Proteção de Dados em Cooperativas e Associações
Cooperativas e associações lidam diariamente com dados sensíveis de milhares de cooperados, e a ausência de um programa robusto de proteção de dados pode gerar sanções milionárias e perda de credibilidade institucional.
O cenário regulatório para cooperativas e associações
A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) não faz distinção entre pessoas jurídicas com ou sem fins lucrativos quando se trata da obrigação de proteger dados pessoais. Isso significa que cooperativas de crédito, cooperativas agropecuárias, associações de classe e entidades do terceiro setor estão igualmente sujeitas às exigências da LGPD. Quando analisamos o universo cooperativista brasileiro, percebemos que essas organizações processam volumes expressivos de informações pessoais, desde dados cadastrais de cooperados até informações financeiras, patrimoniais e, em muitos casos, dados de saúde.
O desafio é particularmente complexo porque cooperativas e associações operam sob uma lógica de governança participativa. As decisões passam por assembleias, conselhos de administração e conselhos fiscais, o que implica circulação de dados pessoais entre diversos órgãos internos. Verificamos que muitas dessas entidades ainda não mapearam adequadamente seus fluxos de dados, o que representa um risco jurídico considerável. A Autoridade Nacional de Proteção de Dados (ANPD) tem intensificado sua atuação fiscalizatória, e cooperativas que negligenciam suas obrigações podem enfrentar advertências, multas e até a proibição de tratamento de determinados dados.
Além da LGPD, cooperativas de crédito precisam observar as normas do Banco Central, especialmente a Resolução nº 4.893/2021 (que dispõe sobre política de segurança cibernética) e as diretrizes do Sistema Nacional de Cooperativas de Crédito. Associações que atuam na área de saúde devem considerar ainda as regulamentações da Agência Nacional de Saúde Suplementar. Essa sobreposição normativa exige uma abordagem integrada de compliance, na qual a proteção de dados não seja tratada como um projeto isolado, mas como parte da governança corporativa da entidade.
Due diligence de dados: o diagnóstico essencial
A due diligence de dados consiste em um processo estruturado de investigação e avaliação das práticas de tratamento de dados pessoais adotadas por uma organização. Para cooperativas e associações, esse procedimento é o ponto de partida para qualquer programa de adequação à LGPD. Quando conduzimos uma due diligence de dados, buscamos identificar quais dados pessoais são coletados, onde estão armazenados, quem tem acesso a eles, com quem são compartilhados e quais medidas de segurança estão implementadas.
O primeiro passo é realizar o inventário de dados (data mapping). Nesse levantamento, catalogamos todos os processos que envolvem dados pessoais dentro da cooperativa ou associação. Isso inclui, por exemplo, o cadastro de novos cooperados, a concessão de crédito, a gestão de benefícios, o controle de acesso às dependências físicas, o monitoramento por câmeras de segurança e a comunicação institucional por e-mail ou aplicativos de mensagens. Cada processo deve ser documentado com a indicação da base legal que autoriza o tratamento, conforme o artigo 7º da LGPD.
O segundo passo envolve a avaliação de riscos (risk assessment). Analisamos a probabilidade e o impacto de incidentes de segurança em cada processo mapeado. Cooperativas de crédito, por exemplo, lidam com dados financeiros que, se vazados, podem causar danos patrimoniais diretos aos cooperados. Associações de profissionais de saúde podem tratar dados sensíveis (artigo 5º, inciso II, da LGPD), cuja exposição indevida gera consequências ainda mais graves. A matriz de riscos resultante orienta a priorização das ações corretivas e a alocação de recursos.
O terceiro passo é a análise de contratos com terceiros. Cooperativas e associações frequentemente compartilham dados com prestadores de serviços de tecnologia, contabilidade, auditoria e consultoria. Verificamos se esses contratos contêm cláusulas adequadas de proteção de dados, incluindo obrigações de confidencialidade, limitações de finalidade, medidas de segurança e procedimentos para notificação de incidentes. A ausência dessas cláusulas pode configurar responsabilidade solidária da cooperativa ou associação em caso de vazamento provocado pelo terceiro.
