A Lei Geral de Proteção de Dados – LGPD, vigente desde 18/09/2020, disciplina o tratamento dos dados pessoais da pessoa física, nomeada pela lei de titular de dados pessoais, visando proteger os seus direitos fundamentais de liberdade e de privacidade. A sua aplicabilidade abrange pessoas jurídicas, públicas ou privadas, independentemente do seu porte.

A lei considera como dado pessoal toda a informação relacionada à pessoa física identificada ou que possa ser identificável. Isso significa que toda a informação, digital ou física, de pessoas físicas, sejam clientes, funcionários, fornecedores ou prestadores de serviços, deve ser armazenada e tratada da maneira prevista nos termos da lei.

A legislação ganhou ainda mais relevância, quando a proteção de dados foi elevada à categoria de direito fundamental por meio da Emenda Constitucional nº 117/2022, em meados de fevereiro deste ano, o que significa dizer que infringir a LGPD e desrespeitar os direitos dos titulares de dados viola um direito fundamental, o direito à proteção de dados.

E SE A MINHA EMPRESA NÃO SE ADEQUAR, QUAIS AS CONSEQUÊNCIAS?

A adequação é obrigatória por força de lei e necessária para os negócios que pretendem permanecer no mercado nos próximos anos, não só pela exigência do próprio mercado, mas também por conta das sanções impostas àqueles que não estiverem de acordo com os seus ditames.

As grandes empresas já estão de acordo com a LGPD ou, ao menos, em processo de adequação e passarão a exigir dos seus parceiros comerciais que também estejam adequados. Tudo isso porque a lei prevê o compartilhamento de responsabilidade entre as empresas. Aliás, vale destacar que o Brasil somente deu prioridade à aprovação da Lei em razão da exigência da União Europeia a fim de evitar barreiras comerciais.

Dentre as sanções previstas, está a famosa multa de até 2% do faturamento da empresa, limitada a 50 milhões de reais, por infração. No entanto, é importante a reflexão no sentido de que esta não é a mais grave das infrações, afinal é plenamente possível a sua reversão, uma vez realizado o pagamento. As sanções de bloqueio ou exclusão de dados, por outro lado, podem tornar inviável a prestação dos serviços pela empresa, o que pode acarretar prejuízos consideráveis. Da mesma forma, a ANPD também poderá determinar a publicização da infração cometida pela empresa, o que, por sua vez, pode acarretar prejuízo à sua imagem no mercado, tanto perante consumidores, titulares de dados, fornecedores e, até mesmo, parceiros comerciais.

MAS ISSO NÃO VALE PARA MIM, POIS ADMINISTRO UMA PEQUENA EMPRESA…

A aplicação da legislação independe do porte da empresa. Por consequência, não interessa se você possui uma pequena, média ou grande empresa, assim como o Código de Defesa do Consumidor pode ser exigido de todas, a LGPD também será, aliás, já é.

Em verdade, se você possui uma micro ou pequena empresa a adequação poderá definir a sua sobrevivência nos próximos anos, pois você também poderá ser atingido pelas sanções administrativas previstas na lei e eventuais condenações judiciais.

Por outro lado, também é verdade que a legislação optou por dar um tratamento diferenciado para startups, micros e pequenas empresas, deixando a cargo da ANPD a regulamentação quanto à questão.

Nesse sentido, por exemplo, a ANPD já se posicionou de não ser necessária a indicação de Encarregado de Dados (DPO) para pequenas empresas e startups. No entanto, ainda assim é necessário que essas disponibilizem canal de comunicação com o titular de dados e, uma vez acionadas, devem responder a solicitação, assegurando-lhe os direitos previstos na LGPD.

Mas, atenção, mesmo as pequenas empresas não poderão se beneficiar do tratamento jurídico diferenciado caso realizem tratamento de dados de alto risco, o que pode se caracterizar quando há, por exemplo, a utilização de dados sensíveis ou dados pessoais de crianças, adolescentes ou idosos.

Logo, para avaliar se a pequena empresa pode se utilizar ou não do tratamento jurídico diferenciado, é necessária a avaliação por profissional especializado e devidamente atualizado acerca do teor das resoluções da ANPD.

ADEQUAÇÃO NÃO É MÁGICA E NEM É RECEITA DE BOLO

Um programa de adequação sério não pode ser feito de forma expressa, ele deve ser feito de forma cautelosa com análise dos riscos, treinamento dos funcionários, um bom mapeamento de dados, análise da cultura organizacional, bem como do ambiente físico e, especialmente, tecnológico. Tudo em conformidade com as necessidades de cada empresa, com a sua área de atuação e o volume de dados a serem tratados.

Nesse aspecto, necessário ressaltar que é provável que a parte mais difícil de um projeto de adequação seja treinar pessoas e implementar uma cultura de proteção de dados e para isso, é lógico, é preciso que você, empresário/administrador, se conscientize da sua necessidade e esteja disposto a prosseguir com a adequação.

Vale registrar que atualmente o mercado oferece inúmeras adequações de cunho apenas jurídico, no entanto, uma adequação que não leva em conta o ambiente físico e tecnológico não é confiável ou, ao menos, completa. Por isso, ao decidir pela contratação de consultoria, opte por uma que possua profissionais multidisciplinares e que possam oferecer o serviço mais seguro e completo possível, tenha convicção que não será um custo, mas um relevante investimento para a sua empresa. 

Por fim, não podemos esquecer que uma empresa preocupada com a privacidade e liberdade das pessoas com quem mantém relacionamento é uma empresa responsável, uma empresa cidadã, que poderá usar a adequação como trunfo diante dos seus clientes/parceiros comerciais e como estratégia de marketing em mundo pós pandemia em que muitos precisam se recuperar e reinventar.

Debora Soares Prudêncio Caberlon*
Supervisora de Direito Digital/LGPD na Russell Bedford Brasil. Advogada.
Especialista em Direito Empresarial e Lei Geral de Proteção de Dados.
Professora de Direito Contratual na Verbo Jurídico. Instrutora do Curso de DPO pela Russell Bedford Brasil.