T

h
i
s
P
UNIVERSIDADE
h ESTACIO DE SÁ
o
t
o

b
Curso de Direito
y

U
n
k
n
o
w
n

A
u
LEI GERAL DE PROTEÇÃO t DE DADOS NO ÂMBITO COORPORATIVO: OS
h
IMPACTOS DA LEI NAS EMPRESAS
o
r

i
s

l
NICOLE
i MEDEIROS FERREIRA
c
e
n
s
e
d

u
n
d
e
r

C
C
B
Y
-
N
C
Rio de Janeiro
2021
 T
h
i
s
P
NICOLE
h MEDEIROS FERREIRA
o
t
o

b
y

U
LEI GERAL DE PROTEÇÃO DE DADOS NO ÂMBITO COORPORATIVO: OS
n
IMPACTOS DA LEI NAS kEMPRESAS
n
o
w
n

A
u
t
h
o Artigo Científico Jurídico apresentado
r
à Universidade Estácio de Sá, Curso
i de Direito, como parte das exigências
s
de obtenção de título de bacharel em
l
i Direito.
c
e
n
s Profª. Orientadora: MARCIA DOS
e
d SANTOS PIMENTEL NUNES.

u
n
d
Me. Profª. Coordenadora: JERUSA
e
r

C
C
B
Y Rio de Janeiro
-
N Campus Barra World
C
2021
 T
h
i
s
LEI GERAL DE PROTEÇÃO DE DADOS NO ÂMBITO COORPORATIVO: OS
P
IMPACTOS DA LEI NAS EMPRESAS
h
o
t
o

b
y

U
n
k
n
RESUMO o
w
n

A
u
O presente trabalho visa o estudo
t da lei 13.709 (LGPD) referente a de proteção de
h
dados pessoais, especificamente
o a análise da lei no âmbito empresarial.
r
Primeiramente, expor a definição da LGPD, os aspectos gerais da lei e sua
relevância atualmente. Parai então, abordar e analisar a LGPD no ambiente
s
coorporativo, quais os impactos jurídicos e mudanças que a referida lei poderá
l
acarretar nas empresas, as adequações
i das mesmas à legislação, e de que forma
c
as empresas devem agir para
e que seja efetiva a proteção dos dados pessoais de
n
seus clientes e colaboradores.
s O presente estudo não se pretende exaurir o assunto,
e
mas apresentar alguns dosd desafios que as empresas vêm enfrentando com a
implementação da nova lei. u
n
d
Palavras – chave: Proteção ede dados. Dados pessoais. Impactos coorporativo.
r

C
C
B
Y
-
N
C
SUMÁRIO

1 INTRODUÇÃO.................................................................................................................4
2 DA LEI DE PROTEÇÃO DE DADOS (LGPD).............................................................5
3 OS IMPACTOS DA LGPD NO AMBIENTE COORPORATIVO..............................9
3.1 OS IMPACTOS DA LGPD NAS EMPRESAS DE PEQUENO PORTE (EPP)11
3.2 TRATAMENTO DOS DADOS PESSOAIS DOS CLIENTES E
COLABORADORES..............................................................................................................13

4 AS ADEQUAÇÕES À LEI PELAS EMPRESAS........................................................16

5 CONCLUSÃO..................................................................................................................19
 1 INTRODUÇÃO

Inicialmente, cumpre esclarecer sobre os pontos principais e relevantes sobre

a lei 13.709/2018, no sentido de apresentar uma visão geral sobre o tema, bem
como, sua definição, as finalidades e os objetivos dessa lei.
Com o presente trabalho pretende-se principalmente abordar o tema da
proteção dos dados pessoais, com a análise da lei 13.709/18 no âmbito
coorporativo, com foco nos impactos que a referida lei vem causando nas empresas
e irá acarretar quando de fato a lei for promulgada pelo presidente da República.
É interessante observar que o tema é de suma importância na medida em que
a respectiva lei vem sendo muito debatida nos últimos três anos, e o presente
estudo visa demonstrar de que forma as empresas precisam agir para alcançar as
adequações à nova legislação, visto que a lei vem impactando diretamente todas as
empresas do Brasil, seja de pequeno e grande porte, para garantir a proteção de
dados pessoais que tenha acesso e quais os impactos jurídicos que o desrespeito
ao sigilo desses dados pode ocasionar, tendo em vista que, com o advento da lei, os
dados individuais recebem tratamento específico com consequências jurídicas mais
efetivas, pretendendo ao maior sigilo desses dados.
O presente trabalho encontra-se dividido em subtemas correspondentes ao
tema principal, com o objetivo de analisar todas as questões necessárias para o
entendimento do tema. Dessa forma, inicialmente o trabalho abordará a definição da
LGPD no cenário atual e sua relevância, bem como a análise da lei e seus pontos
principais. Após conceituar a lei 13.709/18, os próximos tópicos se referem ao
estudo da lei no cenário empresarial, os impactos da nova lei para as empresas, e
as medidas que as empresas devem tomar para as adequações à LGPD.
 2 DA LEI DE PROTEÇÃO DE DADOS (LGPD)

