Depois de mil reviravoltas, a Lei Geral de Proteção de Dados (LGPD, para os amigos) entrou ”quase” em vigor em setembro. É “quase” porque ainda não são aplicáveis as multas, por isso precisaremos esperar até agosto do ano que vem.
Para mim e para você isso é bom. A privacidade deve ser protegida, e se uma lei ajuda a não receber mais ligações de televendas no meu fixo, seja bem vinda.
Para nós, pessoas físicas, na verdade a lei também complica um pouco a vida: navegar em rede vai virar um continuo clicar em popups e checar checkbox para dar o nosso “de acordo” aos cookies, e a como e porque o site coleta e usa nossos dados. Mas, afinal, nós como PF estamos no lado confortável, o lado dos direitos que a lei garante.
Mas se você gerencia uma ONG, a complicação é bem maior. Todas as pessoas jurídicas que coletam e gerenciam dados pessoais, sejam com fins de lucro ou não, devem garantir aos “titulares” desses dados os direitos que a lei define.
Tem coisas rápidas e simples: colocar um aviso sobre os cookies no site, nomear um responsável, criar um canal de comunicação para o publico para assuntos relacionados…
Outros deveres vão ser mais complexos de cumprir. Antes de tudo, para qualquer dado pessoal, e ainda mais se os dados são “sensíveis” (ou seja: ligados a estado de saúde e orientações políticas, religiosas e sexuais) deve ser recolhido o consenso do titular, explicitando quais dados são coletados e porque. Alguém se cadastra com o email para assistir aquela live? Esqueça enviar depois um email pedindo doações se você não colocou essa finalidade no formulário de consenso, por exemplo.
Cada organização, depois, deve garantir aos titulares dos dadoes os direitos de:
1. Saber se a organização tem dados dele;
2. Se for, quais são;
3. Corrigi-los no caso estejam errados;
4. Revogar o consenso e pedir o cancelamento dos dados.
E titular é qualquer pessoa física pela qual se mantém dados: beneficiários, famílias dos beneficiados, funcionários, fornecedores, voluntários, doadores…
Conseguir isso implica que os dados sejam organizados, em um único lugar, que possam ser publicados e alterados para cada titular no site web… Quanto a sua organização está longe dessa situação? Na maioria dos casos cada grupo tem uma parte, em cópias espalhados em mil arquivos (nos anexos de email, nas nuvens, ou nos backups), repetidos (as vezes com erros). Quantas pessoas deveriam alterar quantos arquivos se um titular pede o cancelamento? O ideal seria zero, com o cancelamento feito automaticamente sob pedido; se for um ainda dá, mas se for mais é uma receita para o desastre.
A falta de uma gestão unificada dificulta também um outro grande dever que a LGPD impõe: garantir a segurança dos dados. Na sua ONG, quem pode acessá-los? Uma cópia no computador de cada um que precisou? E o computador pode ser pessoal, que vai embora quando a pessoa troca de emprego? Ou vocês têm uma única conta de Mailchimp a qual vários funcionários acessam? Se for assim, nem dá para tentar de garantir a segurança. Demais lugares a ser monitorados, atualizados, defendidos…
Enfim, depois que você tiver organizado tudo limpinho, precisa garantir que esse ordem vai ser mantido ao longo do tempo. E aqui vem o assunto dos processos. Um funcionário é desligado: sem um documento de tudo o que deve ser feito, e por quem, com certeza se vai esquecer alguma coisa. Se essa “coisa” é um dado pessoal de usuários, ou o banco inteiro dos dados dos usuários, você tem um perigo vagando pelo mundo fora do seu conhecimento e do seu controle.
Vale lembrar que as penalidades (e grande parte da lei) foram pensadas para os grandes gerenciadores de dados como Facebook e Google, mas é suficiente dar uma brecha a uma pessoa magoada para ser exposto e sua ONG ter a reputação manchada. Bom quando quem analisa sua resposta a um edital vai ler a queixa no Reclame Aqui daqui a dois anos, não é?
Mas voltamos para uma visão positiva. Depois de cumprir o que a LGPD manda você vai ter processos definidos: vai melhorar a qualidade e eficiência da sua organização, ou seja vão ter menos erros e menos esforço para treinar os novos. E vai ter os dados organizados em um único lugar. Se o consultor que vai te suportar no processo de “compliance” a LGPD não pensa só nos aspectos legais mas tem uma minima sensibilidade de negócio, aquele lugar vai ser um sistema de CRM (sistema de relacionamento dos “clientes”) que te vai ajudar a comunicar com todos os teus stakeholders mais agilmente e de jeito mais apropriado.
Acho que você já pensou mil vezes que precisava disso, mas sempre foi repelido para outras prioridades. A LGPD pode ser aquele empurre que te vai fazer dar finalmente o passo.