LGPD para Igrejas: Aplicação da LGPD nas igrejas
A Theòs Sistemas Eclesiais desenvolve softwares para a Igreja Católica desde 1998, com o objetivo de tornar mais simples e prática a rotina das secretarias e das cúrias diocesanas, confira alguns ponto que preparamos sobre a aplicação da LGPD para Igrejas.
Mantendo nosso compromisso e preocupação com a gestão da Igreja, elaboramos esta cartilha para orientação de todas as Paróquias e Dioceses do Brasil.
É importante ressaltar que a Theòs já está seguindo, no Sistema Eclesial, as disposições da LGPD, Lei nº 13.709/2018, cuidando com atenção e responsabilidade dos dados pessoais dos fiéis e ajudando a Igreja, as (Arqui) Dioceses e Paróquias a se adequar à legislação.
As adequações nos sistemas que foram necessárias, já estão prontas ou em andamento e serão disponibilizadas no momento oportuno ao uso.
O QUE É A LGPD?
A Lei nº 13.709/2018 é a Lei Brasileira de Proteção de Dados Pessoais, pela qual nosso País busca se adequar aos parâmetros internacionais de proteção de dados pessoais.
O debate internacional sobre a proteção de dados pessoais ganhou importância em 2016, com os casos de uso de informações pessoais no plebiscito sobre o Brexit e a eleição de Donald Trump; o centro dos debates se deu com o Facebook e a Cambridge Analytica, empresa de mineração de dados, e acabou levando à criação do Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia.
QUAL É O IMPACTO NA IGREJA?
O centro dos debates sobre a proteção de dados pessoais se concentra na defesa dos direitos dos cidadãos aos próprios dados e ao sigilo e proteção destes dados. Dentre estes dados, aqueles que merecem a proteção mais intensa são os chamados dados sensíveis, dentre os quais se destacam os dados sobre “convicção religiosa”, nos termos do art. 5º, inciso II, da Lei nº 13.709/2018. Desta forma, todos os dados que uma igreja possui de seus fiéis, são considerados dados sensíveis e assim, são os que merecem maior atenção e cuidado.
A Igreja e todas as suas entidades devem se adequar às disposições legais, de modo a proteger os dados dos fiéis ao mesmo tempo em que evita
responsabilizações e penalidades, que podem ser muito pesadas.
O QUE A THEÒS ESTÁ FAZENDO PARA SE ADAPTAR?
Como sempre, a Theòs segue à frente e atualizada com as necessidades de nossos clientes, e já adequou o Eclesial, os documentos e controles relacionados com os serviços prestados à Igreja para cumprir todas as obrigações legais relativas à proteção de dados pessoais.
No entanto, cabe sempre lembrar que a legislação não se limita apenas à dados digitais, mas se aplica também a todos os documentos e livros físicos. Além disso, a Theòs não coleta ou trata dados pessoais, uma vez que o nosso papel é fornecer os sistemas e ferramentas para a coleta e tratamento de dados; o consentimento, o tratamento, o arquivamento e a exclusão de dados são papeis e responsabilidades das Paróquias. Assim, esta cartilha serve para auxiliar a todos os envolvidos no processo de adequação à LGPD, saiba mais sobre LGPD para Igrejas.
O QUE A IGREJA PRECISA FAZER PARA SE ADAPTAR?
Saiba como a Igreja e suas entidades devem proceder, e quais passos seguir para adequar-se às disposições legais, visando a proteção dos dados dos fiéis e também resguardando-se de possíveis penalidades.
Confira o vídeo especial com as principais pontos da LGPD para Igrejas, com participação do advogado Dr. Bruno Grego.
1 – CONSENTIMENTO
Agora, o primeiro passo para que a Igreja possa lidar com os dados pessoais sensíveis é lembrar que o principal requisito para coletar dados dos fiéis é o seu consentimento pessoal. Ou seja, sem a autorização do fiel, não se pode tratar, armazenar ou utilizar para qualquer fim as informações dos fiéis. Sejam estes dados físicos ou digitais, não importa. A Igreja deve se comprometer a tratar como dados sensíveis a simples combinação do nome ou outra informação de identidade, acompanhada de um ou mais dos seguintes elementos de dados:
- a) Cadastro de Pessoas Físicas (CPF);
- b) Carteira Nacional de Habilitação (CNH);
- c) Número de conta, número de cartão de crédito, ou número de cartão de débito acompanhados por senha;
- d) Senhas ou códigos de acesso.
Cabe lembrar que, pelo fato de sermos Igreja Católica, todos os dados detidos nos arquivos da igreja são dados de “convicção religiosa”. Assim, em suas relações com fiéis e demais pessoas, a Paróquia deve garantir e registrar claro consentimento da pessoa para o tratamento de dados pessoais, informando os tipos de dados recolhidos e o tratamento realizado.
