O tratamento de dados pessoais por igrejas e organizações religiosas

Igrejas e organizações religiosas desempenham um relevante papel na vida social de muitos brasileiros. Tratam-se de espaços para exercício da fé, mas que também podem ser responsáveis pela organização de eventos comunitários, arrecadação de doações e promoção de cultura e educação.

O país é marcado pela diversidade religiosa, sendo garantidos pela Constituição a liberdade de crença e o livre exercício de cultos religiosos (artigo 5º, VI). Nesse contexto, a lei brasileira se preocupou diversas vezes em garantir a efetividade dessa regra. A própria Constituição determinou, por exemplo, a imunidade tributária das organizações religiosas, enquanto o Código Civil tratou de possibilitar a sua efetiva constituição ao definir as organizações religiosas como pessoas jurídicas de direito privado (artigo 44, IV), detendo, portanto, direitos e obrigações.

Ao deter personalidade jurídica, as organizações religiosas podem alugar espaços para realizar cultos, organizar eventos em nome próprio, contratar funcionários e exercer todas as atividades cabíveis a uma pessoa jurídica. Assim, também devem observar as legislações pertinentes ao exercer essas atividades, tais como as leis trabalhistas e a própria Lei Geral de Proteção de Dados Pessoais (LGPD).

A LGPD é aplicável a qualquer operação envolvendo dados pessoais de pessoas naturais (físicas), sendo claro, portanto, que organizações religiosas estariam tratando dados pessoais ao exercer atividades relacionadas aos seus respectivos empregados e colaboradores, ou quando mantiverem uma lista de voluntários, por exemplo. Essas operações de tratamento levam à necessidade de adequação das organizações às normas da LGPD, devendo as igrejas se preocupar com as fiscalizações da Autoridade Nacional de Proteção de Dados e do Ministério Público, nesse sentido.

Contudo, não é apenas nessas situações óbvias que há tratamento de dados pessoais no contexto religioso. Uma relação extremamente importante, e que não deve ser ignorada, é a da organização religiosa com os fiéis. O fato de as igrejas gozarem de imunidade tributária não afasta os deveres destas de encaminhar a declaração de Imposto de Renda de Pessoa Jurídica anualmente e de manter os livros contábeis atualizados (IN RFB 1420/2013).

Isso significa que todas as doações de fiéis são contabilizadas e registradas nos livros das organizações religiosas, havendo, por exemplo, a coleta do CPF do dizimista, o registro das compras realizadas com cartão e até mesmo, em algumas igrejas, a coleta de dados para emissão de boletos bancários de doação. Também há tratamento de dados pessoais no caso de missas de sétimo dia de falecimento, muito comuns em algumas religiões. Nesse caso, é comum que, além do nome do falecido, sejam coletados alguns dados adicionais daquele que solicita a missa, como nome e, quando aplicável, valor da doação.

Outras atividades desempenhadas no dia a dia das organizações religiosas também envolvem dados pessoais, como a organização e controle de participação em atividades missionárias ligadas à igreja ou até mesmo o oferecimento de serviços online por meio do site da organização religiosa. Já era comum mesmo antes da pandemia que as organizações religiosas utilizassem a internet como meio de aproximação com seus fiéis. Nesse sentido, há uma gama de serviços religiosos disponibilizados em sites oficiais, como aconselhamento com líder religioso, compra de produtos nas lojinhas virtuais e assinatura de newsletter. Além da coleta de cookies, há uma série de outros dados pessoais que estão envolvidos no consumo de produtos religiosos na internet.

É claro nesse sentido que o dia a dia da atividade de organizações religiosas envolve diversos tratamentos de dados pessoais que impõem a observância da LGPD. A legislação não dispôs sobre qualquer regime especial de aplicação a essas entidades, fazendo com que possuam as mesmas obrigações das empresas em relação ao tratamento de dados pessoais de funcionários e fiéis em geral. Há uma nítida obrigação para que as igrejas comecem a se preocupar com a segurança dos dados tratados e desenhem planos de contingência de vazamento de dados pessoais no âmbito de suas atividades.

As igrejas devem dar uma atenção especial ao tipo de dados pessoais armazenados, especialmente aqueles que se relacionam à convicção religiosa de fiéis, tidos como dados sensíveis pela legislação. Não é incomum que entidades religiosas com operações online sofram ataques hackers, havendo um dever de cuidado em relação à segurança do tratamento desses dados, que não pode ser ignorada.