Os erros mais comuns das empresas no processo de adequação à Lei Geral de Proteção de Dados Pessoais

O início de vigência da Lei Geral de Proteção de Dados (LGPD) em 18 de setembro de 2020 deu um novo sentido de urgência à necessidade de que as empresas concentrem seus esforços na adequação às diretrizes legais.

Embora a aplicação das sanções e penalidades dispostas na LGPD esteja prevista para ocorrer a partir de agosto de 2021, é plenamente cabível que os titulares dos dados acionem desde já os órgãos públicos ou o Poder Judiciário, pleiteando o cumprimento da lei.

Nesse cenário, que impõe a imediata observância das obrigações contidas na LGPD, algumas empresas podem adotar medidas equivocadas. Listamos aqui os quatro erros mais comuns verificados, na prática, no processo de adequação:

1. Deduzir que a LGDP não se aplica à sua empresa

Salvo algumas exceções, as disposições previstas na LGPD se aplicam a qualquer operação de tratamento de dados realizada por pessoa natural ou pessoa jurídica, de direito público ou privado, em meio físico ou digital.

Para esse fim, devem ser consideradas todas as operações realizadas com dados pessoais, como aquelas que se referem a coleta, produção, utilização e armazenamento. Ou seja, estão sujeitas à lei todas as empresas que, em algum nível, se utilizam de dados pessoais em seus procedimentos diversos. Por menor que seja o porte da empresa, basta haver a coleta dos dados para que fique caracterizada a necessidade de adequação.

2. Adequação em um toque

Um dos grandes equívocos é acreditar que a adequação à LGPD poderá ser realizada com a simples utilização de softwares que oferecem o cumprimento de todas as exigências legais apenas com sua instalação.

O uso de ferramentas tecnológicas pode ser um facilitador na jornada de adequação, porém se trata de instrumento complementar. O processo de conformidade demanda planejamento e análise pontual sobre todo o fluxo de dados na empresa.

Para que a implementação ocorra de forma eficaz, é esperado que diversas áreas da empresa contribuam com as etapas de mapeamento dos dados, verificação de necessidade da coleta e finalidade de uso.

3. Coleta de dados desnecessários

A LGPD classifica os dados pessoais em grupos distintos. De um lado, temos os dados pessoais, que são todas as informações passíveis de tornar uma pessoa identificada ou identificável.

Se enquadram nesta categoria: nome; endereço; data de nascimento; documentos pessoais etc. De outro, temos os dados pessoais sensíveis, que quando revelados podem originar alguma discriminação ou segregação, por exemplo: dados biométricos; origem racial e étnica; dados referentes à saúde ou à vida sexual etc.

Muitas empresas coletam informações sensíveis dos titulares sem que haja justificativa legal para tanto. Com a LGPD, os dados pessoais deverão ser coletados na medida de sua utilização e finalidade.

4. Utilização equivocada da base legal

Todos os dados pessoais coletados deverão se enquadrar em uma base legal prevista na LGPD. Nesta, há dez hipóteses que autorizam o tratamento dos dados pessoais. Uma delas é a obtenção de consentimento do titular, que deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de sua vontade.

O uso equivocado dessas bases pode configurar o tratamento ilegal dos dados pessoais. Portanto, é extremamente importante que as empresas fiquem atentas quanto a seu uso correto.

*Eduardo Felipe Matias e Evelyn Tamy Macedo.