Cinco anos da LGPD: Onde a lei ainda precisa avançar?

A Lei Geral de Proteção de Dados completou cinco anos de existência no dia 14 de agosto, e ela ainda não é uma realidade para muitas empresas brasileiras. Publicada em 2018, a lei entrou em vigor em 2020 - já as sanções administrativas em 2021 -, concorrendo com a pandemia do coronavírus, quando a maioria das empresas precisou eleger prioridades a fim de manter a subsistência de seus negócios. Passado esse período crítico, é essencial voltar a atenção para essa importante obrigação legal.

Não cabe mais o velho questionamento "será que a LGPD é para mim", pois ela é clara em afirmar que toda pessoa, natural ou jurídica, de direito público ou privado, que utilize dados pessoais com finalidade econômica, tem o dever de se adequar. Nesse sentido, mesmo que determinado negócio não utilize dados pessoais de terceiros, se tiver ao menos um funcionário em seu quadro de colaboradores já estará obrigado a proteger essas informações na condição de controlador de dados.

E falando em controlador, saber identificar o seu papel enquanto agente de tratamento de dados pessoais é primordial para medir o risco ao qual uma empresa está exposta em termos de responsabilização. Pela LGPD, a responsabilidade e as obrigações do controlador são maiores em relação ao operador de dados pessoais, então, compreender o seu papel em cada processo que utiliza dados pessoais vai assegurar que uma empresa não assuma responsabilidades que não são suas.

Vemos no mercado uma gama de contratos sendo firmados contendo cláusulas sobre a Lei Geral de Proteção de Dados de forma genérica, quando não cópia pura e simples dos artigos da lei. Como dito anteriormente, se a empresa não compreende qual o seu papel, está sujeita a anuir com exigências que podem ser inviáveis de serem cumpridas, extrapolando as obrigações impostas diretamente pela legislação.

Mas como saber qual o seu papel em termos de privacidade e proteção de dados pessoais? Pois bem, à medida que uma empresa se dispõe a passar pelo processo de adequação, será necessário revisitar todos os seus processos a fim de mapear onde há a utilização de dados pessoais. Esse trabalho abrange desde a necessidade de aumento do quadro de colaboradores internos até a utilização de dados de clientes, fornecedores e eventuais prestadores de serviços. Na maioria das vezes, essa fase do processo de conformidade com a LGPD se apresenta como surpreendente aos empresários, uma vez que nem eles próprios têm noção da quantidade de dados pessoais que seus negócios demandam nas mais diversas fases das atividades internas.

De posse do fluxo que as informações de natureza pessoal percorrem dentro de uma organização, fica mais fácil entender e eleger quem são os agentes de tratamento em cada cenário distinto. E sim, uma mesma empresa pode atuar tanto como controladora como operadora de dados pessoais, a depender da atividade desempenhada.

Ainda sobre o mapeamento de dados, ele também é imprescindível para que uma empresa consiga justificar a utilização dos dados pessoais fundamentada nas bases legais elencadas pela LGPD. Aqui, cabe ressaltar que, contrariando o senso comum, a lei não proíbe ninguém de utilizar dados pessoais, muito menos tem a intenção de dificultar a realização de negócios, no entanto, ela exige que esse uso esteja devidamente suportado por hipóteses legalmente previstas e por medidas de segurança adequadas, sejam técnicas ou administrativas.

Mas como isto pode ajudar os negócios? Levando em consideração que a Lei Geral de Proteção de Dados é uma norma principiológica, seguir seus princípios certamente levará qualquer empresa a um patamar de boa reputação, confiança e credibilidade frente a seus concorrentes e ao mercado como um todo.

Quanto mais dados uma empresa coletar e armazenar, maior será o seu grau de risco no caso de ocorrer algum incidente de segurança. Assim, além de sempre ter a boa fé regendo seus negócios, as empresas precisam mudar aquela velha mentalidade de coletar uma quantidade infinita de informações, muitas vezes sem saber justificar o porquê. Aqui entra o princípio da finalidade, que consiste em coletar e tratar dados pessoais com propósitos claramente definidos, não sendo possível a utilização para finalidade diversa daquela pela qual foi coletado.

Ademais, seguir o princípio da necessidade, que preza por coletar somente as informações estritamente necessárias para aquele momento específico, somado ao princípio da transparência, farão com que a cultura de privacidade e proteção de dados seja gradativamente inserida na gestão de uma organização.

A LGPD não é uma opção, mas sim uma obrigação. Focar na adequação de uma empresa é desfrutar da tranquilidade de atuar em conformidade com a legislação e de estar apto para aproveitar as oportunidades que o mercado oferece para aqueles que assumem a proteção de dados como padrão.