A LGPD, Lei 13.709/2018, é uma adaptação da GDPR (General Data Protection Regulation), originada na Europa, que tem dois principais objetivos: Proteger a privacidade das pessoas naturais e reforçar nosso direito à liberdade de expressão, que são direitos considerados fundamentais, universalmente. Da forma que vem sendo falado parece se tratar de algo novo, mas não é. Proteção de dados tem origem desde antes do nascimento de Cristo, com os Egípcios, que inventaram os hieróglifos como uma forma de comunicação codificada. Um pouco mais à frente, o extinto Império Romano inventou a criptografia de manuscritos para evitar que seus inimigos soubessem seu conteúdo, caso ele parasse nas mãos erradas. Em tempos mais modernos, a proteção de dados vem sendo discutida desde o início dos anos 80 por pessoas que tinham a visão (acertada) de que a informação seria o caminho do futuro, e que ela deveria ser protegida.     
    O Brasil está um tanto atrasado em relação a outros países, apesar de possuir, desde 2014, O Marco Civil da Internet, lei 12.965/2014, que foi a primeira regulamentação brasileira a cerca das responsabilidades dos provedores de conexão e de aplicativos, além de uma gama de direitos dos usuários desses serviços. Ela por si só não era suficiente para tratar de todos os aspectos que envolvem a proteção de dados de acordo com a GDPR, além de ter sido exigido do Brasil em convenções internacionais para que adotasse tais práticas.     
    - Mas afinal, pra quê serve? Ela serve para garantir que os dados de todas as pessoas naturais (que são pessoas físicas apenas) tenham seu devido destino de acordo com o interesse e concordância do titular dos dados. Ou seja, é a autonomia da pessoa em relação às suas próprias informações, podendo pedir esclarecimentos, edição ou exclusão de seus dados de (quase) qualquer lugar, sejam eles dados em sistemas digitais ou em papéis. - Então eu não preciso fornecer meu CPF nas lojas? Não. - Nem o endereço? Também não precisa. - Vale pra qualquer caso que envolva meus dados? Não, pois há exceções.    
        Eu não posso, por exemplo, ligar pro SPC/SERASA e solicitar a exclusão dos dados simplesmente porque são meus, ou reivindicar a exclusão deles de uma multa de trânsito, ou do IPTU, IPVA, de um banco de dados hospitalar... Trocando em miúdos, os serviços públicos não podem ser prejudicados pela existência do direito do titular dos dados, desde que estejam cumprindo sua finalidade. Outra coisa que pode acontecer é que, não concordando com o fornecimento de dados para uma determinada empresa, ela não será obrigada a conceder seus produtos ou serviços. A isso se dá o nome de política de privacidade, que todos estarão obrigados por lei a ter e a deixar claro para os titulares de dados, que deverão fazer uma escolha: se aceitam ou se não aceitam.     
    Grandes corporações como Google, Apple, IBM, Microsoft e Facebook possuem os dados como sua fonte principal de renda: é através da coleta deles, muitas vezes sem sabermos, que eles direcionam o conteúdo de nosso interesse, tanto em vídeos e mensagens como em anúncios de produtos. Sabe aquela sensação de “não consigo largar o telefone”? Ela é causada majoritariamente pelo conteúdo personalizado por algoritmos que interpretam nossos gostos e vontades de acordo com as nossas atividades, “vazando” informações com potenciais vendedores e fornecedores de serviços. Vazando está entre aspas porque essas situações estão quase todas previstas nos termos de uso e nas políticas de privacidade dessas empresas, porém os documentos são tão extensos que dificilmente nos damos o trabalho de ler e apenas aceitamos. Empresas menores acabam fazendo da mesma forma, mas sem o menor consentimento do usuário, como em companhias de marketing e crédito. O próprio SPC/SERASA, nosso maior órgão de proteção ao crédito, foi autuado e multado por vender dados de pessoas registradas como devedoras a terceiros, baseado nos conceitos da LGPD. São essas práticas que a LGPD quer coibir, ou no mínimo, deixar tudo mais claro para os titulares dos dados.

