A Lei Geral de Proteção de Dados (LGPD) - Lei nº 13.709/2018 - trouxe um novo paradigma para o ambiente de negócios no Brasil, impondo desafios e oportunidades para empresas de todos os portes e setores. No âmbito do Direito Empresarial, especialmente no que tange às questões societárias, a adequação à LGPD tornou-se um imperativo legal, com implicações diretas na governança, na gestão de riscos e na responsabilidade dos administradores.
A LGPD não se restringe a um mero conjunto de regras técnicas; ela exige uma mudança cultural profunda nas organizações, colocando a privacidade e a proteção de dados pessoais no centro das estratégias corporativas. A adequação à lei demanda um esforço conjunto de diversas áreas, como TI, Jurídico, Compliance e Recursos Humanos, sob a liderança do corpo diretivo.
O presente artigo tem por objetivo analisar as principais implicações da LGPD no contexto societário, abordando desde a necessidade de adequação dos processos internos até a responsabilidade dos administradores e os impactos em operações de M&A (Fusões e Aquisições).
A LGPD e a Governança Corporativa
A governança corporativa é o sistema pelo qual as empresas são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e controle e demais partes interessadas. A LGPD se insere nesse contexto como um elemento fundamental para a mitigação de riscos e a garantia da conformidade legal.
Adequação de Processos e Políticas
A primeira etapa para a adequação à LGPD é o mapeamento de todos os processos que envolvem o tratamento de dados pessoais. Isso inclui desde a coleta até a exclusão dos dados, passando pelo armazenamento, compartilhamento e uso. A partir desse mapeamento, a empresa deve elaborar e implementar políticas internas de privacidade e proteção de dados, que devem ser claras, acessíveis e de fácil compreensão para todos os colaboradores.
A LGPD exige que o tratamento de dados pessoais seja realizado com base em uma das hipóteses legais previstas no art. 7º, como o consentimento do titular, o cumprimento de obrigação legal, a execução de contrato ou o legítimo interesse do controlador. É fundamental que a empresa documente a base legal utilizada para cada operação de tratamento.
O Encarregado pelo Tratamento de Dados Pessoais (DPO)
A LGPD instituiu a figura do Encarregado pelo Tratamento de Dados Pessoais (DPO), responsável por atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). A nomeação do DPO é obrigatória para a maioria das empresas, salvo exceções previstas em regulamentação da ANPD (art. 41, § 3º).
O DPO deve possuir conhecimentos técnicos e jurídicos sobre proteção de dados, além de autonomia e independência para exercer suas funções. A sua atuação é crucial para garantir a conformidade da empresa com a LGPD e para mitigar os riscos de sanções.
Responsabilidade dos Administradores
A LGPD estabelece um regime de responsabilidade solidária entre o controlador e o operador, caso haja violação à legislação de proteção de dados (art. 42). Além disso, a lei prevê a possibilidade de responsabilização pessoal dos administradores, caso se comprove a sua culpa ou dolo na violação (art. 52, § 2º).
A responsabilidade dos administradores pode decorrer da falha na implementação de medidas de segurança adequadas, da ausência de políticas internas de privacidade ou da negligência na fiscalização do cumprimento da LGPD. Para mitigar esse risco, os administradores devem atuar com diligência e proatividade na adequação da empresa à lei, documentando todas as medidas adotadas.
Impactos em Operações Societárias (M&A)
As operações de M&A (Fusões e Aquisições) envolvem a transferência de controle acionário ou a união de empresas, o que frequentemente implica no compartilhamento de dados pessoais. A LGPD impõe desafios adicionais nessas operações, exigindo a realização de due diligence específica em proteção de dados.
Due Diligence em Proteção de Dados
A due diligence em proteção de dados tem como objetivo avaliar o nível de conformidade da empresa-alvo com a LGPD, identificando os riscos de passivos e as medidas necessárias para adequação. Essa avaliação deve abranger os processos de tratamento de dados, as políticas internas, a segurança da informação e a eventual existência de incidentes de segurança.
A identificação de riscos significativos em proteção de dados pode impactar o valor da transação, as garantias contratuais e até mesmo a viabilidade da operação. É fundamental que as partes envolvidas na operação de M&A estabeleçam cláusulas contratuais específicas sobre proteção de dados, definindo as responsabilidades e as medidas de mitigação de riscos.
Sanções e Consequências do Descumprimento
A LGPD prevê um rol de sanções administrativas que podem ser aplicadas pela ANPD em caso de descumprimento da lei (art. 52). Essas sanções variam desde advertência até multa simples, de até 2% do faturamento da empresa, limitada a R$ 50 milhões por infração.
Além das sanções administrativas, a empresa pode sofrer danos reputacionais significativos em caso de vazamento de dados ou violação à privacidade. A perda de confiança dos clientes e parceiros de negócios pode ter impactos financeiros irreversíveis.
A Atuação da ANPD e a Jurisprudência
A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão responsável por zelar, implementar e fiscalizar o cumprimento da LGPD. A ANPD tem emitido resoluções e guias orientativos para auxiliar as empresas na adequação à lei.
A jurisprudência brasileira sobre a LGPD ainda está em fase de consolidação, mas já existem decisões importantes de tribunais superiores e de primeira instância. O Superior Tribunal de Justiça (STJ) tem reiterado a importância da proteção de dados pessoais e o direito dos titulares à reparação de danos em caso de violação à privacidade.
Dicas Práticas para Advogados
- Conscientização: A primeira etapa é conscientizar a alta administração sobre a importância da LGPD e os riscos do descumprimento.
- Mapeamento: Realize um mapeamento detalhado de todos os processos que envolvem o tratamento de dados pessoais na empresa.
- Políticas Internas: Elabore e implemente políticas internas de privacidade e proteção de dados claras e acessíveis.
- Treinamento: Promova treinamentos periódicos para os colaboradores sobre a LGPD e as políticas internas da empresa.
- Contratos: Revise os contratos com fornecedores e parceiros de negócios para incluir cláusulas específicas sobre proteção de dados.
- Due Diligence: Em operações de M&A, realize due diligence específica em proteção de dados.
- Acompanhamento: Acompanhe a regulamentação da ANPD e a jurisprudência sobre a LGPD para garantir a conformidade contínua da empresa.
Conclusão
A LGPD representa um marco na proteção de dados pessoais no Brasil, com implicações profundas no ambiente de negócios. A adequação à lei é um processo contínuo que exige o engajamento de toda a empresa, sob a liderança da alta administração. Os advogados têm um papel fundamental na orientação e na assessoria jurídica às empresas, garantindo a conformidade com a LGPD e a mitigação de riscos. A proatividade e a diligência na adequação à lei são essenciais para proteger a reputação da empresa e garantir a sua sustentabilidade no longo prazo.
Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse advogando.ai para mais recursos.