As organizações religiosas na LGPD

Em 30 de agosto deste ano, a Autoridade Nacional de Proteção de Dados (ANPD) abriu consulta pública para sua primeira minuta da resolução que visa, nos termos do artigo 55, XVIII, da Lei Geral de Proteção de Dados (LGPD), a regulamentar a aplicação da lei aos agentes de tratamento de pequeno porte, com o objetivo de flexibilizar as obrigações mínimas de governança imposta aos agentes de tratamento em geral. Chama a atenção o fato de que a minuta de resolução menciona entre seus possíveis beneficiários as organizações religiosas (artigo 2º, IV), ao mesmo tempo em que exclui das flexibilizações os agentes que realizem tratamento de dados pessoais de alto risco e em larga escala (artigo 3º).

A minuta de resolução atribui aos próprios agentes de tratamento a identificação de seu enquadramento, ressalvando a competência da ANPD para revisar a autodeclaração do agente de tratamento quando do exercício de seus poderes fiscalizatórios. Dessa forma, cabe às organizações religiosas avaliarem se o tratamento de dados que realizam pode ser simultaneamente considerado de "alto risco" e "em larga escala" conforme o disposto no artigo 3º, caput.

De acordo com a minuta proposta em seu artigo 3º, §1º, I: "Será considerado tratamento de alto risco para os titulares, entre outras hipóteses, o tratamento que envolva (…) dados sensíveis ou dados de grupos vulneráveis" — o que parece abranger a atividade das organizações religiosas. Já quanto ao requisito de "larga escala", a definição proposta pela minuta é vaga, dizendo que estaria presente "quando abranger número significativo de titulares", considerando-se volume, frequência, duração e extensão geográfica dos dados envolvidos.

No caso das organizações religiosas, é provável que a duração do tratamento seja longa, e a frequência, alta, apesar da inegável transformação do perfil religioso do Brasil. O número de titulares, os dados envolvidos e a extensão geográfica naturalmente variarão caso a caso, conforme a dimensão da organização. Organizações de menor porte, obviamente, tratarão um conjunto menor de dados, mas certamente esses dados serão representativos dentro do total de informações tratadas pela organização. A ANPD reconhece a necessidade de maiores orientações quanto a esses parâmetros ao indicar que disponibilizará guias e orientações que auxiliem os agentes de tratamento a avaliar se realizam tratamento de dados em larga escala.

Dada a problemática que se enxerga no Brasil quanto ao tratamento de dados pessoais por organizações religiosas, é exercício frutífero verificar como outros países disciplinaram esta matéria, em uma perspectiva comparada.

Na Europa, a General Data Protection Regulation (GDPR) também trata os dados de convicção religiosa como sensíveis, mas reconhece a existência de normas pré-existentes, e de diferenças nacionais relativas ao relacionamento da população com a religião e entidades religiosas. Nesse sentido, a Carta dos Direitos Fundamentais da União Europeia reconhece a proteção de dados e a liberdade religiosa nos artigos 8º e 10º, respectivamente, tendo o Recital 165 da GDPR estabelecido que o regulamento de proteção de dados europeu "respeita e não afeta o estatuto de que beneficiam, nos termos do direito constitucional vigente, as igrejas e associações ou comunidades religiosas nos Estados-Membros".

Em países com forte tradição religiosa, como Polônia e Espanha, as respectivas autoridades buscaram uma regulação das organizações religiosas desenvolvida de forma conjunta. Enquanto a Uodo (do polonês, Urząd Ochrony Danych Osobowych), organizou-se para fazer uma parceria com a Igreja Católica, na Espanha, a AEPD (do espanhol Agencia Española de Protección de Datos) encontra um cenário no qual o Direito Canônico estabeleceu novas regras sobre o tratamento de dados por congregações religiosas, buscando aproximar-se das disposições previstas na GDPR.

Por sua vez, outras autoridades, como a britânica Information Commissioner's Office (ICO) e a italiana Garante per la Protezione dei Dati Personali (GPDP), abordaram essa questão de forma aparentemente independente das organizações religiosas de seus respectivos países. A ICO oferece instruções detalhadas sobre todo tipo de tratamento de dados pessoais em seu site, e em seção própria a autoridade organiza e esclarece as normas específicas de tratamentos para organismos sem fins lucrativos, como associações religiosas. A italiana GPDP, por sua vez, lista breves disposições sobre os requisitos relativos ao processamento de categorias particulares de dados por associações, fundações, igrejas e associações ou comunidades religiosas, indicando a respeito de quais titulares e para quais objetivos gerais o tratamento pode ser realizado.