Ainda, a Igreja, a (Arqui) Diocese ou a Paróquia deverão manter um Serviço de Atendimento ao Fiel e um Encarregado pelo Tratamento de Dados Pessoais com poderes de receber requisições e conceder acesso, cancelamento, atualização, correção e oposição a dados, assim como outras tarefas determinadas por Lei.
Como se adequar?
É importante cuidar para que o consentimento seja o mais confiável possível, para evitar futuros questionamentos. Pode ser feito por meio de documento assinado ou por um leitor de biometria, por exemplo. O sistema Eclesial já estará preparado para estes tipos de consentimentos, nas mais diversas áreas.
Se o consentimento for dado pelo fiel, seja para os seus próprios dados ou fornecendo dados de familiares, por meio de documento físico, por escrito, é importante cuidar do arquivamento permanente de forma segura e adequada.
Caso o fiel se relacione com a Paróquia pelo aplicativo ParóquiaNet, o aplicativo também fará a coleta do consentimento necessário para suas atividades. Outras atividades que sejam
realizadas na paróquia, como sacramentos e cursos, devem ter um consentimento específico, coletado separadamente.
O consentimento não pode ser genérico, deve ser específico para cada situação, pois o fiel deve ser informado sempre, qual será o uso que será feito com seus dados. Assim, uma pessoa pode ter que fornecer mais de um consentimento para a Paróquia.
A Igreja, a (Arqui) Diocese e as paróquias, deverão ter uma pessoa nomeada para ser o responsável pela proteção de dados. Essa pessoa também pode ter outras funções, mas é ela que irá responder aos fiéis ou aos órgãos competentes qualquer questionamento sobre os dados em posse das entidades. É necessário também ter e divulgar em um site, por exemplo, um canal específico de comunicação com esta pessoa, pode ser um e-mail, WhatsApp ou telefone exclusivo. No site deverá constar o nome do Encarregado pelo Tratamento de Dados e os meios de contato do seu “Serviço de atendimento ao Fiel”.
2 – TRATAMENTO
Por lei, a Igreja, a (Arqui) Diocese e a Paróquia deverão garantir e informar a seus Fiéis e demais pessoas os seguintes direitos:
- a) Confirmação de tratamento;
- b) Acesso aos dados;
- c) Correção de dados;
- d) Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei;
- e) Portabilidade dos dados a outra Igreja, como exigido por Lei;
- f) Eliminação dos dados pessoais tratados com o consentimento do titular, exceto quando a Lei permita de outro modo;
- g) Informação das entidades públicas e privadas com as quais foi realizado o uso compartilhado de dados;
- h) Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
- i) Revogação do consentimento, nos termos da Lei.
No seu relacionamento com os fiéis e demais pessoas, a Paróquia poderá aplicar seus dados nas seguintes atividades:
- a) Realizar os atendimentos paroquiais e na administração de sacramentos para o fiel; realizar os processos que houver
- iniciado e processar documentos;
- b) Oferecer ao fiel produtos e serviços paroquiais e responder suas perguntas e comentários;
- c) Enviar ao fiel confirmações e atualizações sobre suas atividades paroquiais e diocesanas, bem como informações
- relevantes, via quaisquer canais que o fiel tiver informado;
- d) Desenvolver estudos internos sobre os interesses, comportamentos e demografia dos fiéis, para compreender melhor suas necessidades e interesses, melhorar as iniciativas e personalizar sua atuação;
- e) Compartilhar suas informações pessoais com outras entidades da Igreja Católica, sendo que o receptor de tais dados assumirá as mesmas obrigações correspondentes ao responsável que transfere esses dados pessoais.
Como se adequar?
A Paróquia deve sempre se lembrar de que todos os dados detidos são sensíveis; assim, não podem ser concedidas quaisquer exceções para as regras de proteção de dados.
Os dados presentes no arquivo morto nos livros de registros de sacramentos, que já foram feitos e coletados antes da LGPD, naturalmente não terão consentimento escrito; no entanto, o dever de proteção a estes dados é o mesmo, e a Paróquia deve sempre coletar o consentimento dos interessados e fiéis para o tratamento e acesso a estes dados.
Os livros e os registros históricos devem ser cuidados e mantidos em sigilo; o fato de se tratarem de registros antigos não impede que aquelas pessoas tenham herdeiros e, assim, deve ser requerido o consentimento.
Dados que não são de manutenção obrigatória, como arquivos de dizimistas antigos e censos paroquiais, devem ser preferencialmente descartados, excluídas ou anonimizados, para evitar vazamento e responsabilidades.