Assim, é importante entender, primeiramente, que a lei de proteção de dados

(LGPD) foi promulgada em agosto de 2018, e substitui a lei 12.965/2014, lei do
Marco Civil da Internet. A data inicialmente prevista para sua vigência seria para
fevereiro de 2020. No entanto, em virtude do cenário pandêmico que vivenciamos,
foi aprovado uma medida provisória decidindo que a lei somente valerá de fato em 3
de maio de 2021. E ainda, foi decidido que as sanções previstas na lei, em
decorrência de eventuais descumprimentos da mesma, só serão aplicadas em 3 de
agosto de 2021.
A lei 13.709/2018 é uma novidade no Brasil e visa como base a proteção dos
dados pessoais da pessoa natural, do direito fundamental da liberdade, de
privacidade, e da intimidade, da honra, da imagem e da liberdade de expressão de
cada indivíduo. Além disso, promover o desenvolvimento econômico e tecnológico,
na medida em que contribui para uma maior segurança jurídica no país. A livre
iniciativa e concorrência e assegurar os direitos do consumidor. É certo que a
intimidade, a vida privada, a privacidade e a imagem, são direitos fundamentais
previstos no artigo 5º, inciso X, da Constituição Federal/88. Todavia, a LGPD tem o
objetivo de tornar mais efetiva a proteção às informações pessoais e apresenta
algumas formas e práticas para atingir esse objetivo, além de criar um órgão
fiscalizador, a ANPD, responsável por identificar atividades realizadas pelos agentes
de tratamento de dados em desconformidade com a LGPD, bem como aplicar
sanções.
Sobre o dado pessoal em si a lei define no seu artigo 5º, inciso I, como
“informação relacionada a pessoa natural identificada ou identificável” (Brasil, 2018). 1
Como o nome, endereço, e-mail, CPF e outra informação capaz de identificar, por si
só, uma pessoa. E se refere ao armazenamento, compartilhamento, acesso, e
eliminação dos dados pessoais de qualquer pessoa. A LGPD se aplica à qualquer
1
BRASIL, Lei Geral de Proteção de dados pessoais (LGPD), nº 13.709, de 14 de agosto de 2018, Presidência da
República, Secretaria Geral – Subchefia para Assuntos Jurídicos, Planalto, capítulo I. Disponível em:
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em 15 de março de 2021.
pessoa ou empresas públicas e privadas do Brasil, e os dados que a lei visa
proteger se referem a qualquer pessoa, brasileira ou não, mas que esteja no Brasil
no momento da coleta, à dados tratados dentro do território nacional,
independentemente do meio aplicado, do país-sede do operador ou do país onde
estão os dados. Ademais, não se referem apenas a dados tratados manualmente,
como por exemplo, ao fornecer dados pessoais em uma loja para realizar a compra.
Segundo o artigo 4º, I e II, a lei não se aplica quando o tratamento é realizado por
pessoa física para fins exclusivamente particulares e não econômicos, para fins
exclusivamente jornalísticos, artísticos ou acadêmicos. (Brasil, 2018). 2 De acordo
com o entendimento de Patricia Peck Pinheiro, Cristina Sleiman, Henrique Rocha,
Larissa Lotufo, Leandro Bissoli, Marcos Sêmola, Marcos Tupinambá, Rafael
Siqueira:

Como visto, a necessidade de uma lei específica sobre proteção dos

dados pessoais decorre da forma como está sustentando o modelo atual
de negócios da sociedade digital, na qual a informação passou a ser a
principal moeda de troca utilizada pelos usuários para ter acesso a
determinados bens, serviços ou conveniências (Pinheiro, Patricia Peck,
Cristina Sleiman, Henrique Rocha, Larissa Lotufo, Leandro Bissoli, Marcos
Sêmola, Marcos Tupinambá, Rafael Siqueira, 2020, p. 27). 3

Outrossim, a lei geral de proteção de dados pessoais traz uma divisão em

relação aos dados, classificando-os como dados sensíveis ou anonimizados.
Segundo Daniel Donda, essa classificação se define como:

Dado pessoal sensível se refere a origem racial ou étnica, convicção

religiosa, opinião política, filiação a sindicato ou a organização de caráter
religioso, filosófico ou político, dado referente à saúde ou à vida sexual,
dado genético, ou biométrico. Esses dados devem ter uma atenção maior,
pois são muito pessoais e podem gerar atos discriminatórios e lesivos.

Dado anonimizado é qualquer dado relativo a um indivíduo que não possa

ser identificado, o que acontece no momento do tratamento, quando
podemos aplicar recursos técnicos que permitem embaralhar as
informações e, se fornecido dessa maneira, o dado perde a possibilidade de
associação direta ou indireta a um indivíduo. (Daniel Donda, 2020, p. 21). 4

2
Ibid, capítulo I.
3
PINHEIRO, Patricia Peck. Cristina Sleiman, Henrique Rocha, Larissa Lotufo, Leandro Bissoli, Marcos
Sêmola, Marcos Tupinambá, Rafael Siqueira, Segurança Digital - Proteção de dados nas empresas, São Paulo,
Saraiva, 2020.
 Também merece destaque as hipóteses para o tratamento de dados pessoais,
algumas delas previstas no artigo 7º da LGPD. Essas hipóteses são essenciais para
que seja possível realizar o tratamento de dados de forma legítima. Quais sejam:
Com consentimento do titular: A primeira possibilidade é através do
consentimento do titular dos dados que, sem dúvida, é a hipótese mais usual. A
manifestação de vontade deve ser voluntária, sem vícios e clara. O titular deve
concordar com o tratamento de seus dados pessoais para uma finalidade que
também deve ser clara. Considerando o artigo 5º, inciso XII da LGPD, dispõe que:
“Consentimento: manifestação livre, informada e inequívoca pela qual o titular
concorda com o tratamento de seus dados pessoais para uma finalidade
determinada.” (Brasil, 2018).5 Esse consentimento pode ser revogado a qualquer
tempo por manifestação expressa do titular.
Para cumprimento de obrigação legal ou regulatória pelo controlador:
Esse caso ocorre quando uma empresa que detém os dados pessoais de seus
clientes/empregados está autorizada ou é obrigada com base em um dever legal ao
tratamento desses dados. Como, por exemplo, o Ministério Público solicita que uma
empresa transmita os dados de seus colaboradores a fim de cumprir com a entrega
da relação anual de informações sociais.
Para o tratamento de dados em políticas públicas pela administração
pública com respaldo em lei, regulamento, contratos ou instrumentos
congêneres: Nesse caso, o interesse público se sobressai ao interesse privado, e
também não é exigido o consentimento pelo titular. Todavia, a administração pública
precisa se adequar à lei e fornecer os objetivos e a finalidade do tratamento dos
dados ao titular de forma clara, que deve ser pautado em políticas públicas, ou
respaldado em contratos, lei, regulamentos ou instrumentos congêneres. Uma
exceção à regra da administração pública precisar se adequar às exigências da
LGPD, é nos casos de defesa nacional, segurança pública ou atividades de
investigação.

4
Daniel Donda, Guia Prático de implementação da LGPD: Tudo o que você precisa saber para estar em
conformidade, São Paulo: Labrador, 2020.
5
BRASIL, Lei Geral de Proteção de dados pessoais (LGPD), nº 13.709, de 14 de agosto de 2018, Presidência da
República, Secretaria Geral – Subchefia para Assuntos Jurídicos, Planalto, capítulo I. Disponível em:
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em 15 de março de 2021.
 Para realização de estudos por órgão de pesquisa: Nesse caso é admitido o
tratamento desde que, sempre que possível os dados sejam anonimizados, ou seja,
de forma que não seja possível identificar o titular dos dados.
Para execução ou nos atos preparatórios do contrato: Essa hipótese ocorre
quando o titular dos dados figura como parte contratante de um contrato em que há
previsão expressa que será realizado o tratamento de dados, e o consentimento se
do titular de deu no momento da assinatura do contrato. No entanto, se difere do
simples consentimento, vez que não pode o titular desistir de que seja realizado o
tratamento dos seus dados.
Para o exercício regular de direito: Esse exercício se refere ao âmbito dos
processos judiciais, administrativos e arbitrais. Existe para impedir que as partes no
processo não sejam prejudicadas para o exercício de sua defesa, ou seja, não cabe
oposição ao tratamento de dados, para que as partes possam produzir provas umas
contra as outras.
Proteção da vida e da incolumidade física do titular ou terceiro: Nesse caso
o direito a vida se sobrepõe ao direito à privacidade. Essa hipótese existe para
proteger a vida ou integridade física do titular ou terceiro, mesmo na ausência de
consentimento daquele.
Tutela de saúde do titular: Se refere apenas aos profissionais de saúde, e será
dispensado o consentimento do titular visando proteger a saúde deste ou terceiro.
Proteção de crédito: Essa hipótese existe para manter a segurança na
cobrança de créditos, já que se faz necessário a informações dos dados pessoais do
devedor.
Outro conceito interessante para ser abordado são as definições sobre os
agentes de tratamento de dados, o titular e o DPO. Segundo o posicionamento de
Rafael Fernandes Maciel:

