Embora a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 – LGPD) esteja em vigor desde 2020, muitas empresas ainda não compreenderam plenamente sua aplicabilidade nem quais são as exigências legais aplicáveis ao seu negócio, sobretudo quando o tratamento de dados pessoais não integra sua atividade principal. Nesse contexto, ignorar a LGPD ou deixar de buscar a devida adequação pode expor a empresa a riscos relevantes.
Na prática, a LGPD não se limita a empresas de tecnologia ou a negócios que lidam intensamente com dados. Sempre que uma empresa coleta, acessa, armazena, compartilha ou utiliza informações relacionadas a pessoas físicas, seja por meio do cadastro de clientes, na gestão de colaboradores, no relacionamento com fornecedores ou até mesmo em ações de marketing, por exemplo, ela está realizando tratamento de dados pessoais. E, nesse contexto, independentemente do porte ou do setor de atuação, essa empresa se enquadra como controladora de dados.
Uma vez caracterizada como controladora de dados, a empresa precisará tomar decisões sobre o tratamento de dados pessoais, definindo, por exemplo, quais informações serão coletadas, para quais finalidades e por quanto tempo serão armazenadas.
Desta forma, a LGPD exige que essas decisões estejam fundamentadas em bases legais adequadas, que sejam observados princípios como finalidade, necessidade e transparência, e que sejam adotadas medidas de segurança aptas a proteger essas informações contra acessos não autorizados ou demais incidentes. Além disso, o controlador também é responsável por garantir que os titulares dos dados (ou seja, qualquer pessoa física que se relacione com sua empresa) possam exercer seus direitos, como o acesso, a correção e a exclusão de suas informações.
Na prática, isso significa que a adequação à LGPD não se resume à elaboração de documentos formais, mas envolve a revisão de processos internos, a definição de fluxos de tratamento de dados e a implementação de uma cultura organizacional voltada à proteção de dados pessoais. Mesmo em estruturas mais enxutas, é comum que essas atividades estejam dispersas entre diferentes áreas da empresa, o que pode dificultar a identificação de riscos e o cumprimento integral da legislação.
Como consequência desse cenário, a ausência de uma abordagem estruturada para o tratamento de dados pessoais pode expor a empresa a riscos que vão além de eventuais sanções administrativas, incluindo falhas na definição de bases legais, fragilidades na segurança da informação e dificuldades no atendimento aos direitos dos titulares, o que pode resultar em impactos financeiros, operacionais e reputacionais relevantes, muitas vezes decorrentes de rotinas que, à primeira vista, parecem simples, seguras ou de baixo risco.
Portanto, compreender o papel do controlador e as responsabilidades associadas ao tratamento de dados pessoais é um passo essencial para que a empresa consiga avaliar seu nível de exposição e estruturar um processo de adequação compatível com sua realidade. A conformidade com a LGPD, além de atender à exigência legal, contribui para a organização interna, a mitigação de riscos e o fortalecimento da confiança nas relações comerciais.
Sob essa perspectiva, olhar para a LGPD de forma estruturada permite transformar uma obrigação regulatória em um diferencial de gestão e de relacionamento. A partir de uma análise cuidadosa das práticas adotadas, torna-se possível identificar pontos de atenção e evoluir de maneira segura e proporcional, alinhando a proteção de dados às necessidades e à dinâmica do próprio negócio.
Por João Antonio Arantes
Advogado do Direito Digital e Compliance da Lopes & Castelo Sociedade de Advogados
