Afinal, quem precisa estar adequado à Lei Geral de Proteção de Dados?
A LGPD está em vigor há um pouco mais de um ano e desde agosto de 2021 estão autorizadas as sanções para quem estiver irregular em relação às suas exigências.
Muitos ainda não atentaram para esse risco de negócio, que pode abalar o patrimônio de uma empresa e deixá-la no vermelho, caso seja autuada, ou acreditam que não estão dentre os que precisam cumprir essa legislação.
Para isso, vou traduzir os pontos introdutórios à luz da lei, para que você tenha condições de analisar e entender se a adequação à LGPD é uma obrigação legal que o seu negócio precisa cumprir.
1. Introdução;
2. As posturas mais comuns nos negócios diante da LGPD e seus riscos;
3. Quem não precisa se preocupar com a LGPD;
4. Quem corre risco de sofrer prejuízo se não realizar adequação à Lei;
5. Quem acha que está seguro e na verdade não está;
6. Conclusão: tudo que sua vista toca precisa estar adequado à LGPD.
Criada com o objetivo de proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade das pessoas naturais, a Lei Geral de Proteção de Dados (LGPD) é uma resposta a uma demanda flagrante da nossa sociedade atual.
Basicamente todas as atividades diárias de todos os cidadãos brasileiros envolvem o tratamento dos seus dados pessoais, tanto nas relações de consumo quanto na execução e acesso a políticas públicas, o que pode afetar de forma substancial a vida das pessoas em diversas escalas.
Muitas vezes o público não jurídico enxerga a entrada em vigor de novas legislações com um certo distanciamento, como se existissem “dois mundos”, no qual apenas um é afetado pela inovação regulatória.
O objetivo desse texto é tornar possível ao público geral enxergar as implicações da LGPD e o seu grande impacto em atividades corriqueiras, tanto na esfera privada quanto na pública.
As operações diárias mais triviais, sejam as realizadas por um prestador de serviço autônomo ou de uma Fintech situada em ecossistema altamente regulado, envolvem tratamento de dados pessoais e precisam de medidas técnicas¹, organizacionais² e culturais³ proporcionais à cada realidade.
Observe as seguintes situações:
• Ao entrar em um prédio público seus dados são coletados e armazenados;
• Ao pagar um sanduíche por meio de PIX existe a movimentação de dados pessoais;
• Ao receber e-mails marketing e listas de transmissão;
• Ao responder um questionário de admissão em uma academia ou clube esportivo;
• Ao realizar um pedido de empréstimo;
Logo, observamos diversas atividades distintas, com diferentes níveis de complexidade e de impacto na vida pessoal das pessoas, mas que têm em comum a movimentação de dados pessoais.
O mencionado distanciamento em relação às inovações na lei, sobretudo nas que movimentam uma grande parcela da sociedade civil, é responsável por alguns cenários bem arriscados no que diz respeito à estratégia de negócio.
Em se tratando da Lei Geral de Proteção de Dados não é diferente. De acordo com as pesquisas feitas pela ANPD, por grupos acadêmicos e por organizações da sociedade civil que trabalham no fomento do ecossistema de Privacidade e Proteção de Dados no Brasil a maioria esmagadora das empresas de diversos portes do país não adotou medidas de adequação, ou as fez de forma insuficiente.
2. As posturas mais comuns nos negócios diante da LGPD e seus riscos
Além dos dados colhidos nas pesquisas, existem alguns comportamentos que observo no dia a dia, tanto ao realizar o diagnóstico de negócios quanto como consumidora de serviços, com um olhar atento à proteção de dados. São eles:
Primeiro: completo desconhecimento da necessidade de adequação e tratamento de dados. O profissional sequer sabe da necessidade de promover mudanças na operação do seu negócio, em virtude da nova obrigação legal.
Nesse cenário, o prestador acaba sendo pego de surpresa pelo próprio cliente ao ser solicitado acerca de uma requisição de direitos corriqueira e passa uma impressão negativa, por falta de zelo e até por amadorismo.
Segundo: minimização da obrigação. O profissional está ciente da necessidade de realizar medidas de adequação, mas acredita que “isso vai dar em nada. Até que um dia ocorre um incidente em relação aos dados e os prejuízos são incalculáveis. Uma variável interessante aqui é quando a empresa tenta fazer a adequação sem a devida orientação especializada, ou apenas a delega para o departamento jurídico, que não tem expertise na matéria proposta.
Terceiro: preocupação superficial. A parte até aceita a necessidade de seguir a Lei, mas a encara como uma mera obrigação e busca fazer apenas uma maquiagem para esconder possíveis irregularidades. Na tentativa de poupar recursos, contrata algum “serviço de adequação de gaveta” e planilhas prontas, mas não se apropria das condutas e nem investe em treinamentos para a equipe.
Nesse caso, existe um investimento de tempo e dinheiro perdidos, que gera retrabalho e necessidade de nova contratação, somados ao risco de autuação / multa.
Todos os cenários são desastrosos tanto em termos reputacionais quanto financeiros e podem falir empresas.
Ao me deparar com essas condutas, vejo o quanto ainda é necessário promover a informação coesa e acessível sobre o assunto, para além dos quadrinhos do Instagram.
