A LGPD deixou de ser tema restrito ao departamento jurídico ou a uma política de privacidade publicada no site. Para empresas, proteção de dados pessoais e disciplina de governança: envolve processos, contratos, tecnologia, segurança da informação, recursos humanos, marketing, atendimento, fornecedores e gestão de incidentes.
A Lei Geral de Proteção de Dados exige que o tratamento de dados pessoais observe finalidade, necessidade, adequacao, transparencia, segurança, prevencao e responsabilizacao. Em termos empresariais, isso significa que a empresa precisa saber quais dados coleta, por que coleta, onde armazena, com quem compartilha, por quanto tempo conserva e como protege.
Conformidade em privacidade não se prova apenas com documentos. Prova-se com processo, registro e controle.
Inventario de dados como base da conformidade
O inventario de dados e o ponto de partida de um programa serio de LGPD. Ele identifica dados pessoais tratados em áreas como RH, comercial, marketing, financeiro, atendimento, tecnologia, contratos, jurídico e fornecedores.
Sem inventario, a empresa não consegue definir bases legais de forma consistente. Também não consegue responder adequadamente a titulares, avaliar riscos, revisar contratos ou reagir a incidentes. A organização passa a depender de percepcao informal, e não de governança.
Um bom inventario deve indicar categoria de titular, tipo de dado, finalidade, base legal, origem, sistema utilizado, compartilhamentos, prazo de retencao, medidas de segurança e responsavel interno pelo processo.
Bases legais e finalidade
Um erro frequente e tratar consentimento como solução universal. Na LGPD, consentimento e apenas uma das bases legais. Em relações empresariais, podem ser relevantes execução de contrato, cumprimento de obrigacao legal ou regulatória, exercicio regular de direitos, legitimo interesse, proteção do crédito e outras hipoteses previstas em lei.
A escolha da base legal deve considerar a finalidade concreta. A empresa não deve coletar dados “por garantia” ou manter informações indefinidamente sem justificativa. Dados excessivos aumentam risco em incidentes, fiscalizacoes e disputas judiciais.
Contratos com operadores e fornecedores
Boa parte dos riscos de LGPD surge em relações com terceiros: sistemas de folha, ERPs, CRMs, agencias de marketing, plataformas de pagamento, contabilidades, empresas de tecnologia, consultorias e prestadores que acessam dados pessoais.
Contratos com fornecedores devem prever finalidade do tratamento, papel das partes, medidas de segurança, confidencialidade, subcontratacao, comunicacao de incidentes, devolucao ou eliminacao de dados, auditoria quando aplicável e cooperação em pedidos de titulares ou autoridades.
Quando a empresa contrata fornecedor sem revisar cláusulas de dados, assume risco invisivel. Em caso de vazamento, falha operacional ou uso indevido, a falta de contrato robusto dificulta apuração de responsabilidades.
Incidentes de segurança: o pior momento para improvisar
Incidentes de segurança podem envolver acesso indevido, perda, vazamento, sequestro de dados, envio errado de arquivos, credenciais comprometidas, falhas de sistemas ou uso não autorizado por colaboradores. A resposta exige velocidade e metodo.
A ANPD possui normas e orientacoes sobre comunicacao de incidentes de segurança. A empresa deve avaliar natureza dos dados, quantidade de titulares, medidas adotadas, risco relevante, possibilidade de dano e necessidade de comunicacao a autoridade ou aos titulares.
Sem plano de resposta, a empresa tende a atrasar, comunicar mal, apagar evidencias, subestimar risco ou expor informações desnecessarias. Um plano adequado define quem aciona quem, como conter, como preservar logs, quem avalia juridicamente, quem comunica e quais medidas corretivas serão implementadas.
LGPD aplicada a empregados
Empresas também tratam grande volume de dados de empregados: documentos pessoais, dados bancarios, dependentes, saúde ocupacional, ponto, monitoramento, imagens, e-mails corporativos, beneficios e informações disciplinares. A relação de trabalho exige cuidado especial, porque envolve assimetria entre empresa e trabalhador.
Políticas internas devem explicar monitoramento de sistemas, uso de e-mail, cameras, controles de acesso, armazenamento de documentos e compartilhamento com contabilidade, planos de saúde, bancos e autoridades. A transparencia reduz risco e melhora a defesa da empresa.
LGPD e governança de dados
Privacidade não se resolve com um documento isolado: exige inventario, processo, contrato e resposta a incidentes.
O Assis Lira Advocacia apoia empresas em inventario de dados, políticas, contratos, RIPD, resposta a incidentes e programas de governança em privacidade.
Conclusão
A LGPD exige maturidade operacional. Empresas que mapeiam dados, definem bases legais, revisam contratos, treinam equipes, controlam acessos e possuem plano de incidentes reduzem risco regulatório, reputacional e judicial.
Proteção de dados não e custo isolado. E governança empresarial aplicada a informação.
Fontes consultadas
- Brasil. Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709/2018. Fonte: Planalto. Acessar fonte.
- Autoridade Nacional de Proteção de Dados. Guias orientativos, normas e orientacoes sobre agentes de tratamento, encarregado e incidentes de segurança. Fonte: ANPD/Gov.br. Acessar fonte.
- Superior Tribunal de Justica. Jurisprudencia sobre proteção de dados, responsabilidade civil e vazamento de dados. Fonte: STJ. Acessar fonte.