A adequação de igrejas e instituições religiosas à LGPD
15 de março de 2021, 17h05
A Lei Geral de Proteção de Dados (LGPD) foi sancionada em 2018 e entrou em vigor no dia 18/9/2020. Seu objetivo é "proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural". Na prática significa dizer que aqueles que utilizam dados pessoais em sua atividade profissional deverão restringir a coleta e utilização às hipóteses previstas em lei, bem como adotar padrões de segurança e medidas adequadas para garantir a proteção destes dados.
Conforme disposto no artigo 3ª, a LGPD "aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados". Nesse contexto, e considerando a inexistência de hipótese de exclusão, sem sombras de dúvidas a lei se aplica a todas as instituições religiosas do Brasil, especialmente aquelas que mantêm registros de dados pessoais de seus membros, para finalidades diversas.
Como bem sabemos, a atividade religiosa naturalmente requer a coleta de inúmeras informações pessoais, tanto de seus fiéis quanto de seu corpo administrativo, prestadores de serviços e pastoreio.
Pela LGPD, o tratamento, além de estar alinhado aos princípios da lei, deve possuir um fundamento claro e específico, o qual chamamos de "base legal" ou "hipóteses de tratamento".
De acordo com o artigo 7º da LGPD, são dez as hipóteses de tratamento, sem ordem de prioridade, entre elas: 1) consentimento; 2) cumprimento de obrigação legal; 3) execução de contrato; 4) exercício regular de direitos em processo judicial, administrativo ou arbitral; e 5) legítimo interesse.
À primeira vista, o assunto pode parecer facilmente resolvido, basta estabelecer que todo o tratamento de dados ocorrido no contexto da atividade religiosa será fundamentado no "consentimento livre e inequívoco" dos titulares de dados (pessoa natural a quem se referem os dados pessoais que são objeto de tratamento), afinal a expressão de fé naturalmente deriva do consentimento.
Em um país laico como o Brasil — não ateu, mas que permite a expressão de diferentes crenças e religiões, o que inclusive é garantido como direito fundamental pela Constituição Federal —, é evidente que os indivíduos são livres para escolher sua fé e sua vinculação a um conjunto estabelecido de crenças.
No entanto, além de não ser a mais adequada, sob o prisma da LGPD, a utilização da base do consentimento requer especial atenção, isso porque ele pode ser revogado a qualquer tempo pelo titular de dados, colocando em "cheque" toda a operação de tratamento de dados. Desse modo, sem sombras de dúvidas, a escolha do consentimento não é a melhor solução! Por outro lado, a definição da base legal adequada a cada tratamento é essencial para estar em compliance com a LGPD, então como resolver isso?
Em que pese a costumeira primazia dos livros e preceitos considerados sagrados em sua respectiva comunidade, as instituições religiosas, como instituições civis organizadas, são regidas por estatutos e regimentos internos, os quais devem ser seguidos para fiel cumprimento das atividades propostas.
Nesse cenário, embora, inegavelmente, o relacionamento com as igrejas e denominações diversas comece, na massacrante maioria dos casos, com o consentimento inequívoco do interessado, como qualquer contrato de natureza cível, o vínculo somente se concretiza e perpetua pela declaração de vontade estabelecida contratualmente.
Sob a ótica jurídica, contratos são acordos de vontades que estabelecem, em muitos casos, obrigações bilaterais, podendo ou não ser escritos. Para que sejam válidos, o Direito Civil estabelece requisitos objetivos — objeto lícito, possível e determinável ou determinado — e subjetivos — capacidade das partes, declaração de vontade livre e pluralidade de partes. Quanto à forma, ela será exigida apenas se houver previsão legal específica.
Dito isso, ainda que seja verbal — ou seja, sem forma específica —, o contrato pode ser válido, inclusive no contexto das instituições religiosas, podendo servir de base legal para o tratamento de dados pessoais.
É claro que há desafios a essa lógica, como vícios de consentimento decorrentes de imposição familiar e/ou social, bem como o tratamento de dados pessoais de recém nascidos, menores e/ou pessoas incapazes civilmente. Porém, ainda assim, a base legal de execução pode ser a principal na maioria das situações, deixando apenas limitada margem para se argumentar pelo consentimento.
Vale dizer, ademais, que outro caso de exceção à execução de contrato pode ser obrigação legal ou regulatória, aplicável a situações de casamentos religiosos com efeitos civis, Direito Canônico (naquilo que há internalização via tratado internacional), bem como tratamento de dados de prestadores de serviços de funcionários registrado, por exemplo.
De qualquer forma, é importante ressaltar que o consentimento — em qualquer caso, inclusive no tratamento de dados pessoais por instituições religiosas — apresenta desafios, decorrentes dos impactos da sua revogação e do pedido de exclusão pelo titular.
Pois bem. Uma vez superada a questão da base legal, devemos considerar ainda a análise da sensibilidade dos dados relativos à convicção religiosa.
O artigo 5º, II, da LGPD considera como dado pessoal sensível aqueles relativos à "origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural" (grifos das autoras).
Como se pode observar, a lei é clara quanto à classificação da convicção ou afiliação religiosa como dado pessoal sensível. Por outro lado, os dados dessa categoria só poderão ser tratados nas hipóteses previstas no artigo 11 da LGPD, quais são: 1) consentimento específico e destacado para finalidade específica; 2) cumprimento de obrigação legal; 3) execução de políticas públicas previstas em lei ou regulamentos, pela Administração Pública; 4) realização de estudo por órgão de pesquisa; 5) exercício regular de direito previsto em contrato ou processo judicial; 6) proteção da vida; 7) tutela da saúde; e 8) garantia de prevenção à fraude.
Desse modo, sendo a convicção religiosa um dado sensível, a igreja ou instituição religiosa deve tomar especial cuidado com o tratamento e, principalmente, no compartilhamento de informações pessoais.
Isso porque, em que pese a sustentabilidade do tratamento de dados pessoais, inclusive os sensíveis, possa ser garantida com a definição da base legal "execução de contrato", devemos nos atentar ao fato de que qualquer informação emitida por ela a respeito de determinada pessoa, automaticamente revelará sua convicção religiosa e/ou filiação a organização religiosa.
Em outras palavras, o tratamento de dados pessoais realizado "porta adentro" (que podem ser sensíveis ou não) deve ser cuidadosamente mapeado e enquadrado nos fundamentos da LGPD. No entanto, o tratamento realizado "porta afora", ou seja, o compartilhamento de documentos que contenham informações pessoais (certidões, comprovantes de pagamentos, compartilhamento de informações entre Igreja e demais instituições), automaticamente deverá receber o tratamento de dados pessoais sensíveis.
Como visto, os desafios são imensos, contudo, a adequação a uma lei de aplicação compulsória pode ser vista como uma excelente oportunidade para difundir uma eficiente e verdadeira cultura de respeito e proteção aos direitos fundamentais dos seres humanos, valores altamente correlatos aos princípios religiosos.
Encontrou um erro? Avise nossa equipe!