3. Quem não precisa se preocupar com a LGPD
Algumas atividades de tratamento de dados pessoais não estão incluídas no escopo da LGPD e, portanto, tais atividades de tratamento não estão sujeitas à fiscalização da ANPD, dos órgãos setoriais e não precisam mudar os trâmites de tratamento. São estas:
• Pessoas naturais que realizam tratamento de dados para fins exclusivamente particulares e não econômicos;
• Tratamento de dados pessoais para fins jornalísticos e artísticos;
• Dados pessoais utilizados para finalidades acadêmicas;
• para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais. Para essas finalidades está em andamento o Anteprojeto de lei da LGPD Penal;
De todo modo, cabe ressaltar que o fato de não estarem no escopo da LGPD não exime da obrigação de tratamento desses dados de forma lícita e que respeite a privacidade dos titulares, sob pena de reparação civil.
4. Quem corre o risco de sofrer prejuízos se não promover adequação à Lei
A LGPD aplica-se a qualquer operação de tratamento de dados de indivíduos no território nacional, realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, que tenha por objetivo a oferta ou o fornecimento de bens ou serviços, sobretudo no desempenho de atividades com finalidade lucrativa.
Esse parágrafo simples, na verdade, engloba uma quantidade enorme de agentes que estão incumbidos de adotar medidas de adequação. São eles:
Pessoa natural: profissionais autônomos ou liberais (advogados, médicos, dentistas e contadores), empresários individuais e responsáveis por serventias extrajudiciais;
Pessoas jurídicas de direito privado: podem ser entidades sem fins lucrativos, como as associações, fundações, organizações religiosas, sindicatos e partidos políticos ou entidades com fins lucrativos, como as Sociedades Empresárias ou Simples, as Cooperativas e EIRELIs (Empresas Individuais de Responsabilidade Limitada).
Pessoas jurídicas de direito público: são os entes federados (União, Estados, Distrito Federal e Municípios), além de entidades da administração pública, a exemplo de autarquias, agências reguladoras, e fundações públicas.
Podemos facilmente verificar que todas as camadas da sociedade, tanto no âmbito privado quanto no público, têm a obrigatoriedade de adotar um programa de adequação à Lei Geral de Proteção de Dados.
5. Quem acha que está seguro e na verdade não está
• Empresas com atuação prioritariamente B2B (business to business)
Os dados de pessoas jurídicas não contam com a proteção da LGPD, o que faz com que empresas e profissionais que exercem apenas atividades B2B (business to business) acreditem que não precisam realizar a adequação, por não movimentarem dados de consumidores pessoas físicas.
Ainda que a operação direta não envolva o tratamento de dados pessoais, existem operações de tratamento dos dados dos sócios e representantes dessas pessoas jurídicas que, por sua vez, devem ser protegidos de vazamentos, fraudes e violações de privacidade, devendo ser adequados à LGPD.
As empresas que não tratam dados pessoais de consumidores, ainda assim podem ter uma intensa movimentação de dados relativos aos seus funcionários. São dados pessoais, que devem receber a mesma proteção aplicada aos dados de consumidores.
Ou seja, é indispensável que o departamento de Recursos Humanos adote políticas de tratamento de dados dos funcionários adequadas, ponto que já vem sendo incluído como tópico em ações trabalhistas.
• Negócios fora do ambiente virtual
Estamos notavelmente num período em que muitas das nossas atividades são realizadas no ambiente virtual e o fluxo mais intenso de movimentação de dados ocorre nele.
No entanto, é importante deixar claro que a LGPD protege os dados nos meios digitais e físicos, ou seja, os documentos que não estão digitalizados ou inseridos em sistemas também podem ser fontes de violação de dados pessoais. Sabe o papel que os “antigos sumérios” utilizavam pra anotar informações? haha
Um bom exemplo de atividade na qual comumente encontramos documentos armazenados em meios físicos são clínicas e consultórios de pequeno porte, nos quais as fichas dos pacientes são feitas em papel e armazenadas em arquivos físicos.
Nesses casos também se faz necessário o estabelecimento de estabelecer fluxos e procedimentos internos que asseguram a proteção dos dados pessoais dos titulares.
• Startups
As Startups são organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no § 1º do art. 4º da Lei Complementar nº 182, de 1º de junho de 2021.
Com seu marco legal instituído recentemente é um fato que muitas vezes esse tipo de negócio funciona com um número reduzido de funcionários e opera por meio de inteligência artificial.
De todo modo, algumas Startups têm alto fluxo de processamento de dados inerentes à sua atividade principal, sobretudo se considerados tratamentos de alto risco como ocorre no caso de dados sensíveis e emissão de decisões automatizadas, pelo que não se enquadrarão nas hipóteses de dispensa ou flexibilização que ainda estão em discussão pública pela ANPD.
Desde o Código de Defesa do Consumidor, que conta com 30(trinta) anos de vigência, não passamos por uma alteração legal que impacta tanto a sociedade brasileira quanto a LGPD que, por sua vez, tem proporções ainda maiores por não estar limitada apenas ao setor privado, mas também ao serviço público.
Aposto que após esse texto, você dificilmente conseguirá olhar para alguma atividade do seu dia a dia que não esteja sujeita ao tratamento de dados pessoais. Assim, facilmente concluímos que:
Tudo que sua vista toca precisa estar adequado à LGPD!
Quer entender se o seu negócio tem um risco regulatório pequeno, médio ou alto? Responda o teste, leva menos de 5 minutos.
Notícias que mostram como a LGPD está em todos os lugares:
LGPD no setor trabalhista:
https://tecnoblog.net/532367/empresa-e-condenada-em-r-5-mil-por-violar-lgpd-com-celular-de-funcionaria/
https://www.convergenciadigital.com.br/Gestao/Envio-de-dados-sigilosos-por-e-mail-e-justa-causa-para-demissao-58688.html
LGPD no setor público:
LGPD no E-commerce:
