A LGPD não é para mim!

A expressão que nomeia este texto é o que mais se ouve sobre a LGPD. A crença de que a lei não vai pegar atinge toda sorte de pessoas que estão submetidas à ela. Em verdade, uma mudança tão forte de paradigma de comportamento assusta e, com tão acintosa repercussão no nosso dia a dia, causa resistência.

Nessa dinâmica, queremos aqui examinar as razões dessa “dificuldade de aceitação”, apontando os principais erros que as pessoas, especialmente as empresas, cometem ao entender que a LGPD não se aplica ao seu caso.

“Não faço tratamento de dados pessoais porque meu negócio não é digital e não tenho vendas por canais digitais.”

Este talvez seja o maior engano da maioria das pessoas. Tratamento de dados pessoais não é apenas a coleta ou armazenamento de dados por meios digitais. Realiza-se tratamento de dados em situações simples, bem próprias do mundo analógico. Num consultório odontológico, por exemplo, usam-se fichas impressas com todos os dentes do paciente, indicando detalhes de cada dente daquele paciente ou, numa uma radiografia impressa da boca do mesmo, anexada no prontuário desse paciente, faz-se tratamento, não só dos dentes, mas dos dados pessoais do paciente. Notem que aquela ficha vai para um fichário, que fica numa gaveta. Em termos de segurança de dados pessoais, necessário refletir sobre quem pode ver o fichário, como se garante que apenas as pessoas que têm autorização para ver aquele fichário tenham acesso ao mesmo, se existem chaves que tranquem a referida gaveta e se as chaves ficam em poder somente de quem tem autorização para acessar as fichas.

Noutro exemplo, fora do mundo digital, numa imobiliária, os contratos de locação empilhados na mesa de algum colaborador, expondo dezenas de dados pessoais de partes contratantes, sem que se tome qualquer cautela com o acesso ao recinto onde está a mesa desse funcionário, são outra amostra de como os dados pessoais que confiados podem ficar expostos e serem alvo da curiosidade alheia. Em tal circunstância, tais dados podem ser anotados ou fotografados facilmente por um “curioso” e compartilhados com terceiros. Observem que, neste caso, pode acontecer um “vazamento de dados pessoais” em meio não digital.

Ainda na dinâmica dos exemplos, aquele currículo recebido de algum postulante à uma vaga, entregue impresso diretamente nas mãos do vendedor daquela pequena loja de bairro, possui uma série de dados pessoais do candidato. Muitas vezes, guarda-se o currículo na gaveta e, noutras, como não há interesse pelo pretendente, apenas amassa-se e joga-se fora o currículo. Atentem-se que nas duas ações realiza-se tratamento de dados pessoais (armazenamento e/ou exclusão). Se a loja não se atentar em proteger os dados ali contidos, armazenando de forma segura ou descartando de maneira que ninguém mais possa tomar conhecimento dos dados lá inseridos, fere de morte a LGPD.

“Não faço nenhum cadastro de clientes e por isso não tenho tratamento de dados pessoais.”

Muitas empresas não têm qualquer cadastro de clientes e, por conta disso, creem que não fazem tratamento de dados pessoais. No entanto, ainda na proposta dos exemplos fáceis, tais empresas vendem suas mercadorias ou serviços ali no balcão e recebem valores devidos por meio de cartão de débito. Esquecem-se de que o cartão de débito que acabaram de “passar” na máquina contém o nome do titular, o número do cartão, da conta corrente e eventualmente foi digitada uma senha pessoal. Ao coletarem tais informações, repassando-as ao banco ou administradora de cartões, acabaram de realizar atividades de tratamento (coleta e compartilhamento), o que as submetem a dinâmica da LGPD.

“Os dados pessoais ficam numa nuvem e não no nosso servidor.”

Outro equívoco comum é crer que, os dados pessoais tratados, por não ficarem armazenados conosco não são nossa responsabilidade e sim de quem os guarda. A LGPD atinge tanto as pessoas que tratam dados pessoais tomando decisões sobre eles (controladores) como aquelas que executam as ordens (operadores) dos que tomam tais decisões. Desta forma, se você capta os dados pessoais e os armazena no Google, você é controlador e o Google é operador. Ambos são, portanto, agentes de tratamento de dados pessoais e estão submetidos à LGPD, tornando-se responsáveis por eventuais incidentes de vazamento de dados, visto que a lei assim determina a reponsabilidade dos agentes de tratamento.

“Não tenho relações com consumidores finais, meu negócio é B to B.”

Outro engano comum é entender que, como a empresa não se relaciona com consumidores finais, não deve se adaptar à LGPD. Percebam que os dados pessoais dos colaboradores dessa empresa, armazenados e compartilhados com escritórios de contabilidade, de advocacia ou seguradoras estão sim sendo tratados (armazenamento e compartilhamento). Nesta situação, a empresa é controladora dos dados pessoais e os terceiros mencionados são operadores. Se os terceiros não estiverem cumprindo a LGPD, colocando os dados pessoais em risco, a controladora pode sofrer sanções como multas, inclusive.

Ademais, ainda no exame da situação descrita, seguramente a empresa tem um cadastro de seus parceiros/clientes, ainda que não sejam consumidores e se constituam em pessoas jurídicas. Entretanto, tal cadastro tem os contratos sociais ou estatutos dessas empresas, que possuem em seus quadros sociais pessoas físicas, cujos dados pessoais estão ali explicitados. Fica patente que, também neste caso, existe tratamento de dados pessoais e a observância à LGPD é necessária.

A dura realidade.

Percebam que se elencou situações simples, cotidianas, muito próximas da realidade de empresas de qualquer porte. Ainda que seja difícil, a adequação à LGPD se impõe, sob pena de se colocar em risco o próprio negócio, não só por conta das multas que podem ser aplicadas, mas muito mais em virtude do risco reputacional e de eventuais demandas judiciais.

A adequação à LGPD não passa apenas pela inserção de mensagens no site sobre aceitação de cookies ou da inclusão de cláusulas em contratos abordando o tema, autorizando isto ou aquilo. Para se estar em consonância com a LGPD deve-se, antes de tudo, mapear as atividades de tratamento, repensando sua necessidade e utilidade, bem como, elaborar uma clara política de privacidade e tratamento de dados pessoais, de maneira que haja uma conscientização e mudança de atitudes ao lidar com dados pessoais.

De forma geral, a LGPD é para mim, para você, para todos que tratam dados pessoais.

Marcus Vinicius Ramos Gonçalves
Sócio da BRG Advogados. Prof. Convidado da Pós-Graduação da FGV-RJ. Ex-Presidente da Comissão de Estudos em Comunicação da OAB/SP. Presidente do ILADEM (Inst. Latino-Americano de Defesa e Desenvolvimento Empresarial).

Open chat
Precisa de ajuda?