Topo

CPF na farmácia só com autorização, mas e os dados usados pelas igrejas?

Pete Linforth/ Pixabay
Imagem: Pete Linforth/ Pixabay

Rosália Vasconcelos

Colaboração para Tilt

29/10/2021 10h24Atualizada em 03/11/2021 16h33

Fornecer dados como nome, telefone e endereço para participar de atividades religiosas é uma prática comum. Agora, o que será feito com esses dados e como eles serão armazenados pelas instituições envolvidas é que merecem a atenção.

Entidades religiosas, assim como organizações privadas, como empresas de telefonia e farmácias, precisam se adequar às regras da LGPD (Lei Geral de Proteção de Dados) e garantir a privacidade de todos, segundo os especialistas ouvidos por Tilt.

Na prática, não existe um limite ou determinação sobre o que igrejas, centros, locais de devoção, entre outros, podem ou não colher de informações sobre seus participantes. O que precisa existir é que eles demonstrem de um modo claro e objetivo o motivo para obtenção de determinado dado.

E aqui vale um destaque: a LGPD é uma lei geral e não somente para documentos digitais. Por isso, arquivos físicos também entram na proteção de seu guarda-chuva.

Para tirar dúvidas e esclarecer as regras da lei aplicadas a instituições religiosas, a reportagem ouviu:

  • diretor da Associação Data Privacy Brasil de Pesquisa, Rafael Zanatta, que trabalha defesa do direito à privacidade;
  • advogado Renato Opice Blum, diretor da ABPD (Associação Brasileira de Proteção de Dados);
  • Coalizão Direitos na Rede, que representa organizações e pesquisadores e ativistas que defendem os direitos na Internet livre;
  • presidente do Instituto Sigilo (Instituto Brasileiro de Defesa da Proteção de Dados Pessoais), Victor Gonçalves;
  • diretor do IP.Rec (Instituto de Pesquisa em Direito e Tecnologia do Recife), André Ramiro.

Pedir CPF e dados bancários pode?

Cadastrar nome e número do celular para, por exemplo, convidar a pessoa para atividades sociais é uma justificativa plausível de necessidade da coleta, armazenamento e uso. Também não é ilegal solicitar informações como CPF, PIX ou dados bancários, a título de cadastro para dízimo ou doação.

Contudo, os entrevistados reforçam que o local religioso deve demonstrar que essas informações possuem uma finalidade específica, como controle financeiro da instituição. Caso não se sinta confortável em fornecer seus dados, você não pode ser obrigado a fazê-lo e nem ser coagido a tal.

De acordo com o advogado Opice Blum, o uso de informações por esses locais deve ser feito com consentimento expresso do indivíduo na maioria dos casos. Ou seja, a pessoa precisa deixar claro que concorda em compartilhar seus dados após tomar conhecimento do que será feito com eles.

A coleta e uso de dados sensíveis (como origem racial ou étnica, biometria, genéticos, orientação sexual, de religião, de saúde, opiniões políticas) precisam de uma camada extra de proteção, pois podem ser usados para fins discriminatórios.

Para o advogado, essa autorização de uso deve ser realizada separada da demais.

Ela poderia ser feita, por exemplo, por meio da assinatura (virtual ou presencial) de um documento que detalhe como a organizarão irá utilizar as informações e sobre como irá mantê-las em segurança.

Existe alguma situação em que não é preciso consentimento?

Existem algumas situações que podem coletar de dados pessoais sem que os participantes precisem autorizar, segundo os entrevistados.

"São os casos em que as igrejas [e outras entidades religiosas] estão envolvidas em campanhas de acolhimento, situações de emergência e de proteção à vida. Elas podem pedir informações sem o consentimento expresso", explica Rafael Zanatta.

Em qualquer caso, se houver desvio de finalidade do uso (como compartilhados com outras entidades religiosas, grupos políticos ou agentes econômicos), estaremos diante de uso indevido das informações e da violação das regras de proteção dos dados, completa.

Posso pedir exclusão de meus dados?

Sim. Henrique Bawden, coordenador de governança de dados e economia digital do Lapin, uma das 48 entidades que compõem a Coalizão Direitos na Rede, explica que é possível requerer a qualquer tempo a eliminação de informações armazenadas no banco de dados das instituições religiosas.

Além disso, da mesma forma como acontece com as empresas privadas, o indivíduo pode exigir que a instituição religiosa forneça cópia de todos os dados que ela tem a seu respeito, como uma espécie de relatório, direito previsto no artigo 18º da LGPD.

O professor Guilherme Klafke, pesquisador da FGV (Fundação Getúlio Vargas), ressalta que se ter um registro de quais medidas os locais tomam para proteger os dados dos participantes e manter o caminho aberto para que as pessoas entrem em contato para alterar dados são dois pontos fundamentais.

Em caso de vazamento, o que fazer?

Como qualquer agente de tratamento de dados, as igrejas e outras entidades religiosas devem manter atualizados os protocolos de segurança para toda "vida útil" dos dados envolvidos, desde a coleta, passando pelo armazenamento e finalizando com sua eliminação, quando não existe mais a necessidade de uso.

Um dos desafios para instituições religiosas mais tradicionais é que muitas coisas ainda permanecem em arquivos físicos. Nesses casos, eles devem ser mantidos em locais adequados, sem risco de incêndio ou destruição, com controle de acesso e definição clara de quem pode manuseá-los.

Para locais que utilizam sistemas virtuais, é importante manter os sistemas operacionais atualizados e com programas de segurança.

Isso significa manter controles rígidos para o acesso aos bancos de dados, implementar criptografia forte para seu armazenamento, além de educar as pessoas que fazem parte dessa administração a evitar comportamentos de risco, como clicar em links maliciosos ou pôr em risco o controle sobre uma senha de acesso, explicam os entrevistados.

Klafke ressalta que é necessário que as instituições, mesmo quando pequenas, mantenham uma política de segurança básica, já que trabalham com dados sensíveis.

Em situações de vazamento de informações, a pessoa lesada deve comunicar imediatamente à instituição religiosa e relatar o ocorrido nos canais da ANPD (Autoridade Nacional de Proteção de Dados). Ela é o órgão que vai investigar e, se for o caso, abrir um processo administrativo contra a entidade religiosa.

Se houver danos materiais ou subjetivos — relativos à reputação ou ao psicológico — também é possível ingressar com uma ação judicial contra o local.

"Vazamento de dados é muito perigoso porque pode comprometer a vida de uma pessoa, chegando ao ponto de sofrer ameaças e chantagens", diz o presidente do Instituto Sigilo.

"A ANPD deverá se pronunciar ainda sobre os padrões mínimos de segurança, sobretudo levando em consideração o tratamento de dados sensíveis. Isso não quer dizer que certos padrões de segurança já não possam ser adotados, sob risco de responsabilização posterior da entidade religiosa", concluiu André Ramiro, do IP.Rec.