[...] é fundamental ter em mente os seguintes conceitos trazidos pela

LGPD:

Titular: pessoal natural a quem se referem os dados pessoais que são

objeto de tratamento,
Controlador: pessoal natural ou jurídica, de direito público ou privado, a
quem competem as decisões referentes ao tratamento de dados pessoais,
Operador (Processador): pessoa natural ou jurídica, de direito público ou
privado, que realiza o tratamento de dados pessoais em nome do
controlador,
 Encarregado (DPO): pessoa indicada pelo controlador para atuar como
canal de comunicação entre o controlador, os titulares dos dados e a
Autoridade Nacional de Proteção de Dados, Agentes de tratamento: o
controlador e o operador (Maciel, Rafael Fernandes 2019, p. 22). 6

Para finalizar sobre os aspectos gerais sobre a LGPD, destacaria também sobre
os princípios que regem a lei, quais sejam: Finalidade que corresponde ao motivo
pelo qual o dado está sendo tratado; Adequação que se refere a compatibilidade
com a atividade fim do tratamento do dado, que deve ser tratado de acordo com a
sua destinação; Necessidade em que o tratamento deve ser destinado apenas para
os dados necessários para determinado procedimento, sem excessos de dados que
não serão utilizados; Livre acesso visa assegurar que o titular tenha acesso a seus
dados a qualquer momento de forma clara e gratuita; Qualidade dos dados, esse
princípio garante que os dados estão sendo tratados em conformidade com a
LGPD, com transparência e exatidão; Transparência que permite que os titulares
sejam informados do tratamento de seus dados de forma clara e precisa; Segurança
que visa proteger os dados de possíveis invasão ilícitas ou vazados por qualquer
outro meio; Prevenção está relacionado a criação de medidas visando impedir
possíveis riscos a acesso aos dados e inobservância à LGPD; Não discriminação
que assegura que os dados não podem ser tratados de forma a discriminar o titular
ou para fins ilícitos; Responsabilização e prestação de contas, esse princípio diz
respeito a obrigação dos agentes de tratamento de dados informarem as medidas
utilizadas para garantir o devido tratamento de dados, principalmente quando
solicitado pela ANPD. Sendo certo que tais princípios são a base para o tratamento
de dados de acordo com a lei, bem como considerados essenciais para que seja
possível o tratamento de dados pessoais.

3 OS IMPACTOS DA LGPD NO AMBIENTE COORPORATIVO

Esse capítulo do presente trabalho visa abordar os impactos e problemas gerais

causados às empresas pela LGPD, para então discorrer sobre os impactos e as
6
MACIEL, Rafael Fernandes. Manual Prático sobre a Lei Geral de Proteção de Dados Pessoais (Lei nº
13.709/18), Goiânia, RM Digital Education, 2019.
dificuldades enfrentadas pelas empresas de pequeno porte (EPP), bem como
diferenciar o tratamento de dados pessoais direcionados aos colaborados versus os
clientes das empresas. Assim, primeiramente cumpre destacar os principais
impactos causados às empresas com a implementação da LGPD.
Conforme abordado anteriormente sobre as hipóteses de base legal para o
tratamento de dados pessoais de forma lícita, ou seja, em conformidade com a lei,
as empresas deverão se ater a uma dessas hipóteses para terem respaldo no
tratamento de dados. No que tange ao consentimento do titular, o primeiro desafio é
de que maneira seria mais efetiva a comunicação de uma empresa a todos os seus
clientes de forma clara sobre os objetivos e destinação ao tratamento dos seus
dados. Vez que, embora haja previsão nos contratos, muitos clientes acabam não
lendo todo o contrato. Além disso, o usuário dos dados possui o direito de solicitar
correção, atualização, exclusão dos dados, e caso ocorra desvio da finalidade do
tratamento, a empresa deverá solicitar novamente o consentimento do titular.
Outro ponto reconhecido como desafiador é sobre o armazenamento de
dados, vez que se faz necessário a empresa identificar quem tem acesso aos dados,
onde, quais e de que forma os dados estão sendo armazenados. Inclusive, e
principalmente, no cenário pandêmico atual onde empresas precisaram aderir ao
trabalho de home office, dificultando ainda mais a garantia da segurança aos dados
pessoais.
Ademais, de que forma garantir a segurança adequada a esses dados,
inclusive em casos de roube, furto, acesso ilegal e danos acidentais, e assegurar e
demonstrar, através da adoção de medidas de segurança que essas situações não
ocorram novamente.
Outrossim, as empresas vêm enfrentando dificuldades quanto a adequação e
treinamento dos seus colaboradores às novas regras previstas na LGPD, na medida
em que sejam observadas. O cenário ideal é o conhecimento de quais dados
poderão acessar, compartilhar, e por quanto tempo, em conformidade com a lei.
É certo que todas as instituições brasileiras deverão investir ainda mais em
tecnologia com a implementação da LGPD e consequentemente acarretará maiores
gastos para essas empresas. Além disso, a não conformidade com a lei acarretará
sanções, a partir de agosto de 2021, são algumas infrações previstas no artigo 52 da
lei 13.709/2018:
 Art. 52. Os agentes de tratamento de dados, em razão das infrações
cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes
sanções administrativas aplicáveis pela autoridade nacional:    I -
advertência, com indicação de prazo para adoção de medidas corretivas; II -
multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica
de direito privado, grupo ou conglomerado no Brasil no seu último exercício,
excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta
milhões de reais) por infração; III - multa diária, observado o limite total a
que se refere o inciso II; IV - publicização da infração após devidamente
apurada e confirmada a sua ocorrência; V - bloqueio dos dados pessoais a
que se refere a infração até a sua regularização;VI - eliminação dos dados
pessoais a que se refere a infração;(Brasil, 2018).7

