São Paulo, 17 de agosto de 2021.

SG.173/2021

Aos
Sínodos, Presbitérios e Conselhos das Igrejas Locais

Ref. Orientações sobre adequação à LGPD (Lei Geral de Proteção de Dados)

Prezados irmãos e irmãs em Cristo,

Entrou em vigor a LGPD neste mês de agosto.
O Comitê de Compliance em Proteção de Dados da IPIB preparou o documento que
encaminhamos em anexo com orientações a respeito da adequação a essa legislação que
deve ser providenciada pelas nossas igrejas, presbitérios e sínodos.
Todos que desejarem mais esclarecimentos devem entrar em contato com a Secretaria de
Transparência e Ouvidoria pelos seus canais de comunicação.

Pela Coroa Real do Salvador!

Gerson Correia de Lacerda

Secretário Geral da IPIB
COMITÊ DE COMPLIANCE EM PROTEÇÃO DE DADOS DA IPIB

São Paulo, 16 de agosto de 2021

Ofício 16/2021

Aos
Conselhos de Igrejas, Presbitérios e Sínodos da IPIB
Att.: Srs. Presidentes
Assunto: Orientações sobre adequação à LGPD

Graça e Paz!

Em 1º/08/2021, entraram em vigor no Brasil as sanções administrativas previstas

na Lei n. 13.709/2018, que trata da proteção de dados pessoais, conhecida como
LGPD (Lei Geral de Proteção de Dados).
Todos terão de se adequar à nova legislação, inclusive as igrejas, garantindo a
proteção dos dados pessoais que estão em seu poder, sejam de membros,
funcionários ou prestadores de serviço.
A Comissão Executiva da Assembleia Geral (Comex-AG), para cuidar do
assunto, nomeou um Comitê de Compliance em Proteção de Dados (CCPD),
que está tratando da adequação da administração central da denominação, e
que também tem a função de orientar as igrejas e os concílios da IPIB.
A adequação à nova legislação é complexa, demandando tempo e conhecimento
altamente especializado. Assim o CCPD, para auxiliar nesta adequação,
produzirá uma série de orientações, de acordo com as etapas necessárias para
implantação, facilitando a tarefa de nossas igrejas e concílios.
Na presente correspondência, abordaremos as primeiras medidas práticas a
serem adotadas. Tentamos simplificar, sem sermos simplórios, as etapas que
devem ser seguidas. Assim, esperamos ajudar na compreensão e no
desenvolvimento do projeto.
Para prosseguirmos, gostaríamos de fornecer algumas orientações e
esclarecimentos que julgamos importantes para a compreensão do tema:

O que é proteção de dados?

Muitos podem pensar que a proteção de dados se reduz ao sigilo de informações
pessoais ou à segurança dessas informações, físicas ou digitais. Na verdade, a
proteção de dados inclui o sigilo e a segurança, mas vai além disso, pois tem
preocupação não somente com a proteção do dado pessoal na posse de terceiro,
mas de determinar o que é permitido ser feito com dados pessoais que
coletamos. Além disso, a proteção de dados geralmente oferece meios para que
as pessoas possam se proteger da má utilização dos seus dados pessoais.

Quando falamos em “dado pessoal” estamos falando de qualquer tipo de

informação vinculada a uma pessoa identificada ou identificável. Qualquer
informação que tivermos sobre uma pessoa é considerada um “dado pessoal”.
Isso significa que dado pessoal vai muito além do nome, idade, profissão, data
de nascimento, CPF, RG, e-mail, endereço, telefone, e dados bancários de uma
pessoa (apesar de serem os mais comuns), podendo ser também um dado
pessoal a Igreja que uma pessoa frequenta, qual a cor da pele dessa pessoa,
quem são seus pais, quem são seus filhos, se ela possui alguma doença
específica e muitos outros. Vale lembrar que o meio por onde se obtém ou se
armazena essa informação é indiferente para ser considerado um dado pessoal,
seja em um documento no computador, seja em um arquivo físico em papel
guardado numa gaveta.