3 – PROTEÇÃO
O núcleo da missão da LGPD é a busca de medidas de proteção efetiva dos dados pessoais. No entanto, as medidas de proteção são aquelas que mais dependem da atuação direta das Paróquias, de modo que o papel da Theòs e do Sistema Eclesial, nesse sentido, é coadjuvante.
O Eclesial já está preparado para detectar padrões de acesso indevido e para dificultar o acesso de terceiros aos dados do sistema; no entanto, é impossível que o sistema por si só proteja de forma efetiva os dados pessoais e, assim, as providências da Paróquia são essenciais para tanto.
Portanto, a Igreja, a (Arqui) Diocese e as Paróquias deverão manter à mão medidas para destruir ou preparar para destruição os dados de identificação pessoal dos fiéis e demais pessoas, caso seja solicitado, para que os registros sejam tornados ilegíveis ou indecifráveis, a chamada anonimização.
Ainda, Igreja, a (Arqui) Diocese e as Paróquias deverão publicamente divulgar sua Política de Privacidade contendo informações específicas aos fiéis e demais pessoas conforme exigido pela Lei. Exceto se determinado pela Lei de modo diverso, todos os empregados e voluntários da Igreja, da (Arqui) Diocese e das Paróquias deverão ser contratados e vinculados a requisitos contratuais para a proteção de dados de fiéis e demais pessoas.
Como se adequar?
A Paróquia deve evitar a qualquer custo a prática de deixar documentos sobre mesas e balcões, ao acesso de terceiros, ou sujeitos a extravios. Os arquivos físicos da Paróquia devem ser mantidos em sala fechada, com porta trancada e acesso restrito; preferencialmente, recomendamos a adoção de medidas extras de segurança, como acesso biométrico e câmeras de segurança.
Recomenda-se ainda o registro por escrito, em documento ou livro próprio, de todas as pessoas e oportunidades em que houver acesso ou entrada na sala de arquivos da Paróquia.
Deve ser terminantemente proibida a concessão de cópias ou mesmo o simples acesso para leitura de documentos e arquivos da Paróquia por terceiros, a exemplo de fotógrafos, músicos, organizadores de eventos, e quaisquer outras pessoas interessadas ou não.
Mesmo dentre a equipe da Paróquia, sejam empregados ou voluntários, ou até mesmo religiosos, deve haver restrição rígida do acesso à sala de arquivo, para evitar vazamento de dados.
Em relação ao Sistema Eclesial, o login de acesso deve ser sempre pessoal e intransferível; assim, é absolutamente proibido que sejam compartilhados ou revelados o usuário e senha de acesso ao sistema, e nunca deverá haver um usuário geral com senha genérica, usado por mais de uma pessoa.
Sempre que houver a contratação de empregados ou admissão de voluntários, por menor que seja o período, antes de qualquer atividade deve ser assinado termos de sigilo e responsabilidade por todos os dados pessoais.
4 – ACESSO
Como fica bastante evidente, o acesso de pessoas aos dados pessoais deve ser absolutamente restrito; a Theòs já se preparou para este cenário e implantou controles de acesso mais rígidos que serão aplicados assim que as obrigações legais o exigirem.
Deve-se cuidar para que somente as pessoas vinculadas contratualmente à Paróquia, com termo de sigilo assinado, e cujo acesso seja indispensável para as atividades religiosas e pastorais, tenham acesso aos dados, sempre de forma individualizada e devidamente registrada em livro ou por controle digital biométrico.
Em caso de vazamento de dados que materialmente comprometa a segurança, confidencialidade, ou integridade de dados pessoais, a Igreja, a (Arqui) Diocese e a Paróquia deverão notificar os indivíduos afetados o mais cedo possível, exceto se de outro modo determinado por Lei; medidas preventivas e corretivas adequadas deverão ser adotadas pela Paróquia.
Notificações de vazamento de dados devem ser realizadas individualmente às pessoas afetadas por meio escrito, telefônico ou eletrônico, exceto se a Lei aplicável especificamente determinar alçadas de notificações substitutivas.
Ainda, em caso de vazamento de dados, a (Arqui) Diocese e a Paróquia deverão notificar as Autoridades de Proteção de Dados adequadas e a Theòs dentro de 24h (vinte e quatro horas) para as medidas que se fizerem adequadas.
Vale novamente lembrar, que dados não são apenas os arquivos e registros digitais. Os documentos físicos, em papel, livros e registros históricos também são considerados dados protegidos pela LGPD.
Como se adequar?
Devem ser criados usuários únicos e individuais por pessoa, para acesso ao Sistema Eclesial, além de manter o nível de acesso adequado às suas atribuições, de modo a evitar acessos indevidos.
Deve ser terminantemente proibido o compartilhamento de usuário e senha do Sistema Eclesial, pois isso prejudica a auditabilidade dos acessos ao sistema e o esclarecimento de eventuais vazamentos.