3.1 OS IMPACTOS DA LGPD NAS EMPRESAS DE PEQUENO PORTE (EPP)

No que tange a implementação da LGPD no ambiente das empresas de

pequeno porte há muita discussão sobre o tema sem uma conclusão definida, vez
que a aplicação da lei igualmente aos pequenos empresários e as grandes
empresas do Brasil, certamente trará impactos de formas diferentes para essas
instituições.
Assim, o ministério da economia, através de consenso no Fórum Permanente
das Microempresas e Empresas de pequeno Porte, solicitará a Autoridade nacional
de Proteção de dados (ANPD) uma proposta para que as empresas de pequeno
porte recebam um tratamento específico para proteção de dados. De acordo com o
entendimento da advogada Manoela Vasconcelos, sócia do escritório DM&V
Advogados, conforme citado pelo diário de Pernambuco:

Com orçamentos e estruturas mais enxutas, tais empresas muitas vezes

não possuem recursos para executar algumas medidas estabelecidas em
Lei sem prejudicar o seu próprio funcionamento. A atribuição de um regime
diferenciado é uma questão de equidade, que também já ocorre na
legislação europeia de proteção de dados. (apud, Diário de Pernambuco,
2021). 8

7
BRASIL, Lei Geral de Proteção de dados pessoais (LGPD), nº 13.709, de 14 de agosto de 2018, Presidência da
República, Secretaria Geral – Subchefia para Assuntos Jurídicos, Planalto, capítulo I. Disponível em:
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em 15 de março de 2021.
8
Manoela Vasconcelos apud Diário de Pernambuco, 2021, LGPD pode ter regulamentação especial para micro e
pequenas empresas. Disponível em: https://www.diariodepernambuco.com.br/noticia/economia/2021/03/lgpd-
pode-ter-regulamentacao-especial-para-micro-e-pequenas-empresas.html. Acesso em 21 de março de 2021.
 Além disso, a própria lei 13.709/18 trouxe expressamente a possibilidade de
tratamento diferenciado para as pequenas empresas no artigo 55-J, inciso XVIII,
conforme dispõe como umas das competências da ANPD: “editar normas,
orientações e procedimentos simplificados e diferenciados, inclusive quanto aos
prazos, para que microempresas e empresas de pequeno porte, bem como
iniciativas empresariais de caráter incremental ou disruptivo que se
autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei;”
(Brasil, 2018). 9
Todavia, o desafio que as Microempresas e Empresas de Pequeno Porte vem
enfrentando é no sentido de que a LGPD não especificou quais as diretrizes e
orientações direcionadas a essas empresas para o tratamento de dados pessoais
para se adequarem a lei. Nesse sentido, o Estatuto Nacional da Microempresa e da
Empresa de Pequeno Porte, Lei Complementar nº 123/2006, criou normas para
assegurar o direito de tratamento diferenciado a essas empresas para o tratamento
de dados em conformidade com a lGPD. Embora o artigo 55-J, inciso XVIII, dispõe
que compete a ANPD a criação de normas específicas para as pequenas empresas,
explica Alexandre Vinicius Rodrigues de Moura Neri e Henryque Resende Luna:

Essa situação exposta no artigo 55-J da LGPD parece conflitar com o

disposto no artigo 1º, §3º, da LC 123/2006, visto que essa última norma
impõe que a especificação do tratamento diferenciado, favorecido e
simplificado para toda nova obrigação que atinja as MEPPs constem no
documento que instituiu a obrigação (Conjur, 2020). 10