Nesse sentido, a LGPD é a primeira lei brasileira a tratar do tema de maneira

ampla e fornecer regras gerais para o tratamento de dados pessoais. A lei prevê
que qualquer ação realizada com dados pessoais será chamada “tratamento”, o
que inclui coletar, transferir, armazenar, descartar, copiar e qualquer outra ação
com essas informações. Como forma de orientar as atividades e o tratamento de
dados pessoais, a lei estabelece uma série de “princípios” que são objetivos
norteadores para se ter em mente e perseguir em todas as atividades em que
ocorra o tratamento de dados pessoais por parte da igreja:

• Finalidade: Agir em relação aos dados pessoais com objetivos s

legítimos, específicos, explícitos e informados à pessoa de quem estamos
usando informações. O tratamento de dados será protegido por lei sempre
que feito de acordo com estes princípios, e autorizado por uma justificativa
legal
• Adequação: Compatibilidade do tratamento com os objetivos informados
ao titular, e de acordo com o contexto do tratamento;
• Necessidade: Limitação do tratamento ao mínimo de dados necessários
para alcançar nosso objetivo, sendo permitido usar apenas os dados
pertinentes, proporcionais e não excessivos em relação aos nossos
objetivos;
• Livre acesso: Toda pessoa tem o direito de nos consultar a respeito de
como e por quanto tempo tratamos seus dados pessoais. Essa consulta
deve ser fácil, e não pode ser cobrada. Sem saber os dados que são
tratados, as pessoas não podem controlar suas próprias informações.
• Qualidade dos dados: Garantir que os dados que usamos são corretos,
claros, relevantes e, sempre que necessário, atualizados para
cumprirmos adequadamente com nossos objetivos;
• Transparência: Garantir que as pessoas recebam informações claras,
precisas e de fácil acesso sobre como seus dados são tratados, por quem
são tratados, e para atingir quais objetivos.
• Segurança: Proteger por meios técnicos e administrativos os dados
pessoais que armazenamos, impedindo acessos não-autorizados, e
 quaisquer situações acidentais ou ilícitas de destruição, perda, alteração,
divulgação, comunicação ou outra forma de exposição indevida dessas
informações.
• Prevenção: Adotar medidas para prevenir danos às pessoas que sejam
causados pelo tratamento de dados pessoais;
• Não discriminação: Não usar o tratamento de dados pessoais com
objetivos ou consequências discriminatórias, ilícitas ou abusivas;
• Responsabilização e Prestação de Contas: É dever de cada entidade
que trata dados pessoais conseguir demonstrar que adota ações eficazes
e capazes de garantir o cumprimento das normas de proteção de dados.

Tendo esses princípios em mente, indicamos algumas etapas práticas a serem

seguidas pelas igrejas de maneira que se encontrem mais próximas de estar em
conformidade com a LGPD:

1ª Etapa: Mapeamento dos dados

Uma das obrigações trazidas pela LGPD é que as organizações devem manter
um registro das atividades que realizam usando dados pessoais. Esse registro
deve incluir todas as atividades de tratamento que cada organização realiza,
especificando como é o fluxo de dados pessoais dentro da organização em cada
tipo de tratamento realizado.

O mapeamento pode ser facilitado se seguidos os passos descritos a seguir:

- Identificar quais são os dados em poder do concílio, em todas as áreas,
ministérios e atividades desenvolvidas;
- Mapear como são coletados os dados (site da igreja, ficha de visitante, cadastro
de projeto social, chamada da escola dominical etc.);
- Identificar os sistemas de arquivos utilizados (sistemas de computador,
fichários, livros etc.), verificar onde ficam (computador, nuvem, arquivos, etc.), e
identificar quem os acessa e a forma como são acessados (por senha, chaves,
etc.);
- Verificar as medidas existentes contra vazamentos dos dados ou acessos
injustificados;
- Mapear o fluxo dos dados dentro da organização desde o momento da coleta
até a exclusão definitiva, passando por todas as operações (como são utilizados,
como são compartilhados e armazenados).

