Há muitos problemas na forma como o tratamento de dados de fiéis tem sido realizado, sem a identificação da correta base legal, respeito aos princípios da transparência e segurança da informação
Milena Maltese Zuffo (*)
É comum acreditarmos que organizações religiosas não realizam tratamento de dados pessoais ou que, quando o fazem, as atividades estariam restritas ao tratamento de dados pessoais de funcionários, ou para fins de contabilidade de doações ou organização de eventos. Contudo, há extenso – e preocupante – tratamento de dados pessoais na interação das igrejas com fiéis, restando a dúvida: com a entrada em vigor da LGPD, continua sendo possível realizar o tratamento indiscriminado desses dados?
Ao coletar, utilizar e armazenar informações sobre pessoas físicas identificadas ou identificáveis, é comum que as igrejas manipulem dados pessoais sensíveis, aqueles elencados no artigo 5, II, da LGPD e dentre os quais chamam atenção os dados de convicção religiosa e de filiação a organização de caráter religioso (bem como dados biométricos, como fotos e digitais, por exemplo). A lei estabeleceu uma lista de dados que compõem uma categoria especial de dados pessoais. Esses dados sensíveis demandam uma atenção maior, uma vez que apresentam um potencial danoso mais elevado ao titular (em caso de incidentes), decorrente do maior risco de discriminação.
Assim, optou-se por limitar as hipóteses legais de tratamento desses dados.
Se é verdade que o potencial de dano é maior e o valor das indenizações deve levar em consideração a extensão do dano, o prejuízo monetário decorrente de um incidente de proteção de dados que envolva dados sensíveis tenderá a ser maior quando comparado com outros dados pessoais em geral. Nesse contexto, chamam atenção dois tratamentos específicos realizados por organizações religiosas, um mais antigo e comum, principalmente no âmbito das atividades que consiste na abordagem de potenciais fiéis de casa em casa, e o outro, mais novo e cada vez mais difundido, que consiste na utilização de câmeras de inteligência artificial durante cultos religiosos.
Ao menos desde o início de 2019, algumas igrejas têm utilizado câmeras de reconhecimento facial para traçar o perfil do fiel, obtendo relatórios sobre a assiduidade de seu público e o humor durante os cultos, visando aumentar o engajamento em relação às atividades religiosas, dentre outras questões. Há duas empresas especializadas no setor religioso no Brasil (Igreja Mobile e Kuzzma), ambas apresentadas durante a 15ª Expo Cristã realizada em São Paulo, em 2019. A empresa brasileira, Igreja Mobile, desenvolveu os serviços para atender a demanda específica de religiosos nesse sentido, e realiza diversos tratamentos, além dos atrelados aos dados religiosos e biométricos dos fiéis, prometendo a entrega de relatórios de número de pessoas classificadas por gênero.
A utilização desse tipo de serviço aponta para um grande avanço tecnológico e aumento de engajamento em relação ao antigo método de abordagem pela entrevista porta a porta das organizações religiosas. Os integrantes da igreja dividem o mapa do bairro e passam a abordar o maior número possível de casas, convidando os moradores a comparecer ao encontro religioso.
Aparentemente, não haveria o tratamento de dados pessoais, se não fosse pelo fato de que é extremamente comum que as igrejas façam anotações sobre os moradores da casa, a receptividade em relação a assuntos religiosos, se a família já é filiada a alguma organização, etc., guardando essas informações e dividindo com os demais membros que participam da parte operacional da igreja.
Há muitos problemas na forma como o tratamento de dados de fiéis tem sido realizado, sem a identificação da correta base legal, respeito aos princípios da transparência, segurança da informação e direito de autodeterminação informativa dos titulares. Dificilmente os titulares sabem que estão sendo gravados com a finalidade de identificação de perfil do público da igreja, ou que seus dados estão sendo tratados, quando pensam participar de uma conversa informal com membros das organizações religiosas.
Obediência às normais legais
Ora, as atividades de tratamento não são proibidas, mas devem obedecer as normas legais para serem exercidas. Não há qualquer exceção específica de aplicação da LGPD em relação a organizações religiosas. Nesse sentido, dentre as exceções legais, dispostas no artigo 4º, chama atenção a de realização por pessoa natural para fins exclusivamente particulares e não econômicos. Inicialmente, nota-se que as entidades religiosas não são pessoas naturais para fins de direito civil e, em se tratando de tratamento realizado por membros da igreja, também não é tão certa a aplicação dessa exceção.
Citamos o caso paradigma na União Europeia (UE), discutido no âmbito de aplicação do regulamento europeu de proteção de dados, a GDPR, quanto à validade da sanção aplicada pela autoridade de proteção de dados da Finlândia, em 2013, contra as testemunhas de Jeová, no tratamento de dados pessoais durante a prospecção de novos fiéis. Em 2018, o Tribunal de Justiça da União Europeia decidiu que a regras de proteção de dados são aplicáveis ao tratamento de dados realizado por grupos religiosos, ainda que fora da dependência das igrejas e por seus membros, não sendo possível argumentar pela exceção de notas pessoais realizadas por pessoas naturais nesses casos.
As igrejas brasileiras devem ter especial atenção na utilização de novas tecnologias. A utilização de tecnologia de reconhecimento facial chama especial atenção, considerando que seu uso é objeto de amplo debate na sociedade. Não há consenso sobre a possibilidade de utilização desse tipo de tecnologia para verificação de presença escolar, havendo multas aplicadas na União Europeia nesse sentido, e até mesmo seu uso para fins de segurança pública tem sido objeto de pesquisa e deve ser pacificada na UE no contexto da regulamentação do uso de inteligência artificial.
Apesar de não haver qualquer decisão ou discussão parecida no Brasil, o caso europeu é importante por apresentar o primeiro enfrentamento do tema. Ademais, a legislação brasileira sofreu considerável influência da legislação da UE, havendo uma expectativa de aplicação e de interpretação semelhante das leis. Assim, é urgente que as organizações religiosas brasileiras comecem a tratar do tema de proteção de dados pessoais dos fiéis com a seriedade necessária. O Brasil já possui uma Autoridade Nacional de Proteção de Dados estruturada e que deve começar a investigar violações à LGPD e aplicar sanções em agosto de 2021.
(*) Advogada e especialista em Direito Digital e Proteção de Dados da Roncato Advogados