Em agosto de 2022 a Lei Geral de Proteção de Dados (LGPD) completou 1 ano de vigência plena em todo território nacional, passando então a valer, também, as disposições que previam as penalidades para os agentes de tratamento que descumprirem a lei. Contudo, ainda existem empresários, donos de pequenas e médias empresas, que acreditam que a aplicação da lei seja apenas para grandes empresas.
Fato é que essa certeza é um dos maiores mitos quando falamos sobre LGPD, visto que a lei se aplica para toda pessoa natural ou jurídica de direito público ou privado, que realiza operações de tratamento de dados pessoais dentro do território nacional, conforme dispõe o artigo 3º[1] da lei.
Para maiores esclarecimentos é importante termos em mente as definições de dois termos chaves: dados pessoais e tratamento. Conforme artigo 5º da lei, dados pessoais são definidos como qualquer informação capaz de identificar ou tornar identificável uma pessoa natural, assim dizem respeito apenas a pessoas naturais. Já o tratamento é entendido como qualquer ação realizada com o dado coletado, como, por exemplo, o armazenamento, compartilhamento, entre outros.
Manter o pensamento de que a lei não se aplica para pequenas e médias empresas e não realizar as adequações necessárias, pode acarretar em grandes problemas financeiros, levando em conta que as penalidades pecuniárias que podem ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), quando verificada uma infração podem chegar até a 2% do faturamento da empresa ou do grupo, do último exercício, limitado a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
Para agravar ainda mais a situação, além de grandes prejuízos financeiros, a falta de implementação de regras e rotinas para cumprimento da lei gera impactos negativos em todos os procedimentos empresariais, como, por exemplo, no relacionamento com clientes, fornecedores e colaboradores, podendo até ser objeto de ações judiciais, nas esferas trabalhistas e cíveis.
A melhor forma de evitar que isso aconteça é adequar todos os procedimentos da empresa que utilizam dados pessoais em sua operação, podendo ser apontados como elementos cruciais para um processo de adequação à LGPD bem estruturado e completo as seguintes ações:
(i) nomeação de um DPO (encarregado);
(ii) análises de riscos das operações que envolvam dados pessoais;
(iii) mapeamento dos dados coletados e utilizados pela empresa;
(iv) atribuições de bases legais aos dados utilizados;
(v) adequação das minutas de contratos;
(vi) elaboração de políticas; e
(vii) treinamento de toda a equipe.
A ordem e forma como essas implementações serão realizadas deverá ser estudada por pessoas específicas de dentro e fora da empresa, sendo que em cada caso poderá ser dada mais ênfase para uma ação específica, tudo dependendo do nível de adequação em que a empresa se encontra.
Finalizadas essas ações pontuais, é extrema importância que seja feito um monitoramento constante da implementação das ações executadas, isso porque o cumprimento da Lei Geral de Proteção de Dados deve fazer parte da cultura organizacional da empresa, não bastando, por tanto, uma adequação pontual.
Marina Sampaio Costa
Advogada, graduada em direito, pelo Centro Universitário Padre Anchieta (2018), inscrita na Ordem dos Advogados do Brasil, Secção de São Paulo (2019). Pós-graduada em Direito Empresarial pela Faculdade Legale, Pós-graduanda em Direito Corporativo e Compliance pela Escola Paulista de Direito (EPD), autora de artigos. Advogada e Coordenadora de Operações no TM Associados.
[1] Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
I – a operação de tratamento seja realizada no território nacional;