Desde que foi publicada em 2018, a Lei Geral de Proteção de Dados causa um desconforto generalizado nas empresas. A primeira reação foi negá-la: a Lei não vai “pegar”, diziam os céticos, como se ela fosse uma modinha passageira, propensa a cair em desuso, antes mesmo de adentrar as vitrines dos grandes shoppings da cidade. A segunda, postergá-la. Apegando-se, principalmente, aos subterfúgios da ausência de regulamentação e da criação da Autoridade Nacional de Proteção de Dados (ANPD), como se não houvesse um prazo para seus cumprimentos. E a terceira, bem mais perigosa, afirmar veementemente: “a LGPD não é para mim ou para meu negócio”. Ledo engano.
Com a entrada em vigor e já sendo amplamente usada como respaldo legal nas decisões dos tribunais, a LGPD desmistifica o frisson equivocado dos incrédulos e faz cair por terra a cortina da desinformação a cada ato em desacordo com a Lei. De concessionária de metrô a redes de farmácia e de varejo, passando por consultorias de recrutamento e seleção, fornecedoras de sistemas de tecnologia e tantas outras empresas, que se achavam na crista da onda da inovação, estão repensando suas ações para se adequarem. Bem, pelo menos, a maioria delas.
Isso porque, além de ilegal, a linha está ficando tênue, esbarrando até no campo da moral, a captura de imagens, digitais ou dados cadastrais sem uma finalidade precisa e clara, tudo para, então e somente então, oferecer o serviço ao qual o consumidor busca: usar o metrô, comprar uma roupa, obter um desconto no medicamento, inscrever-se numa vaga de emprego ou enviar um currículo.
Além disso, não raras são as vezes (para não dizer o contrário), que a empresa pede uma reunião para entender o processo de adequação e se firma, do início ao fim, na posição de que essa responsabilidade não é dela, mas sim de seu cliente (outra empresa) ou fornecedor, declarando que não pratica, em absoluto, nenhum dos verbos do art. 5º, X, da LGPD. Importante lembrar que nele há a definição do que é “tratamento”, qual seja: coletar, produzir, recepcionar, classificar, utilizar, conceder acesso, reproduzir, transmitir, distribuir, processar, arquivar, armazenar, eliminar, avaliar, controlar, modificar, comunicar, transferir, difundir ou extrair dados pessoais.
Se a empresa, de fato, não faz nada disso, ainda vá lá. Mas, ao avançar nos meandros dos processos, percebe-se, claramente, que há tratamento no simples fato de se contratar funcionários e até, antes disso, no próprio processo de seleção, assim como ao firmar acordos com prestadores de serviços e fornecedores, entre tantas outras operações, ainda que ela não colete os dados pessoais do cliente final, pessoa física, lá na ponta.
Numa dessas vezes, um gestor chegou a dizer que o sistema dele, voltado a agendamento de consultas não coletava, tratava ou armazenava absolutamente nada, que era um sistema meramente intermediador de dados. Logicamente que, com uma pergunta básica sobre o sistema permitir ou não marcar dois procedimentos no mesmo dia e horário, com o mesmo prestador de serviço, ele claramente entendeu que o software era sim detentor de uma base de dados e que, entre esses dados, haviam os pessoais, para a realização de funções simples: realizar o cadastro e impedir agendamentos conflitantes.
Sabemos que o processo de adequação nunca será pleno numa cadeia em que alguns elos ainda relutam bravamente em entender o valor de um dado pessoal, mas nosso papel é, aos poucos, encorajar que as pessoas, titulares de seus direitos, usem a Lei a seu favor. Somente desta forma os agentes responsáveis nesses processos se sentirão impingidos a segui-la, fazendo com que cada ponta também se adéque e, até quem sabe, enxergue isso como um diferencial para se destacar no mercado. Afinal, a LGPD é para todos porque, das duas uma, ou você é titular desses direitos ou pode ser ou vir a ser, também, gestor ou operador de uma empresa que coleta, trata e armazena dados pessoais. Não há uma frestinha para dizer: a LGPD não é para mim.