Implementação prática do programa de proteção de dados
Após a conclusão da due diligence, o próximo desafio é transformar os achados do diagnóstico em um programa efetivo de proteção de dados. Observamos que cooperativas e associações de médio porte frequentemente cometem o erro de adquirir ferramentas tecnológicas sofisticadas sem antes estabelecer políticas e procedimentos claros. A tecnologia é um componente importante, mas não substitui a governança.
A nomeação do Encarregado de Proteção de Dados (DPO) é uma obrigação legal prevista no artigo 41 da LGPD. Para cooperativas e associações de menor porte, a ANPD flexibilizou essa exigência por meio da Resolução CD/ANPD nº 2/2022, permitindo que agentes de tratamento de pequeno porte indiquem um encarregado de forma simplificada. Ainda assim, recomendamos que toda entidade designe ao menos um responsável interno pela coordenação das ações de proteção de dados, mesmo que essa função seja acumulada com outras atribuições.
As políticas internas devem abranger, no mínimo, os seguintes temas: política de privacidade voltada aos cooperados e ao público externo, política de segurança da informação, procedimento para atendimento aos direitos dos titulares (acesso, correção, exclusão, portabilidade), procedimento para resposta a incidentes de segurança e plano de treinamento para colaboradores e dirigentes. Essas políticas devem ser aprovadas pelo conselho de administração e divulgadas a todos os envolvidos no tratamento de dados.
A gestão de consentimento merece atenção especial no contexto cooperativista. Embora o consentimento seja apenas uma das dez bases legais previstas na LGPD, muitas cooperativas dependem dele para atividades como o envio de comunicações promocionais e o compartilhamento de dados com parceiros comerciais. Implementamos mecanismos que permitam ao cooperado conceder, recusar e revogar consentimentos de forma granular, com registro auditável de cada manifestação de vontade.
A proteção de dados em cooperativas não é apenas uma obrigação legal, mas um instrumento de fortalecimento da confiança entre a entidade e seus cooperados, pilar fundamental do cooperativismo.
Desafios específicos do ambiente cooperativista
Cooperativas e associações enfrentam desafios de proteção de dados que não encontramos com a mesma intensidade em empresas tradicionais. O princípio da gestão democrática, consagrado na Lei nº 5.764/1971 e na Constituição Federal, exige transparência nas deliberações e acesso dos cooperados às informações da entidade. Essa transparência, porém, deve ser conciliada com o dever de sigilo em relação aos dados pessoais dos cooperados individualmente considerados.
As assembleias gerais ilustram bem esse conflito. É comum que listas de presença contenham dados pessoais como CPF e endereço. Atas de assembleias podem registrar informações sobre a situação financeira de cooperados inadimplentes. Verificamos que muitas cooperativas disponibilizam esses documentos sem qualquer controle de acesso, o que viola o princípio da necessidade (artigo 6º, inciso III, da LGPD). A solução passa pela adoção de técnicas de minimização de dados, como a utilização de identificadores internos em vez de CPF em documentos de circulação ampla.
Outro desafio relevante é a intercooperação, ou seja, o compartilhamento de dados entre cooperativas de um mesmo sistema ou entre cooperativas e suas centrais, federações e confederações. Esse fluxo de dados é inerente ao funcionamento do sistema cooperativista, mas precisa ser formalizado por meio de contratos ou convênios que especifiquem as finalidades, as responsabilidades de cada parte e as medidas de segurança aplicáveis. Analisamos que a ausência dessa formalização é uma das vulnerabilidades mais comuns identificadas em auditorias de proteção de dados no setor.
As cooperativas que operam com aplicativos móveis e plataformas digitais para atendimento aos cooperados precisam ainda considerar aspectos como a coleta de dados de geolocalização, o uso de cookies e tecnologias de rastreamento, a integração com APIs de terceiros e o armazenamento de dados em serviços de nuvem. Cada um desses pontos demanda avaliação específica de conformidade e, quando envolve dados sensíveis ou tratamento em larga escala, pode exigir a elaboração de um Relatório de Impacto à Proteção de Dados Pessoais (RIPD), conforme previsto no artigo 38 da LGPD.
Boas práticas e recomendações para adequação
Com base em nossa experiência no acompanhamento de processos de adequação, destacamos algumas recomendações práticas para cooperativas e associações que buscam implementar ou aprimorar seus programas de proteção de dados.