Especificamente quanto à flexibilização, a experiência comparada nos indica diversas formas para abordarmos essa questão, mas é prudente que quaisquer flexibilizações a serem feitas atentem para os direitos dos titulares. Assim, tanto aqueles que se relacionam com essas organizações na condição de membros, ou antigos membros, quanto pessoas externas às organizações devem ter seus direitos preservados, evitando-se que a necessária consideração das dificuldades destas organizações em atender a LGPD torne-se uma carta branca para tratamentos de dados invasivos, por exemplo para prospecção indevida de novos membros.

A aderência dessas regulamentações levou organizações religiosas em vários países da Europa a desenvolverem seus próprios modelos de adequação e interpretação dos dispositivos legais e formas de avisos de privacidade. Apesar disso, há de se considerar as diferenças da prática religiosa no Brasil e em outros países, bem como a existência ou ausência de uma estrutura da própria organização religiosa para instituir esses modelos setorialmente adequados.

Esse modelo, inclusive, é expressamente autorizado pela LGPD ao estabelecer, em seu artigo 50, a possibilidade de que os agentes de tratamento formulem, individual ou coletivamente, regras de boas práticas de governança que definam condições de organização e tratamento de dados pessoais. Essa prática de autorregulação demonstra-se relevante no caso de micro e pequenas empresas e de instituições sem fins lucrativos. Essas categorias de stakeholders têm dificuldade notória de atender a todas as exigências materiais e procedimentais da LGPD, as quais, em certos casos, podem mostrar-se inclusive desproporcionais.

A autorregulação na área de proteção de dados tem adeptos e críticos. Como benefícios, há o mais baixo custo, associado à autorregulação, quando comparado à regulamentação estatal externa, a adequação precisa às realidades específicas de cada agente de tratamento e a agilidade e o dinamismo em se adaptar a novas mudanças tecnológicas. Contudo, formas "puras" de autorregulação são por vezes criticadas por seus produtos — as regras propostas para essa autorregulação — ao falharem em observar fielmente os objetivos da lei que buscam regular. Por isso, a alternativa disponível de submeter a autorregulação a um debate com a ANPD para sua posterior homologação pela autoridade traz uma solução eficaz para lidar com os desafios de especificidade setorial e legitimação perante o interesse público.

Essa solução híbrida entre a autorregulação e a regulamentação governamental é conhecida por "autorregulação regulada", pois ao mesmo tempo que garante que pos agentes de um determinado setor determinem as regras a serem seguidas (autorregulação), há indicadores básicos previamente estabelecidos pelo governo que orientam a criação das regras de cada setor (regulada). Dessa forma, é possível garantir proteções mínimas estabelecidas pelas autoridades, mas permitir que cada setor desenvolva — à sua própria maneira — a melhor forma de cumprir com estes objetivos. Isso posto, é salutar que a minuta de resolução da ANPD apresente alguma porosidade, mas — enquanto norteadora da autorregulação dos agentes de tratamento de pequeno porte — a minuta precisa indicar com clareza suas premissas básicas. Enquanto a redação da minuta não definir o conceito de "larga escala", não será possível àqueles abarcados pelo texto propor regras aderentes às suas realidades e que sejam efetivas em cumprir com os direcionamentos da autoridade.

Portanto, para abordar corretamente as peculiaridades das organizações religiosas na condição de agentes de tratamento de pequeno porte nos termos da minuta da resolução, ou até mesmo com relação às regras gerais da LGPD, é importante observar a experiência internacional. Nesse cenário, aparece como oportunidade, a possibilidade de uma "autorregulação regulada", nos termos do artigo 50 da LGPD, possibilitando que as diversas matrizes religiosas formulem regras pertinentes às suas especificidades, com a chancela da ANPD — garantindo um grau adequado de proteção aos direitos dos titulares de dados pessoais.

Bernardo de Souza Dantas Fico
é advogado em Direito Digital e Proteção de Dados.
Gabriel Sônego Borner
é estagiário no escritório Sampaio Ferraz Advogados.
João Moreira M. S. Navas 
é advogado em Direito Concorrencial e Proteção de Dados.
Josie de Menezes Barros
é advogada em São Paulo, com foco em Direito Digital e Antritruste.
Juliano Maranhão
é sócio do escritório Sampaio Ferraz Advogados e professor livre-docente da Faculdade de Direito da Universidade de São Paulo.