O artigo 1º, §3º, da LC 123/2006 visa trazer maior segurança jurídica para o
exercício profissional dessas empresas, vez que o Presidente da República, poderá
regulamentar normas sobre o tema de forma alternativa, visto que esse ato do poder
executivo hierarquicamente superior a qualquer norma emitida pela ANPD.
Esse tema é tido como prioridade pela ANPD que estão trabalhando para
providenciar a resolução na medida em que serão criadas normas específicas para
as microempresas e empresas de pequeno porte. Um dos possíveis temas que
estão sendo abordados está relacionado a proposta de diminuição do valor da multa
corresponde a sanção pelo descumprimento da lei, que conforme o artigo 52, inciso
II da LGPD, prevê uma multa de 2% do valor do faturamento. Entende Marcus
Vinícius Vita Ferreira e Leonardo P. Santos Costa “Veja-se, portanto, que o
artigo 52, II, da LGPD, se aplicado sem razoabilidade, pode colocar um entrave ao
desenvolvimento econômico do país e, sobretudo, aos pequenos e médio
empresários, que gozam de proteção constitucional diferenciada (CF, artigo 170,

9
BRASIL, Lei Geral de Proteção de dados pessoais (LGPD), nº 13.709, de 14 de agosto de 2018, Presidência da
República, Secretaria Geral – Subchefia para Assuntos Jurídicos, Planalto, capítulo I. Disponível em:
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em 15 de março de 2021.
10
NERI, Alexandre e LUNA, Henryque Resende. A LGPD, por enquanto, é inexigível para pequenas empresas.
Consultor Jurídico – Conjur, 2020. Disponível em: https://www.conjur.com.br/2020-nov-03/neri-luna-lgpd-
ainda-inexigivel-pequenas empresas#:~:text=Essa%20situa%C3%A7%C3%A3o%20exposta%20no
%20artigo,documento%20que%20instituiu%20a%20obriga%C3%A7%C3%A3o.. Acesso em 22 de março de
2021.
IX)”. (Marcus Vinícius Vita Ferreira e Leonardo P. Santos Costa, Consultor Jurídico,
Conjur, 2020).11
Além disse, a inexigibilidade da contratação de um DPO, um colaborador
especificamente responsável para o tratamento de dados pessoais, visto que muitas
vezes seria excessivamente custoso a essas empresas a contratação desse
empregado. Segundo Fabiano Barreto, representante da CNI:

A proteção de dados surgiu em função do risco, da necessidade de se

proteger o indivíduo. É razoável que a lei seja adequada ao grau do risco
que as empresas representam. Uma empresa que detém milhões de dados
pessoais não pode ter o tratamento igual a uma empresa que mantém
dezenas de e-mails para se comunicar com os seus clientes e fornecedores,
caso contrário haverá onerosidade excessiva o que pode inviabilizar o
próprio negócio das micro empresas (apud Darse Jr., CNI – Agência CNI de
notícias, 2021). 12

3.2 TRATAMENTO DOS DADOS PESSOAIS DOS CLIENTES E

COLABORADORES

É importante observamos que os maiores impactos ocasionados às empresas

estão relacionados aos dados dos clientes e aos empregados. No tocante aos
colaboradores de uma empresa, é necessário ter o cuidado de observar quais os
dados são essenciais para a relação de emprego e por quanto tempo.
Nesse caso, o a empresa figura como o controlador dos dados e o empregado
como titular. A obrigação da empresa com o devido tratamento dos dados dos seus
empregados começa na fase pré contratual, por exemplo, com o envio de
documentações pessoais do candidato para um processo seletivo, até após o fim do
término da relação de emprego, em que o descarte dos dados deve ser realizado de
acordo com a LGPD.
A responsabilidade se torna ainda maior no cenário atual de pandemia vivenciado
mundialmente, em que o trabalho remoto se tornou muito mais presente, motivo pelo
qual os dispositivos utilizados pelos funcionários se tornam mais vulneráveis,
11
FERREIRA, Marcus e COSTA, Leonardo. Lei Geral de proteção de dados: Externalidades negativas não
projetadas, Consultor Jurídico – Conjur, 2020. Disponível em: https://www.conjur.com.br/2020-dez-06/direito-
consumidor-lgpd-externalidades-negativas#:~:text=Conforme%20se%20nota%20logo%20no,e%20o%20livre
%20desenvolvimento%20da. Acesso em 22 de março de 2021.
12
BARRETO, Fabiano apud Darse Jr., CNI – Agência CNI de notícias, LGPD: Tratamento diferenciado para
micro e pequenas empresas é prioridade para a ANPD, 2021. Disponível em:
https://noticias.portaldaindustria.com.br/noticias/economia/tratamento-diferenciado-para-a-micro-e-pequenas-
empresas-e-prioridade-para-a-anpd/. Acesso em 22 de março de 2021.
suscetíveis de invasão, bem como os dados dos colaboradores, inclusive da própria
empresa. Ademais, informa o professor de direito do trabalho Ricardo Calcini e Dino
Araújo de Andrade:

