Menu fechado

LGPD nas instituições culturais

A Lei nº 13.709/2018, ou, como é mais conhecida, Lei Geral de Proteção de Dados Pessoais – LGPD, regula o tratamento de dados pessoais, estando alinhada com movimento internacional de proteção da privacidade[1]. Com a sua entrada em vigor, tanto grandes empresas e órgãos públicos quanto pessoas físicas e instituições sem fins lucrativos tiveram que se adaptar ao novo regramento, adotando medidas para evitar o uso indiscriminado de dados pessoais e que mitiguem os riscos de vazamentos.

Assim, apesar do caráter cultural, artístico e educativo de suas atividades, as instituições do setor cultural também precisaram se enquadrar às novas regras, passando a implementar cláusulas relativas à LGPD em seus contratos, como também abordar de forma mais efetiva a questão da segurança da informação.

Tendo em vista a realidade distinta entre as grandes empresas – com maior capacidade e recursos para conduzir a adequação à legislação de proteção de dados – e aquelas de pequeno porte ou mesmo as entidades sem fins lucrativos, a LGPD prevê que a Autoridade Nacional de Proteção de Dados – ANPD deveria criar regramento específico aos entes de menor porte (art. 55-J, XVIII). Surge, então, em 2022, a Resolução CD/ANPD nº 02, segundo a qual são considerados “agentes de pequeno porte”:

“microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.”

Nela, a ANPD flexibilizou as regras da LGPD, permitindo a tais agentes, por exemplo: (1) a execução de um registro simplificado das operações de tratamento de dados pessoais; (2) não precisar indicar um funcionário específico para se encarregar da gerência do tratamento de informações – o conhecido “DPO”; e (3) estabelecer uma política simplificada de segurança da informação, que traga simplesmente os aspectos essenciais para proteger os dados de modalidades de tratamento consideradas inadequada ou ilícita. Com isso, os museus e instituições culturais puderam se adaptar às regras da LGPD com maior facilidade.

Porém, quando falamos de tratamento de dados pessoais por museus e instituições, fala-se pouco sobre uma disposição da LGPD que cria uma exceção à atuação destes entes:

Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:

II – realizado para fins exclusivamente:

a) jornalístico e artísticos;

O afastamento da LGPD quando o tratamento de dados pessoais está conectado à uma finalidade artística vincula-se ao princípio constitucional da liberdade de expressão, de modo a garantir que a LGPD não funcione como um limitador da expressão de artistas e autores. Esta exceção não permite que as instituições utilizem dados pessoais de forma arbitrária e indiscriminada, mas garante que todos aqueles que realizem o tratamento de dados pessoais com um objetivo claramente artístico possam continuar a fazê-lo sem se preocupar com regras que, muito provavelmente, dificultariam muito ou mesmo inviabilizariam as suas criações. Deste modo, a exceção é aplicável tanto na etapa de criação da obra quanto quando ela é exposta e divulgada.

Na primeira situação, a tutela recai sobre a escolha dos processos de criação e escolhas estéticas, o alinhamento político-ideológico da obra, a sua preparação, o seu planejamento, o seu ensaio e a escolha de materiais a serem utilizados. Considerando que dados pessoais são qualquer informação que faça com que alguém seja identificável, biografias e a pintura de um retrato de pessoas reais são exemplos de obras que envolvem dados pessoais. Estes casos são pouco aplicáveis às instituições culturais, porém bastante úteis para viabilizar a criação de novas obras, que podem vir a serem expostas nestes locais. Por exemplo, se não fosse tal previsão do art. 4º, obras como os retratos de Esperança Garcia por Gabriel Archanjo poderiam ser inviabilizadas pela legislação de proteção de dados.

Já na etapa de divulgação, que é de maior interesse e utilidade às instituições, a limitação da LGPD se aplicaria, por exemplo, à exposição, publicação e divulgação das obras em meios de comunicação. Ao nosso ver, a exceção do art. 4º permitiria, por exemplo, que o museu divulgue informações sobre o autor de uma obra (em postagens em redes sociais, em seu site etc.) sem a necessidade de autorização prévia.

Porém, mesmo com a existência desse afastamento da LGPD em situações de cunho artístico, terceiros afetados negativamente pela divulgação de informações pessoais poderiam procurar reparações por danos morais ou materiais. Dessa maneira, propomos algumas boas práticas na utilização de dados pessoais para a produção ou veiculação de obras de arte:

  • Coletar somente os dados estritamente necessários para o cumprimento da finalidade de criação ou exposição de uma obra de arte;
  • Sempre que possível, obter o consentimento dos titulares para a utilização de seus dados;
  • Adotar medidas de segurança para evitar “vazamentos”;
  • Anonimizar as informações cuja a divulgação não seja essencial;
  • Não reutilizar documentos físicos contendo dados pessoais, e descartá-los de forma adequada (picotando-os ou incinerando-os, por exemplo).

Por último, vale ressaltar que a coleta e o tratamento de dados não se aplicam somente a formulários e a grandes quantidades de informação, como muitos acreditam. A simples coleta de assinaturas ou de informações sobre o público já é considerado um tratamento de dados pessoais. Por este motivo, é muito importante que, apesar das flexibilizações, as instituições culturais estejam atentas a forma de lidar com os dados pessoais.

Em eventuais violações de dados pessoais, a ANPD considera uma série de fatores na análise e julgamento do caso, tais como: (1) se o titular tinha conhecimento do uso de seus dados pessoais; (2) se a forma pela qual os dados foram obtidos é lícita ou ilícita; (3) qual o tipo de conteúdo produzido; (4) a sua forma de exposição e as consequências que isso poderá gerar ao titular. Diante de incertezas, recomenda-se a consulta de um profissional jurídico especializado.

Foto de Taylor Vick na Unsplash


[1] Para conhecer melhor o histórico da legislação de proteção de dados, recomendamos: https://idec.org.br/dadospessoais/linha-do-tempo.

Post relacionado