O Anexo II desse documento contém uma planilha com questões a serem

respondidas que oferecem uma forma estruturada de se realizar o mapeamento
das atividades de tratamento.

2ª Etapa: Elaborar os termos de consentimento

Uma das formas de tratar dados pessoais conforme a LGPD é por meio do
consentimento. Assim, sempre que usarmos essa justificativa para tratar dados
pessoais, é necessário que a pessoa consinta em fornecer seus dados e esteja
ciente dos seus direitos.
Assim, a elaboração de um termo de consentimento a ser preenchido e assinado
por todos aqueles que fornecerão os dados será obrigatório sempre que essa for
a nossa justificativa legal para usar essas informações. Neste termo devem
constar os direitos do titular, a maneira como o dado será tratado, com quem o
dado poderá ser compartilhado e como se dará o descarte definitivo do dado.
Desta forma, um novo membro, ao preencher sua ficha, deve assinar
separadamente um termo de consentimento. Para os que já são membros,
também é necessária a assinatura do termo.
O Anexo I traz um modelo de termo de consentimento para este propósito.

Outros tipos de registro podem ser feitos com base no consentimento, ainda que
nem sempre ele seja necessário. Assim, é possível que você encontre fichas de
cadastro de visitante, fichas de cadastro de projeto, dentre outros com um termo
de consentimento anexado.

Maior atenção deve ser dada aos cadastros para eventos, como congressos,
acampamentos, retiros e qualquer outra atividade em que seja necessário fazer
inscrição. Deve-se ter consciência de que se está lidando com dados sensíveis,
tais como a condição de saúde, em caso de acampamentos. Portanto, maior
atenção deve ser dada à proteção destes dados, além da necessidade de
consentimento expresso para este tratamento.

Vale enfatizar que, no caso de menores, sempre o responsável legal é quem

deve dar o consentimento para o tratamento dos dados.

3ª Etapa: Elaborar as políticas de proteção de dados

Deve-se, nesta etapa, definir os procedimentos a serem adotados na proteção
dos dados, elaborando um documento que contenha as diretrizes definidas:

1) Definir as regras de acesso aos arquivos que contenham dados pessoais;

2) Eliminar acessos desnecessários;

3) Separação de perfis digitais em computadores, para permitir que cada

usuário seja identificado e que seja possível determinar quem terá acesso
a quais tipos de dados;

4) Estabelecer boas práticas de segurança da informação

a. No uso dos computadores da organização:
i. proibição de abertura de e-mails suspeitos;
ii. acesso restrito a sites confiáveis;
iii. manutenção dos sistemas operacionais atualizados;
 iv. uso de proteção de vírus atualizadas;
v. uso de senhas de acesso personalíssimas (apenas de uma
pessoa), intransferíveis (não podem ser compartilhadas) e
renovadas periodicamente;
b. Nos arquivos físicos
i. uso de móveis com chaveamento
ii. restrição de acesso a salas de arquivos
iii. registro de acessos aos arquivos físicos, identificando quem
os consultou
iv. implantação de sistema de monitoramento de câmera
v. política de mesa limpa (sempre deixar a mesa sem papéis
ou outro tipo de informação que não esteja sendo utilizada
naquele exato momento)

5) Para as igrejas que utilizam sistemas terceirizados de gestão, que ficam

“na nuvem”, é necessário solicitar um documento ao desenvolvedor do
sistema atestando segurança do sistema e a sua adequação à LGPD;
6) Definir por quanto tempo os dados que são usados ficarão em posse da
organização, e como se dará o seu descarte após este período.

4ª Etapa: Nomear o Encarregado pelo tratamento de dados pessoais

A LGPD impõe que as organizações indiquem um Encarregado pelo tratamento
de dados pessoais. Essa será a pessoa que terá o papel de servir como ponte
de comunicação entre a igreja, os titulares de dados pessoais e a Autoridade
Nacional de Proteção de Dados, bem como será incumbida de auxiliar a todos
que usem dados pessoais em nome da igreja a fazer este uso de forma correta.