Em primeiro lugar, recomendamos que a due diligence de dados seja conduzida por profissionais com conhecimento tanto em proteção de dados quanto nas particularidades do direito cooperativista. A legislação cooperativista possui nuances que impactam diretamente o tratamento de dados, como as regras sobre admissão e demissão de cooperados, a prestação de contas aos órgãos de fiscalização e as obrigações de reporte ao Banco Central (no caso de cooperativas de crédito).
Em segundo lugar, sugerimos a adoção de um cronograma realista de adequação, dividido em fases. A primeira fase deve focar nos processos de maior risco (tratamento de dados financeiros, dados de saúde e dados de menores). A segunda fase abrange os processos administrativos e de recursos humanos. A terceira fase trata da revisão contratual com fornecedores e parceiros. Essa abordagem faseada permite que a cooperativa ou associação demonstre boa-fé e diligência perante a ANPD, mesmo que a adequação completa ainda esteja em andamento.
Em terceiro lugar, enfatizamos a importância do treinamento contínuo. A proteção de dados não é um projeto com início, meio e fim, mas um processo permanente que depende do engajamento de todos os colaboradores, dirigentes e conselheiros. Programas de conscientização devem ser realizados periodicamente, com conteúdo adaptado ao perfil de cada público interno. Funcionários que lidam diretamente com atendimento ao cooperado precisam saber como responder a solicitações de acesso ou exclusão de dados. Membros do conselho de administração devem compreender suas responsabilidades pessoais em caso de incidentes de segurança.
Por fim, recomendamos que cooperativas e associações mantenham registros documentados de todas as ações relacionadas à proteção de dados. Essa documentação serve como evidência de conformidade em caso de fiscalização pela ANPD e pode ser determinante para a mitigação de sanções. O registro das operações de tratamento (artigo 37 da LGPD), os relatórios de impacto, os termos de consentimento, os contratos com operadores de dados e os registros de incidentes de segurança compõem o acervo documental mínimo que toda entidade deve manter organizado e atualizado.
Perguntas Frequentes
Cooperativas de pequeno porte também precisam se adequar à LGPD?
Sim, a LGPD se aplica a todas as pessoas jurídicas que tratam dados pessoais, independentemente do porte ou da finalidade lucrativa. A ANPD, por meio da Resolução CD/ANPD nº 2/2022, concedeu algumas flexibilizações para agentes de tratamento de pequeno porte (como a dispensa de nomeação de DPO e prazos diferenciados para atendimento a titulares), mas as obrigações fundamentais de segurança, transparência e registro de operações permanecem aplicáveis.
Qual a diferença entre a due diligence de dados e a auditoria de proteção de dados?
A due diligence de dados é um processo investigativo que visa mapear e avaliar o estado atual das práticas de tratamento de dados, geralmente realizado como etapa inicial de um programa de adequação ou em operações societárias (fusões, incorporações). Já a auditoria de proteção de dados é um procedimento de verificação periódica que avalia se as políticas e controles implementados estão sendo efetivamente cumpridos. Ambos são complementares: a due diligence estabelece a linha de base, enquanto a auditoria monitora a evolução e a manutenção da conformidade ao longo do tempo.
O compartilhamento de dados entre cooperativas do mesmo sistema é permitido pela LGPD?
O compartilhamento é permitido, desde que observados os princípios da LGPD e que exista uma base legal adequada para o tratamento. Cooperativas que compartilham dados com suas centrais, federações ou confederações devem formalizar essa relação por meio de contratos ou convênios que definam claramente as finalidades do compartilhamento, as responsabilidades de cada parte, as medidas de segurança aplicáveis e os procedimentos para atendimento aos direitos dos titulares. A ausência dessa formalização pode configurar tratamento irregular de dados e gerar responsabilização de todas as entidades envolvidas.
As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.
Receba novidades no WhatsApp e/ou e-mail
Cadastre-se gratuitamente para receber nossos novos artigos.
Seus dados estão protegidos conforme a LGPD.
Ficou com dúvidas? Fale com um advogado especialista.
📱 Falar pelo WhatsAppAs informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.
