Ninguém ficou de fora. Empresas, órgãos públicos, bancos, escolas, hotéis, diferentes serviços e setores – incluindo o de eventos – e a população em geral, todos fomos afetados pela Lei 13.709, aprovada em agosto de 2018 e com vigência dois anos depois.
Conhecida pela sigla LGPD, a Lei Geral de Proteção de Dados veio regular as operações de tratamento de dados pessoais, inclusive nos meios digitais, “com o objetivo de garantir a proteção dos direitos fundamentais de liberdade e de privacidade” de todos os cidadãos que estejam no Brasil.
É considerada dado pessoal qualquer informação relacionada a pessoa natural identificada ou identificável – nome, e-mail, telefone, endereço, IP (número identificador dado ao seu computador), placa do carro etc.
Há também dados que merecem proteção ainda maior, porque podem levar à discriminação. São os chamados dados sensíveis, que envolvem origem racial ou étnica, convicção religiosa ou filosófica, opinião política, filiação sindical, questões genéticas, biométricas, saúde e vida sexual de um indivíduo.
LGPD e poder
Mas não seria a LGPD redundante, uma vez que a privacidade já é garantida pela Constituição? A pergunta procede, dizem os especialistas. Mas a resposta é não. E a explicação é simples: a essência da LGPD passa pela questão do poder.
“Quem detém dados, detém o poder. Dados são o novo petróleo. A função do Direito é estabelecer, portanto, um limite aos detentores do poder político, do poder econômico e do poder tecnológico”, diz o advogado Pepe Chaves, do escritório Resende Chaves Advocacia.
Você se lembra do escândalo envolvendo a Cambridge Analytica?
Essa empresa foi protagonista de um vazamento de dados sem precedentes.
Ela lançou um aplicativo de teste psicológico pelo Facebook e teve acesso a dados de mais de 80 milhões de usuários da rede social. Grande parte dessas informações foi obtida sem consentimento, porque as pessoas que participaram do teste acabaram entregando à Cambridge os dados referentes a todos os amigos do perfil.
A coleta desses dados teve impactos tangíveis. Basta citar que a Cambridge Analytica trabalhou para a campanha eleitoral de Donald Trump, em 2016, nos Estados Unidos, e foi contratada também pelo grupo que promovia o Brexit (a saída do Reino Unido da União Europeia).
Isso comprova o argumento de que dados geram cada vez mais dados e os detentores deles exercem o poder.
Sanções e multas
Seguindo os passos da União Europeia, que criou a GDPR (General Data Protection Regulation), o Brasil também legalizou, com a LGPD, o controle dos cidadãos sobre seus dados pessoais e impôs regras para todos os que armazenam e processam essas informações.
A LGPD determina ainda punição para os infratores. As sanções vão desde advertência até multa de até R$50 milhões, além de publicização da infração e bloqueio parcial ou total do exercício de atividades relacionadas ao tratamento de dados.
Não foi à toa que a maioria dos sites na Internet passou a perguntar sobre o uso de cookies. Agora é preciso o consentimento do usuário para que os cookies façam o rastreamento de dados e armazenem as informações coletadas.
Vale lembrar aqui que a aplicação da LGPD é extraterritorial. Isso significa que, mesmo estando fora do Brasil, uma empresa que ofereça serviços ao país é obrigada a se adequar à Lei Geral de Proteção de Dados.
Por que o setor de eventos precisa se adequar à LGPD
No setor de eventos, dados são gerados, armazenados e utilizados o tempo todo, seja no credenciamento de palestrantes e convidados, na inscrição dos participantes, no controle de acessos, no e-mail marketing ou no processamento de pagamentos.
A LGPD não impede a coleta e o uso de dados, mas exige que eles sejam pertinentes e limitados às finalidades para os quais são tratados. Portanto, qualquer empresa, universidade ou associação que planeja fazer um evento precisa se adequar à lei.
Como a LGPD engloba tanto o uso de infraestruturas internas quanto de serviços de terceiros, tanto a sua instituição como a agência contratada para o evento não podem coletar qualquer tipo de dado dos usuários sem o consentimento deles.
Não pense que essa permissão já está implícita, por exemplo, no ato da inscrição do evento, quando a pessoa fornece um e-mail. Não mesmo! A autorização deve ser feita por meio de um contrato, que deixe claro quais informações serão coletadas, para que, por que e como o usuário poderá acessar os próprios dados.
A nossa recomendação é que você informe a sua Política de Privacidade e a de seus patrocinadores já na descrição do evento ou no momento da inscrição dos participantes.
O documento deve explicar como os dados serão obtidos, utilizados, armazenados e protegidos. Importante informar também como o usuário tem acesso às informações arquivadas, revelando total transparência aos donos dos dados.
Repare que a responsabilidade dos produtores de evento passa não só por coletar e utilizar os dados dos participantes de uma forma ética e transparente, mas também por zelar pelas informações armazenadas. Portanto, é bom contar com um esquema de segurança para impedir vazamentos e acessos de hackers.
Outra dica é fazer uma divulgação que respeita a privacidade do seu público. Você já sabe da força do e-mail marketing para os eventos, mas use essa estratégia com sabedoria. Ofereça sempre a opção de opt out para que o internauta possa se descadastrar a qualquer momento e saiba dosar o número de disparos de e-mails.
Além disso, nunca use mailings comprados ou trocados. Essa prática é ilegal.
Agentes de tratamento de dados pessoais
Para dissipar dúvidas suscitadas desde a entrada em vigor da LGPD, a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por implementar e fiscalizar o cumprimento da Lei de Proteção de Dados no Brasil, publicou, em maio de 2021, um guia que nos ajuda a entender melhor os atores envolvidos no processo.
É o chamado Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado.
A lei entende como agentes de tratamento de dados o controlador e o operador, que podem ser pessoas naturais ou jurídicas, de direito público ou privado.
O controlador é quem toma as decisões referentes ao tratamento de dados pessoais e o operador, aquele que realiza o tratamento dessas informações em nome do controlador.
Não são considerados controladores ou operadores os indivíduos subordinados, como funcionários, servidores públicos ou equipes de trabalho de uma instituição, pois atuam sob o poder diretivo do agente de tratamento.
Para ficar mais fácil o entendimento, imagine que a sua associação vai fazer um congresso e contrata a Sintagmas para realizar diversos serviços, como criar o site por onde serão realizadas as inscrições, fazer o marketing digital do evento e cuidar das transmissões.
A sua instituição seria a controladora e a Sintagmas, a operadora dos dados pessoais – ambas sujeitas às regras da LGPD e à fiscalização da ANPD.
A LGPD cria também a figura do encarregado, que deve ser indicado pelo controlador. O encarregado é o responsável por garantir a conformidade de uma organização, pública ou privada, à LGPD e a ele devem ser assegurados todos os recursos adequados para realizar suas atividades.
O encarregado ou DPO (Data Protection Officer) pode ser tanto um funcionário da instituição quanto um agente externo e a sua identidade e informações de contato devem ser divulgadas publicamente, preferencialmente no site do controlador.
Se você quiser se aprofundar neste assunto, consulte o guia publicado pela ANPD: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/2021.05.27GuiaAgentesdeTratamento_Final.pdf
Ressaltamos que a Sintagmas está apta a entregar os serviços prestados aos organizadores de eventos dentro das normativas da LGPD, operando com acuidade e protegendo tanto os dados da instituição controladora como dos participantes do evento.