O nomeado pode ser qualquer pessoa que tenha conhecimento da LGPD. Essa
pessoa ajudará a igreja a manter-se de acordo com a LGPD, e para isso
precisará entender como funcionam os processos internos de tratamento dos
dados, seja por já saber como funcionam, seja com auxílio de alguém que
conheça bem as atividades.

Essa pessoa será a encarregada de gerenciar o tema “privacidade e proteção

de dados” em sua igreja. Ela será o contato com a Autoridade Nacional de
Proteção de Dados e o canal entre os titulares dos dados e a igreja, além de ser
a pessoa responsável por atualizar-se de novas orientações do CCPD.

Concluindo, queremos enfatizar que estes são os passos básicos para iniciar a
adequação à LGPD. Nas próximas semanas e meses, enviaremos orientações
complementares a esse processo, visando à conclusão dos trabalhos de
adequação.

Os anexos I e II são modelos a serem adaptados à realidade de cada igreja.

Também sugerimos o material disponibilizado pelo governo federal disponível no

seguinte link: Guias operacionais para adequação à Lei Geral de Proteção de
Dados Pessoais (LGPD) — Português (Brasil) (www.gov.br)

Dúvidas podem ser encaminhadas ao Encarregado de Proteção de Dados da

IPIB pelo e-mail: dpo@ipib.org ou do WhatsApp da ouvidoria no número (11) 9-
9784-6032.

Deus nos abençoe e capacite para esta tarefa.

Pela Coroa Real do Salvador!

Rev. Paulo Cesar de Souza

Comitê de Compliance em Proteção de Dados da IPIB
 ANEXO I

MODELO DE TERMO DE CONSENTIMENTO PARA TRATAMENTO DE

DADOS PESSOAIS

Este documento visa registrar a manifestação livre, informada e inequívoca pela

qual o titular concorda com o tratamento de seus dados pessoais para finalidade
abaixo especificada, em conformidade com a Lei nº 13.709 – Lei Geral de
Proteção de Dados Pessoais (LGPD).
Ao manifestar sua aceitação ao presente termo, o titular consente e concorda
que a Igreja Presbiteriana Independente de_________________, CNPJ nº
______________, com sede na _________________________, telefone (xx)
__________, e-mail ________, doravante denominada controladora, realize o
tratamento de seus dados pessoais, envolvendo operações como as que se
referem à coleta, produção, recepção, classificação, utilização, acesso,
reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação, modificação,
comunicação, transferência, difusão ou extração.

Dados Pessoais
A controladora fica autorizada a a realizar o tratamento dos seguintes dados
pessoais do titular:
● Nome completo
● Data de nascimento
● Número e imagem da Carteira de Identidade (RG)
● Número e imagem do Cadastro de Pessoas Físicas (CPF)
● Número e imagem da Carteira Nacional de Habilitação (CNH)
● Fotografia 3x4
● Estado civil
• Filiação
● Certidão de Nascimento ou Casamento
● Comprovante de endereço completo
● Números de telefone, WhatsApp e endereços de e-mail
● Comunicação, verbal e escrita, mantida entre o titular e a controladora.

Além disso, a controladora fica autorizada a realizar o tratamento dos dados do

titular para prestar-lhe os serviços ofertados, tais como: divulgação de material
da instituição via e-mail e redes sociais, uso de fotografias em redes sociais
públicas a fim de interação entre o titular e controladora.

Finalidades do Tratamento dos Dados

O tratamento dos dados pessoais listados nesse termo tem as seguintes
finalidades:
• Possibilitar que a controladora tenha seu cadastro pessoal em seu rol de
membros;
• Possibilitar que a controladora elabore cadastro de dizimistas,
contribuintes ou ofertantes;
• Possibilitar que a controladora elabore cadastros de projetos eclesiásticos
ou filantrópicos;
• Possibilitar que a controladora envie ou forneça ao titular seus produtos e
serviços, de forma remunerada ou gratuita;
• Possibilitar que a controladora estruture, teste, promova e faça divulgação
de produtos e serviços, personalizados ou não ao perfil do titular.
Compartilhamento de Dados
A controladora somente compartilhará os dados pessoais do titular com outros
agentes de tratamento de dados, caso seja necessário para as finalidades
listadas neste termo, observados os princípios e as garantias estabelecidas pela
Lei nº 13.709.