[...] Essa responsabilidade não se restringe à documentação pessoal de

identificação dos trabalhadores, mas se estende ao monitoramento de
correspondências eletrônicas, à captura de imagens dos trabalhadores no
local de trabalho, às chamadas em sistemas de videoconferência, ao
registro biométrico da jornada de trabalho, entre outros. (Ricardo Calcini,
Dino Araújo de Andrade, Consultor jurídico – Conjur, 2021). 13

O consentimento pode ser transmitido no momento da assinatura no contrato de

trabalho, por termo de consentimento, por meio de e-mails ou mensagens
telefônicas, desde que seja apresentado de forma clara quais os dados serão
tratados, para qual a finalidade, por qual período e como será realizado o descarte
dos dados, a fim de assegurar os princípios da transparência e segurança. E ainda
devem solicitar novamente o consentimento de seus funcionários caso ocorra
modificação na finalidade para o tratamento de seus dados, ou deseje realizar o
compartilhamento, inclusive com outras empregadoras. Além disso, o empregado
tem o direito de ter acesso a todos os seus dados.
Todavia, além do contrato de trabalho há hipóteses em que o consentimento do
funcionário é dispensado, conforme dispõe o artigo 7º, inciso V e IX, da LGPD, quais
sejam “quando necessário para a execução de contrato ou de procedimentos
preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular
dos dados e quando necessário para atender aos interesses legítimos do
controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades
fundamentais do titular que exijam a proteção dos dados pessoais” (Brasil, 2018). 14
Mesmo nessas hipóteses as empresas precisam ainda ter muito cuidado com os
dados de seus colaboradores, principalmente no que tange aos dados sensíveis, na
medida em que se vazarem podem ocasionar um constrangimento maior ao
funcionário. Além de uma ação trabalhista e uma multa aplicada pela ANPD,
eventual vazamento de dados de um empregado pode acarretar uma imagem
13
CALCINI, Ricardo, ANDRADE, Dino Araújo, Impactos da LGPD nas relações de trabalho, Consultor
Jurídico – Conjur, 2021. Disponível em https://www.conjur.com.br/2021-fev-11/pratica-trabalhista-impactos-
lgpd-relacoes-trabalho. Acesso em 23 de março de 2021.
14
BRASIL, Lei Geral de Proteção de dados pessoais (LGPD), nº 13.709, de 14 de agosto de 2018, Presidência da
República, Secretaria Geral – Subchefia para Assuntos Jurídicos, Planalto, capítulo I. Disponível em:
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em 22 de março de 2021.
negativa à empresa, considerando que a LGPD possui uma importância no mercado
global. Segundo Flávia Alcassa dos Santos:

“As violações previstas poderão ser objeto de reclamação trabalhista e

denúncias ao MPT (Ministério Público do Trabalho), bem como sujeitas à
fiscalização da ANPD (Autoridade Nacional de Proteção de Dados) com
sanções disciplinares previstas no art. 52 da Lei.” (Flávia Alcassa dos
Santos, Revista do Tribunal Regional do Trabalho da 10º região, 2020). 15

É interessante notarmos ainda que a LGPD não trouxe uma regulamentação

específica sobre a lei na relação de trabalho, o que não quer dizer que a lei não
deve ser aplicada às relações de trabalho, vez que a função é regular o tratamento
de dados realizado por todas as instituições ou pessoa física. O próprio artigo 3º da
lei 13.709/2018 prevê que a lei se refere a qualquer operação de tratamento: “Esta
Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por
pessoa jurídica de direito público ou privado, independentemente do meio, do país
de sua sede ou do país onde estejam localizados os dados, desde que:” (Brasil,
2018).16
No entanto, seria interessante que fosse criado uma norma específica voltada
ao tratamento de dados aos empregados, ou com novas inclusões sobre o tema na
lei 13.709/2018, ou na CLT ou ainda normas Estaduais de forma complementar.
No que tange ao tratamento de dados dos clientes, notamos que não há muitas
diferenças, visto que a lei expõe princípios destinados a proteção de dados de uma
forma geral a todas as pessoas físicas. Inclusive a lei de proteção de dados trata no
seu artigo 17, incisos I à IX, direitos referentes a todos os titulares de dados, como já
informado anteriormente alguns deles, quais sejam, “o acesso aos dados, retificação
e atualização, solicitar o descarte de dados que considerar excessivo ou a
anonimização deles, a transferência dos dados para outro fornecedor, eliminação
dos dados, informações sobre o compartilhamento, inclusive das empresas que
participam do compartilhamento, sobre as consequências de não oferecer o
consentimento e revogação do consentimento.” 17 Além disso, os clientes poderão ser

