A adequação à LGPD não se resume às operações B2C

Muito tem sido questionado pelas empresas cujos modelos de negócios envolvem operações somente entre empresas (B2B) ou junto ao governo (B2G), por exemplo, se a adequação à Lei Geral de Proteção de Dados Pessoais (LGPD) não se resume às operações B2C, apenas. Tais empresas não estão convencidas sobre a necessidade de se adequarem à Lei Geral de Proteção de Dados (Lei 13.709/18) de modo urgente, acreditando que as mesmas não serão alvo de fiscalização pela Autoridade Nacional de Proteção de Dados (ANPD) ou ainda de pleitos por parte das pessoas físicas titulares de dados pessoais.

De um modo geral, a LGPD se aplica a "qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: a atividade envolvendo o tratamento de dados pessoais seja realizada no Brasil; tal atividade tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou ainda os dados pessoais, objeto da atividade realizada, tenham sido coletados no Brasil".

Portanto, independentemente do modelo de negócio adotado pela empresa, o fato é que diariamente são realizadas inúmeras atividades envolvendo dados pessoais pelos vários setores e/ou departamentos das empresas, sejam aqueles relativos a funcionários e/ou outros colaboradores, de clientes pessoas físicas, representantes legais de pessoas jurídicas, visitantes, prestadores de serviços, contatos comerciais etc.

É importante relembrar que, de acordo com a LGPD, todo e qualquer dado pessoal deve ser objeto de proteção e somente poderão ser utilizados dentro de hipóteses legais específicas. Ou seja, ao contrário do que muitos pensam, não são somente os dados pessoais sensíveis, assim considerados aqueles sobre a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, referentes à saúde ou à vida sexual, genéticos ou biométricos, que importam em um processo de adequação de uma empresa à referida legislação, mas todos os dados pessoais que identifiquem ou que meramente permitam a identificação de um indivíduo deverão ser objeto de proteção, na forma da dita legislação.

Segundo levantamento realizado por nosso escritório por meio do Data Lawyer [1], verificamos que somente no ano de 2021 a LGPD foi utilizada como base de pedidos formulados no âmbito de aproximadamente 730 reclamações trabalhistas, sendo 282 somente no estado de São Paulo, que somam aproximadamente R$ 50 milhões.

Entre os pleitos mais comuns no âmbito da Justiça Trabalhista encontramos a solicitação de acesso a informações e documentos contendo dados pessoais mantidos pelo empregador, correção de dados pessoais registrados indevidamente, bem como indenização pelos prejuízos decorrentes do descumprimento dos direitos garantidos na LGPD pelos empregadores e do uso indevido de dados pessoais de colaboradores por empregadores, incluindo casos em que se verificou o extravio de documentos contendo dados pessoais dos referidos reclamantes.

Já no âmbito da Justiça comum, foram indexados pelo sistema Jurisprudência Aasp aproximadamente cem processos no ano de 2021 que fazem referência à LGPD [2], sendo 75 no estado de São Paulo, em relação aos quais são pleiteados em sua grande maioria a indenização pelo uso indevido dos dados e/ou sobre os prejuízos sofridos em razão do vazamento de dados.

A LGPD confere a todos os titulares de dados pessoais determinados direitos que incluem, mas não se limitam, a: confirmação da existência de tratamento de dados pessoais, correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na lei; portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; eliminação dos dados pessoais em determinadas hipóteses, revogação do consentimento para uso de dados pessoais, entre outros.

É certo dizer, todavia, que o atendimento a tais pleitos que venham a ser formulados pelos titulares ou ainda pela Autoridade Nacional de Proteção de Dados (ANPD) somente será possível se as empresas tiverem suas atividades envolvendo o tratamento de dados devidamente mapeados, bem como realizarem a devida gestão dos dados dos titulares que são utilizados sob qualquer forma no âmbito de suas atividades empresariais, dentro de uma política de governança de dados pessoais.