Segurança dos Dados

A controladora responsabiliza-se pela manutenção de medidas de segurança,
técnicas e administrativas aptas a proteger os dados pessoais de acessos não
autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Em conformidade ao art. 48 da Lei nº 13.709, a controladora comunicará ao
titular e à Autoridade Nacional de Proteção de Dados (ANPD) a ocorrência de
incidente de segurança que possa acarretar risco ou dano relevante ao titular.

Término do Tratamento dos Dados

A controladora poderá manter e tratar os dados pessoais do titular durante todo
o período em que o tratamento for pertinente para alcançar as finalidades
listadas neste termo. Dados pessoais, uma vez anonimizados poderão ser
mantidos por período indefinido, mas estas informações não podem ser
associadas a qualquer pessoa.
O titular poderá solicitar via e-mail ou correspondência à controladora, a qualquer
momento, que sejam atendidos seus direitos enquanto titular de dados pessoais,
conforme indicado abaixo. O titular fica ciente de que poderá ser inviável à
controladora manter suas atividades junto ao titular a partir da eliminação dos
dados pessoais.

Direitos do Titular
O titular tem o direito de obter da controladora, em relação aos dados por ele
tratados, a qualquer momento e mediante requisição:
I - Confirmação da existência de tratamento;
II - Acesso aos dados;
III - Correção de dados incompletos, inexatos ou desatualizados;
IV - Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos
ou tratados em desconformidade com o disposto na Lei nº 13.709;
V - Portabilidade dos dados a outra igreja da mesma denominação ou não,
mediante requisição expressa, de acordo com a regulamentação da autoridade
nacional, observados os conteúdos confidenciais;
VI - Eliminação dos dados pessoais tratados com o consentimento do titular,
exceto nas hipóteses previstas no art. 16 da Lei nº 13.709;
VII - Informação das entidades públicas e privadas com as quais o controlador
realizou uso compartilhado de dados;
VIII - Informação sobre a possibilidade de não fornecer consentimento e sobre
as consequências da negativa;
IX - Revogação do consentimento, nos termos do § 5º do art. 8º da Lei nº 13.709.

Direito de Revogação do Consentimento

Este consentimento poderá ser revogado pelo titular a qualquer momento,
mediante solicitação via e-mail ou correspondência à controladora.

Local/data
Assinatura do titular
 ANEXO II
QUESTIONÁRIO DE MAPEAMENTO

1) Quais dados pessoais a igreja

utiliza?
2) Qual a categoria dos dados?
Cadastrais, sensíveis, outros...
3) De quem são esses dados?
Qual a categoria dos titulares?
• Funcionários, membros,
terceiros...
• Civilmente capazes ou não.
4) Como os dados são coletados?
5) Por que os dados são usados?
Qual a utilidade deles?
6) Quais dados são eletrônicos e
quais são físicos?
7) Onde eles ficam
armazenados?
8) Por quanto tempo eles ficam
armazenados?
9) Quem tem acesso a esses
dados?
10) Os dados são compartilhados
com terceiros?
Se sim, esses terceiros são
operadores ou controladores?
11) Como é o fluxo dos dados
desta atividade na igreja?
12) Há armazenamento em nuvem
ou em servidores localizados
fora do País?
13) Qual o volume dos dados
tratados (quantidade e
frequência)?
14) Existem medidas de segurança
administrativas ou
tecnológicas?
• Administrativas: arquivos
fechados, com acesso restrito.
• Tecnológicas: restrições de
acesso, criptografia, senhas...
15) A empresa possui alguma
forma de atender às
solicitações dos titulares?
16) Como é feito o descarte dos
dados após sua utilização?