Elizeu Miguel Campos Melo*
As multas altíssimas previstas na Lei Geral de Proteção de Dados (“Lei n.º 13.709/2018”) são o principal argumento de algumas consultorias de adequação à LGPD durante negociações junto aos empresários. Todavia, existem outros riscos da LGPD decorrentes da inadequação que são maiores que as multas em pecúnia, que podem ser diárias ou por infração, chegando até R$ 50 milhões, com base no faturamento da organização, inclusive, considerando o seu grupo ou conglomerado localizado no Brasil.
Riscos da LGPD e motivos para investir na proteção de dados
Nesse cenário, é importante elencar quais são alguns dos principais motivos para que as empresas se importem com a legislação brasileira de proteção de dados. Por isso, relaciona-se abaixo 3 motivos (segredo: o último é mais importante).
Redução de passivo judicial
O valor das multas previstas na LGPD não é destinado aos titulares das informações. Existindo um dano patrimonial, moral, individual ou coletivo, decorrente de uma violação à legislação de proteção de dados pessoais, o controlador ou operador precisa repará-lo. Nestes casos, o titular poderá ingressar com uma ação judicial requerendo a indenização, considerando que pela via administrativa (atuação da ANPD) não receberá um valor em pecúnia.
Neste contexto, surge a necessidade das organizações se preocuparem com o passivo judicial. Ressalta-se que o profissional de privacidade não pode “prometer” a eliminação de ações judiciais, pois isso é impossível, considerando que não existe uma ingerência sobre as demais pessoas e o direito para o ingresso com um processo é constitucional.
O grande ponto é a redução do passivo judicial, que é totalmente viável se for implantada uma governança de proteção de dados e uma cultura de privacidade dentro da companhia. Esse passivo é medido com base na chance de êxito de uma determinada demanda. Quando se trata de ações judiciais, o risco é definido em remoto, possível e provável.
Simplificando os termos, quando considerado remoto, trata-se de risco quase zero, mas existente (baixíssimo). Sendo possível, existe uma possibilidade de êxito que não pode ser desconsiderada, sendo comum no início de uma ação, antes da fase de instrução (produção de provas) ou julgamento – a chance é maior que remota e menor que provável. Em contrapartida, quando provável, a chance de êxito da parte autora do processo é enorme.
Assim sendo, quanto maiores as chances de perda em ações judiciais, maior o passivo da empresa. Portanto, existindo processos definidos, evidências da conformidade à LGPD e histórico de eventuais tratativas junto ao titular de dados envolvido, naturalmente, existirá uma redução do passivo judicial referente à privacidade. Isso porque quando um usuário ingressar com uma ação, a empresa conseguirá comprovar a sua adequação, ações e comprometimento com o tema.
Atualização dos processos internos em compliance com a legislação atual
Uma das primeiras ações da empresa no processo de adequação é o mapeamento dos tratamentos de dados pessoais que realiza, para ter o controle exigido pela LGPD em seu artigo 37 e estipular quais são as ações estratégicas (governança) e direcionadas (com base nos setores e atividades) que a empresa deverá executar.
Nessa etapa, será necessária a revisão dos processos internos, por conta dos requisitos e princípios previstos na LGPD, como o da finalidade e necessidade. É interessante a organização aproveitar o momento para eliminar gaps, inclusive de outras áreas, como a trabalhista. O empresário pode utilizar essa demanda para revisar e aprimorar os seus processos, registrando-os, criando normativos e procedimentos operacionais. Isso diminuirá erros humanos e maximizará o lucro, por consequência, atingindo o objetivo empresarial.
Fortalecimento da marca empresarial
A principal penalidade prevista na LGPD (na minha opinião) é a publicização da infração, prevista em seu artigo 52, inciso IV. Essa sanção administrativa é a mais importante por conta do impacto na marca empresarial.
A mentalidade dos consumidores finais está mudando. Hoje em dia, o posicionamento empresarial importa. Não são somente os valores fixados nos produtos ou serviços que são avaliados, mas, a título exemplificativo, são analisadas: (i) ações empresariais que tenham reflexo na sociedade; (ii) formas de produção do produto ou serviço; (iii) impactos no meio ambiente; (iv) atos de corrupção; e, (v) riscos à privacidade e a forma como a empresa conduz o tema.
A demonstração de importância e atenção da companhia referente à privacidade dos titulares que se relacionam com a empresa; a criação de um canal de comunicação e designação de um Oficial de Proteção de Dados (“DPO”) realmente preparado para conduzir as tratativas necessárias – seja celetista ou terceirizado – e as situações em que a companhia é liberada da designação; a criação do canal junto aos titulares; e a contratação de profissionais para auxílio jurídico e técnico, quando necessário, são ações relevantes para o fortalecimento constante e eliminação de riscos da LGPD de marketing negativo referente ao assunto.
Em alguns casos, são necessários anos para construir uma marca empresarial e, minutos para modificá-la, prejudicando todo o progresso conquistado. Por isso, é necessária a existência de uma equipe ou Comitê de Crises, mas, além dessa atuação reativa, é importante a execução de ações preventivas (Privacy by Design).
Questiona-se!
Considerando o exposto, ficam dois questionamentos: (i) é mais benéfico pagar uma multa em pecúnia ou perder os consumidores finais por conta de escolhas ruins? e (ii) é melhor estar em compliance com a LGPD ou ter de pagar uma multa por atuar em desconformidade? Ambos os cenários se voltam ao cumprimento efetivo e consciente da legislação de proteção de dados como forma de eliminar riscos – aos titulares e aos empresários.
Leia outro artigo do autor:
Endomarketing e LGPD: a necessidade do gerenciamento da comunicação interna
Elizeu Miguel Campos Melo: Advogado corporativo, especialista na área Trabalhista Empresarial e em Proteção de Dados Pessoais, Data Protection Officer certificado pela EXIN, no treinamento avançado DPO+ e no Método LGPD, consultor jurídico em privacidade no Instituto de Compliance Notarial e Registral, coordenador do Comitê de Conteúdo da Associação Nacional dos Profissionais de Privacidade de Dados e da revista LGPD Magazine. Pós-graduando em Advocacia Trabalhista e no MBA em Gestão Estratégica de Negócios. Certificado pela EXIN em (i) Information Security Foundation baseado em ISO/IEC 27.001, (ii) Privacy and Data Protection Foundation, (iii) Privacy and Data Protection Practitioner, (iv) Data Protection Officer, e (v) Privacy and Data Protection Essentials. Certificado pela CertiProf em Fundamentos na Lei Geral de Proteção de Dados.
