Advogando na área de privacidade e proteção de dados, uma das perguntas que mais nos tem sido feita nos últimos meses é se ainda é possível tirar o atraso e adequar a empresa às regras previstas na Lei Geral de Proteção de Dados Pessoais (LGPD - lei3.709/2018). A LGPD, lembre-se, foi promulgada em agosto de 2018 e, após diversas mudanças legislativas, entrou em vigor em agosto de 2020, com exceção dos artigos que regulam as sanções administrativas, que só passaram a valer há pouco mais de um ano.

No primeiro momento, ainda durante o período de vacância, foram as grandes empresas e aquelas que possuíam relações comerciais ou interesses econômicos com empresas europeias (por conta do início de vigência do GDPR, o Regulamento Geral de Proteção de Dados europeu), que iniciaram seus processos internos de adequação à LGPD, a revisão de suas políticas de privacidade e de proteção de dados e a criação de estruturas próprias para atendimento aos titulares de dados pessoais e resposta a questionamentos administrativos e judiciais que surgissem, coordenadas por um encarregado¹.

Por outro lado, muitas pequenas e médias empresas optaram por esperar. Seja para verificarem se a nova lei de fato iria "pegar" - algo típico da cultura nacional - seja pela necessidade de altos investimentos, ou até mesmo para melhor compreender o que precisaria ser feito e se a LGPD efetivamente as abrangeria, embora a leitura de seu artigo 3º não deixasse margem para dúvidas: 

Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:

I - a operação de tratamento seja realizada no território nacional;

II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou     

III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional. 

A realidade tem demonstrado que sim, a LGPD aplica-se às empresas, ainda que microempresas ou de pequeno porte², e que estar adequada à lei e às melhores práticas de proteção de dados tornou-se não um custo extra, mas verdadeiro diferencial competitivo. 

Para chegar a tal conclusão, baseamo-nos em duas principais constatações. De um lado, há o ganho reputacional. É visível que as preocupações com a privacidade das pessoas e com a proteção de dados pessoais deixaram de estar relegadas a segundo plano e tornaram-se objeto de inquietação de consumidores. Nesse sentido, respeitar - e demonstrar que efetivamente o faz - a privacidade de seus clientes, tomando as medidas necessárias e adequadas para que dados pessoais sejam tratados e protegidos com segurança, além de evitar comportamentos abusivos e pouco transparentes, como o compartilhamento indiscriminado dos dados com terceiros, repercute cada vez melhor na sociedade.

Pode-se aqui traçar um paralelo com as empresas que investem em medidas de preservação do meio-ambiente, cada vez mais valorizadas por consumidores, sociedade e mídia.

Além disso, como muitas empresas ainda não estão corretamente preparadas para cumprir as obrigações previstas na LGPD ou atender os direitos dos titulares de dados pessoais, estar adequada aos ditames da lei representa verdadeira janela de oportunidade frente à concorrência, na medida em que grandes empresas - aquelas às quais nos referimos acima, que já cumprem os requisitos legais - cada vez mais buscarão firmar novos contratos apenas com parceiros que também estejam adequados.

Mais do que mera escolha empresarial, trata-se de verdadeira necessidade, pois a LGPD, ao disciplinar a responsabilidade pelo tratamento de dados, determina que controlador e operador que causarem dano material ou moral a outrem são obrigados a reparar o dano, prevendo ainda regras de responsabilidade solidária entre ambos (art. 42, § 1º, I e II), com o reforço - sempre que houver relação consumerista - das regras de responsabilidade previstas no Código de Defesa do Consumidor, como expressamente prevê o art. 45 da LGPD.

Trocando em miúdos: uma instituição financeira resolve iniciar uma campanha publicitária que envolva o sorteio de prêmios para novos clientes que se cadastrarem. Para tanto, decide contratar uma agência de publicidade para organizar a campanha e a plataforma onde os consumidores cadastrarão seus dados e participarão do sorteio. Neste hipotético exemplo, a instituição financeira estará na posição de controladora dos dados de seus clientes e a agência de publicidade atuará como operadora, uma vez que realizará o tratamento de dados pessoais em nome e sob as diretrizes do controlador.

Para não correr riscos que podem: (i) gerar punição administrativa por parte da Autoridade Nacional de Proteção de Dados ou de órgãos como a Secretaria Nacional do Consumidor (Senacon); (ii) dar causa ao ajuizamento de inúmeras ações individuais ou mesmo de uma ação civil pública; e (iii) correr sério risco reputacional à sua imagem em caso de vazamento de dados, a instituição financeira certamente buscará um parceiro que demonstre estar de acordo com a LGPD e seguir as medidas mais eficazes de segurança disponíveis no mercado.

Assim, uma premiada agência de publicidade, famosa por suas campanhas, mas que não demonstre estar adequadamente preparada no que diz respeito à proteção de dados pessoais, poderá ser preteria por outra - talvez não tão conhecida - que comprove estar de acordo com as regras da LGPD. É este tipo de oportunidade que irá se abrir cada vez mais às empresas que ainda não se prepararam, mas que decidirem aproveitar o momento para tanto. O próprio mercado exigirá, cada vez mais, que os prestadores de serviços estejam aptos a cumprir a lei.

Por isso, ainda há tempo para as empresas que não se adequaram à LGPD correrem atrás do prejuízo e transformarem o que à primeira vista poderia ser encarado como gasto em investimento e oportunidade, inclusive de novos e maiores ganhos.

__________

1 O encarregado também é conhecido como DPO - Data Protection Officer.