Uma pergunta muito comum é se a empresa pequena precisa cumprir a Lei Geral de Proteção de Dados – LGPD, e para te responder vou te contar uma situação:
Imagine que você é dono de uma empresa de estética, escola infantil, ou mesmo um comércio varejista e resolve pegar o telefone de clientes - ou pessoas que em algum momento passaram pelo sistema de cadastro da sua empresa – e começar a encaminhar para eles mensagens de propaganda de telemarketing dos seus serviços e/ou produtos.
Creio que você deva estar pensando: Mas o que tem isso de errado? É uma prática comum? Pode até ser comum, mas é uma prática ilegal! Te mostro por quê.
A Lei Geral de Proteção de Dados disciplina a proteção de dados pessoais e um dos seus fundamentos é justamente o respeito à privacidade (art. 2°, I).
E o que exatamente isso significa?
Significa que para coletar, armazenar e utilizar dados pessoais para, por exemplo, realizar campanhas de marketing é necessário colher a autorização expressa do dono dos dados. Veja o que diz a lei:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
Mas será que o número de telefone é um dado pessoal?
Pense o seguinte: O número de telefone é capaz de identificar ou tornar identificável uma pessoa? Sim, certo? Logo, para a finalidade da LGPD ele é sim um dado pessoal.
Art. 5º Para os fins desta Lei, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
E qual a consequência para o uso indevido de um dado pessoal?
Lembra do caso que eu contei lá no início? Então, ele aconteceu. Um juiz da cidade de Ribeirão Preto/SP condenou uma empresa do ramo do comércio varejista que mantinha os dados pessoais de uma pessoa em seu banco de dados para envio de campanhas de marketing.
Para condenar a empresa ele considerou duas coisas: 1° Ela deixou de indicar quando solicitada pelo titular dos dados quem era o responsável pelo tratamento (Artigo 41 da Lei); 2° Ela não forneceu os meios pelos quais o titular poderia exercer seu direito de exclusão (Artigo 18 e 43 da Lei).
Na condenação o juiz mandou que a empresa desse acesso ao titular a todos os seus dados tratados indevidamente e cessasse o envio de mensagens sob pena de multa diária.
E danos morais? Será que cabe nesses casos? Sim. Apesar de na situação que foi julgada pelo juiz de Ribeirão Preto/SP não ter sido concedido, a Lei Geral de Proteção de Dados, prevê a reparação por danos morais:
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
Vale ressaltar que a questão do dano moral pelo descumprimento da LGPD ganhou ainda maior força agora que os dados pessoais foram elevados ao status de "direitos fundamentais". É isso mesmo, o Congresso Nacional promulgou no dia 10 de fevereiro de 2022 a Emenda Constitucional 115/2022 que inclui a proteção de dados pessoais como direitos fundamentais.
Mas a avaliação depende da análise do caso concreto e, justamente por isso, deve-se observar algumas medidas preventivas para diminuir os riscos, como por exemplo (a) estabelecer uma política de proteção de dados (ou política de segurança da informação); (b) sempre responder - e manter os protocolos de respostas – as solicitações feitas pelo titular dos dados; (c) estar atento as resoluções da Agência Nacional de Proteção de Dados – ANPD.
Por sinal, a ANPD acabou de publicar a Resolução CD/ANPD n°2/2022 que estabelece o tratamento jurídico diferenciado para empresas de pequeno porte a LGPD, ou seja, há uma flexibilização e dispensa de algumas obrigações que dão ao pequeno empreendedor ou empresário grandes vantagens.
Uma delas é, por exemplo, a dispensa da obrigatoriedade de nomeação do encarregado de dados. Outra, é a simplificação da política de proteção de dados (ou política da segurança da informação).
Eu sei, parece muita coisa para ser feita...Mas não é tão difícil assim, quando tudo é feito a partir de um plano de ação bem estruturado e adequado ao seu negócio, se torna mais fácil. Lembre-se você não terá arrependimentos por estar em conformidade, mas pode se arrepender por não estar.
As duas coisas mais importantes não aparecem no balanço da empresa: sua reputação e seu time. (Henry Ford)
Conhece algum empreendedor ou empresa que precisa se adequar a LGPD? Compartilhe o conteúdo com ele.
Jessica Barros é advogada atuante no direito civil empresarial e tribunais superiores. Especialista em Compliance e LGPD.
Conheça meu trabalho também na atuação em Tribunais Superiores clicando no botão abaixo.
Comentarios