Principalmente, deve ser absolutamente proibido, com vigilância específica na Paróquia, a produção de cópias de quaisquer documentos dos arquivos da Paróquia, bem como a impressão de relatórios e entrega de documentos a terceiros sem o expresso consentimento, preferencialmente biométrico ou por escrito, da pessoa a quem os documentos se referem.
O acesso de pessoas, que não sejam funcionários ou que não assinaram os termos de sigilo e responsabilidade com os dados, para a parte interna da secretaria paroquial ou diocesana, deve ser proibido. Pois podem haver documentos, livros, ou mesmo telas de computador com dados sigilosos à mostra.
Por este motivo, não podemos nos esquecer de que a prática de deixar documentos sobre balcões e mesas na Secretaria da Paróquia gera um risco gigantesco de vazamento de dados, e todos devem estar atentos para que isso não aconteça.
5 – EXCLUSÃO
Um dos direitos conferidos aos fiéis e demais pessoas pela LGPD é a solicitação de exclusão de seus dados pessoais. Este é um pedido que só poderá ser feito junto à Paróquia, pelo seu Serviço de Atendimento ao Fiel e, assim, a Paróquia deve se preparar para receber eventuais pedidos de exclusão e atendê-los.
Os dados que a Paróquia tenha sobre quaisquer pessoas, assim, podem ser objeto de acesso, cancelamento, atualização, retificação e oposição, a ser exercida por pedido formulado junto à Paróquia.
Ne entanto, embora qualquer pessoa possa requerer cancelamento de seu cadastro e a eliminação de suas informações pessoais, a Paróquia terá de reter parte ou todas as informações prestadas em determinados casos, com a finalidade de resolver disputas ou reclamações, detectar problemas ou incidências e solucioná-los, e cumprir as disposições legais e contratuais aplicáveis; portanto, embora a Paróquia comprometa-se a empregar os melhores esforços, poderá ocorrer que nem todas as informações pessoais sejam definitivamente eliminadas, podendo a Paróquia, ainda, manter os seus dados nos sistemas da Theòs para as seguintes finalidades:
- a) Cumprimento de obrigação legal ou regulatória pela Igreja;
- b) Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- c) Transferência a terceiro,
- desde que respeitados os requisitos de tratamento de dados dispostos em Lei;
- d) Uso exclusivo da Igreja, vedado seu acesso por terceiro, e desde que anonimizados os dados.
Como se adequar?
Aplicando a LGPD para Igrejas, a Paróquia não pode esquecer que, no caso dos sacramentos, os dados coletados são utilizados para o cumprimento de obrigações legais e para atendimento das Concordatas entre a República Federativa do Brasil e a Santa Sé; assim, muitos dos dados não poderão ser excluídos, o que deverá ser informado ao fiel.
No caso de documentos facultativos, como o cadastro de dizimistas antigos, cursos e eventuais censos da comunidade, estes dados deverão ser anonimizados ou excluídos quando solicitados pelos fiéis.
Ou seja, um fiel pode solicitar a remoção de seu cadastro de dizimista. A Igreja, para atendê-lo, pode optar por apenas tornar anônimo este cadastro, a fim de manter a integridade das ofertas e estatísticas paroquiais. Por outro lado, o mesmo pedido não pode ser atendido quando se tratar de dados sacramentais, como Batismo e Matrimônio, pois são dados necessários para atender a legislação da Igreja.
É possível que o fiel requeira a transferência de seus arquivos entre Paróquias; nesse caso, a Paróquia de destino deverá requerer por escrito, com o consentimento das pessoas sobre as quais se refiram os dados, a transferência dos arquivos, e este requerimento e consentimento deverão ser arquivados permanentemente pela paróquia de origem.
Embora a LGPD permita o compartilhamento de dados entre as Paróquias e (Arqui) Dioceses; esta deve ser vista como uma medida excepcional e que sempre precisará do consentimento do fiel ou da anonimização dos dados.
OUTRAS RECOMENDAÇÕES:
- Mantenha o ambiente sempre organizado, assim qualquer papel chamará a atenção e ficará mais fácil evitar vazamentos;
- Nunca faça censo paroquial, coletando dados que possam identificar as pessoas, como nome e números de documentos.
- Colete e armazene o menor volume de informação possível. Guarde apenas o que for indispensável, pois em caso de vazamentos isso fará muita diferença.
- Não armazene fisicamente documentos e livros no mesmo ambiente de trabalho, pois assim não será possível auditar o acesso a estes registros.
- Nunca fotografe ou envie digitalmente imagens de documentos, relatórios ou livros. Pois assim perderá o controle sobre estes dados, que são de sua responsabilidade.