Estarão sujeitas todas as pessoas físicas e jurídicas (há exceções) que realizarem tratamento de dados de cidadãos brasileiros, natos ou naturalizados, e que comprovarem a necessidade da coleta para execução dos serviços a serem prestados, se limitando ao essencial apenas. Por exemplo: Qual o real interesse de uma loja de roupas em saber a religião de seus clientes? É necessário? Se não puder comprovar dentro das suas políticas de privacidade, é uma coleta irregular, e que mesmo assim o titular dos dados pode consentir com o uso. Quem pode contestar o uso desses dados, além do titular, são órgãos governamentais como o Ministério Púbico, Polícia Civil e Federal, além da ANPD (Autoridade Nacional de Proteção de Dados), que é o principal órgão de atuação no Brasil. Ele é quem regulamentará todas as atividades de tratamento de dados no país, criando instruções normativas sobre aquilo que a lei não falar. Em resumo, quem realizar tratamento de dados deverá prestar contas com a ANPD. As exceções estão no art. 4º da LGPD:
Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:
I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
II - realizado para fins exclusivamente:
a) jornalístico e artísticos; ou
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;
III - realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
IV - provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
Além disso, está em andamento uma consulta pública, que se extenderá até o dia 14/10/2021, para normatizar novas regras e exceções para empresas de pequeno porte, incluindo também as micro-empresas, EIRELI, EI e MEI. Esse é um tópico de extrema importância pois pode afetar positivamente associações sem fins lucrativos, organizações religiosas e filantrópicas que se encaixem em algum desses tipos de empresa. A intenção é facilitar o processo de cumprimento das normas da LGPD, desobrigando a contratação de um Encarregado, a prestação de informações de forma mais simplificada, flexibilização de prazos, entre outros. A situação da consulta e seu texto atual podem ser consultados na página abaixo:    

https://www.gov.br/participamaisbrasil/minuta-de-resolucao-para-aplicacao-da-lgpd-para-microempresas-e-empresas-de-pequeno-porte-

As instituições religiosas, até o presente momento, não receberam nenhuma espécie de tratamento diferenciado. Estão obrigadas a cumprir a LGPD integralmente, e pelo andar das coisas, poderá haver apenas uma exceção ou outra, mas jamais a sua desobrigação. Ainda existem várias incógnitas e nem os especialistas sabem dizer com clareza o que acontecerá com a Igreja Católica no Brasil, tendo em vista que a coleta de dados é prática centenária e fundamental para as atividades pastorais e de evangelização. O que podemos dizer é que a lei não veio para prejudicar , e sim para adequar o que tem sido feito a nível nacional. As instituições religiosas estão autorizadas a realizar a coleta dos dados, porém devem cumprir com o que diz a lei: coletando o essencial para sua finalidade e tendo uma política de privacidade sólida sobre o destino desses dados. A divulgação ou comunicação dos dados sem o devido consentimento do titular é expressamente proibido!
Ainda, deverão ser realizados periodicamente treinamentos com o quadro de funcionários a respeito das políticas de ação da instituição, envolvendo não apenas a lei mas também práticas de segurança da informação. As secretarias costumam ser alvos fáceis para assaltos, tanto físicos quanto digitais. Saber como utilizar corretamente seu instrumento de trabalho é uma obrigação de todo colaborador, sem falar nas rotinas administrativas.    
Por último, a Maistre, Juntamente com a Fava Proteção de dados, está realizando consulta pública à ANPD para saber se os dados históricos dos livros das paróquias, em meio físico e digital, poderão ser equiparados a dados de um Órgão Público, impedindo assim a sua exclusão definitiva dos assentamentos. A CNBB também tem feito movimentos na mesma direção, tendo em vista que é um assunto de extrema importância a todas as paróquias do Brasil. Para a sua diocese/paróquia se adequar à lei, será necessário entender as figuras do Controlador, do Operador e do Encarregado, que veremos abaixo.

Na LGPD, existem três agentes principais que possuem três funções distintas: O controlador, que é quem detém os dados. Não é o local onde eles estão, e sim o responsável pela coleta. Nesse caso, o controlador é a Diocese/Paróquia. O operador é o agente que realiza o tratamento de dados em nome do controlador (Diocese/Paróquia). Não é a secretária, nem o secretário, muito menos o padre ou os voluntários! - “Ah mas eles lidam diretamente com os dados porque são eles quem fazem a coleta”. Não se enquadram, não nessa situação. O controlador definirá um operador  quando desejar que um terceiro, sob sua subordinação indireta (sem relação de trabalho, como um funcionário), fizer operações de tratamento de dados em nome dele. São os casos das gráficas, das empresas de publicidade, dos sistemas de gerenciamento de dados, dos sistemas de monitoramento, etc.. O operador responde solidariamente por ações que resultem em prejuízo aos titulares de dados. Por último mas não menos importante, temos o Encarregado, que é a função equivalente ao DPO (Data Protection Officer) da GDPR. Ele é a pessoa física ou jurídica responsável pela comunicação entre a empresa e as Autoridades Nacionais, enviando relatórios de uso e tratamento de dados. Ele tem o dever de agir como uma figura neutra, recomendando ações de acordo com a lei e objetivando o seu cumprimento. Além disso, é a pessoa que irá realizar as ações solicitadas pelos titulares de dados, podendo editar, fornecer ou excluir os dados sem que para isso precise de autorização do controlador. O Encarregado é um agente autônomo dentro da instituição, ou seja, não é subordinado às vontades do controlador se estas forem contrárias à lei. Ainda, o encarregado é quem auxilia na criação das políticas de privacidade, termos de uso e consentimento, políticas de ação e treinamentos aos colaboradores. Sintetizando: O controlador obrigatoriamente será a empresa detentora dos dados; o operador será quem realiza o tratamento em nome do controlador, e o encarregado é aquele que planeja as ações do controlador e serve como ponte para as autoridades públicas.

