadas medidas de segurança da informação. É preciso cuidado com cópias e visualizações não autorizadas do conteúdo.

Aconselhamos também, treinamentos periódicos de conscientização sobre segurança da informação e adotar boas práticas de uso de equipamentos e contratação de serviços.

Mesmo a ANPD ainda não aplicando sanções, se houver vazamentos e/ou falhas que prejudiquem o titular de dados pessoais, os prejudicados podem recorrer à proteção do consumidor ou ao Ministério Público.