Embora os efeitos penais da LGPD foram adiados para agosto de 2021, os titulares de dados já podem recorrer à justiça para reparar casos de uso indevido dos dados. É uma ação rápida e que costumeiramente se aplica o Código de Defesa do Consumidor, portanto quem tem o dever de provar que os dados foram usados com o consentimento do titular é o Réu, ou seja, a empresa. Não havendo o consentimento, a recusa na edição ou na exclusão dos dados, os tribunais têm aplicado uma multa fixada em dez mil reais, podendo variar conforme a extensão do dano. A partir de agosto, se não for prorrogada novamente, os órgãos públicos poderão fiscalizar as empresas e empregar as seguintes penalidades:     

- Advertência, com prazo para adequação;    
- Multa simples de 2% do faturamento da empresa, limitado a 50 milhões de reais;    
- Multa diária, dentro dos limites acima mencionados;    
- Tornar pública a infração cometida, servindo como alerta a outras pessoas;    
- Bloqueio dos dados;    
- Exclusão dos dados;

Desde 1992 a Maistre vem aprimorando seus serviços de acordo com as demandas dos clientes e também do Estado. Procuramos entender e adaptar as necessidades às realidades de nossos clientes, que sabemos, são muito diferentes de uma região para outra. O Sistema Pastoral migrou de uma versão desktop, com banco de dados local em ACCESS, para uma versão de servidor com banco de dados SQL Server, sendo a primeira empresa no Brasil na área de sistemas de informatização religiosa a aplicar essa tecnologia. Posteriormente, surgiu a possibilidade de distribuir o sistema por um Servidor Online, onde as paróquias e seus centros administrativos (cúrias ou mitras) conseguiram comunicar seus dados em tempo real, de qualquer local com acesso à internet. Na penúltima evolução, criamos estruturas de sistemas na Nuvem por meio de servidores dedicados da IBM, garantindo estabilidade de conexão e velocidade no acesso ao sistema. Em nossa última e mais avançada modificação, criamos o Sistema Pastoral Web, que é acessível de forma segura, simples e rápida por meio de uma página privada na internet.     
Após expor nossa história tecnológica, vem a parte que realmente interessa: O Sistema Pastoral é totalmente adequado às leis brasileiras, podendo fornecer as informações requisitadas em demandas judiciais de forma neutra e precisa. No próprio sistema possuímos recursos como:

- Separação de dados obrigatórios e facultativos dos fiéis;    
- Possibilidade de vincular o aceite da política de privacidade no cadastro do fiel;     
- Possibilidade de pseudonimização dos dados: desassocia as informações dos fiéis, mas é um processo reversível;    
- Possibilidade de anonimização: transforma dados em números ou os torna indecifráveis, tornando impossível de identificar o titular dos dados;    
- Relatórios gerenciais de acesso e uso dos dados, indicando usuário, data, hora e operação realizada;
- Registro dos acessos dos usuários do sistema, incluindo IP, Porta Lógica, Data e Hora da execução, mantidos pelo período mínimo de 6 meses;    
- Confiabilidade e criptografia dos acessos do sistema, impedindo invasões e demais atividades fraudulentas;

A LGPD, conforme vimos acima, é uma lei voltada para os titulares de dados nas instituições, portanto não é responsabilidade do sistema a adequação, criação e/ou estruturação dos procedimentos de nossos clientes. A Maistre garante a segurança das informações no ambiente digital e que os processos em seus sistemas estarão de acordo com a lei e com os devidos recursos necessários implantados. O controlador deverá procurar um encarregado, no mínimo, para executar as tarefas de compliance e governança de dados, o qual definirá as políticas de ação da Diocese/Paróquia.    

Para essa função nós recomendamos a Fava Proteção de Dados, pessoa jurídica especializada na prestação de serviços como encarregado, tendo como sócio proprietário Vinícius Miguel, advogado pós-graduado em direito digital com 10 anos de experiência em TI e 9 anos trabalhando no atendimento de nossas dioceses. Mais informações podem ser encontradas no site WWW.FAVAPDD.COM.BR ou pelo telefone/whats (51)99362-2922.