15
SANTOS, Flávia. A lei geral de proteção de dados pessoais (LGPD) e a exposição de dados sensíveis nas
relações de trabalho. Revista do Tribunal Regional do Trabalho da 10º região, Brasília, v.24, n.2,2020.
Disponível em: https://revista.trt10.jus.br/index.php/revista10/article/view/419/347. Acesso em 23 de março de
2021.
16
Ibid, capítulo I.
17
BRASIL, Lei Geral de Proteção de dados pessoais (LGPD), nº 13.709, de 14 de agosto de 2018, Presidência da
República, Secretaria Geral – Subchefia para Assuntos Jurídicos, Planalto, capítulo I. Disponível em:
 igualmente informados sobre assuntos relacionados ao tratamento de seus dados,
bem como conceder seu consentimento através de termos de consentimento ou e-
mails.

4 AS ADEQUAÇÕES À LEI PELAS EMPRESAS

Embora a aplicação das sanções dispostas na lei 13.709/2018 estarem

previstas para 3 de agosto de 2021, as empresas precisam iniciar suas adequações
à lei, e esse processo de adequação é o que vem sendo implementado na maioria
das empresas no Brasil. Existem alguns métodos para o tratamento de dados
pessoais que são considerados mais seguros e efetivos, recomendado para
implementação pelas empresas, inclusive, o que algumas empresas já vem
adotando.
Para isso, é recomendado que a empresa contrate um profissional que seja
especialista sobre a lei de proteção de dados, denominado como Data Protection
Officer (DPO). Esse profissional possui todo o conhecimento da LGPD e outras
normas sobre privacidade e segurança da informação que a empresa precisar para se
adequar. Junto com esse profissional, podem ser contratados outros profissionais
para o mesmo fim, liderados pelo DPO. A função dessa equipe é treinar a empresa
para os procedimentos de tratamento de dados e fiscalizar para que esteja em
conformidade com a lei.
Ademais, as empresas devem começar a incluir cláusulas nos seus contratos
através de termos aditivos referente a proteção de dados, se comprometendo, dessa
forma, com a segurança dos dados, além de prever sanções às partes contratantes
caso possam incorrer em inobservância às normas da LGPD. Assim, se verifica, a
importância de se ter advogados na empresa, no que tange ao entendimento legal
sobre a lei, e além de adequações dos contratos, a revisão de outros documentos
jurídicos sobre o tema como termos de consentimento.
Outro passo importante é o investimento em tecnologia, com a inclusão de um
software de segurança avançado para a efetiva segurança dos dados, com
restrições de acessos e seguro contra a invasão de outros dispositivos e hackers.
Inclusive obter uma plataforma capaz de organizar adequadamente os dados,

http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em 22 de março

identificar quais os dados que são tratados pela empresa, de que forma, onde estão
armazenados, que armazene durante o tempo necessário e que realize o devido
descarte desses dados,e que principalmente, seja possível facilitar a identificação de
cada processo dos dados.
Daniel Donda sugere alguns tipos de softwares capazes de auxiliar nesse
processo de identificação, controle, diferenciar os dados sensíveis, e o tratamento
adequado dos dados: “Existem diversos tipos de softwares de descoberta de dados
(Data Discovery), controle de prevenção de perda de dados (Data Loss prevention) e
classificação de dados (Data Classification)” (Daniel Donda, 2020, p.36). 18 Ademais,
é importante oferecer treinamento aos seus colaboradores sobre como agir em
conformidade com a LGPD, inclusive o acesso aos novos dispositivos da empresa,
quem terá acesso a determinado software e dados pessoais.
Esse treinamento disponibilizado aos colaboradores da empresa é de extrema
importância na medida em que eles adquiram conhecimentos sobre os aspectos
gerais da lei de proteção de dados, referente a definição de dados pessoais, o ciclo
de vida, os princípios gerais para o tratamento, e principalmente sobre as hipóteses
em que os dados podem ser tratados, previstas no artigo 7º da lei 13.709/2018.
Inclusive, considerando que deverão sempre solicitar o consentimento dos clientes,
fornecedores, prestadores de serviços da empresa para o tratamento dos seus
dados ou qualquer modificação da finalidade do tratamento. É importante identificar
quais funcionários tem acesso aos dados em qualquer das fases de seu ciclo e se
eles possuem consciência da sua responsabilidade e da empresa perante as novas
obrigações dispostas na LGPD. Esse treinamento pode ser oferecido através de
cursos online ou presencial sobre regras gerais de compliance, conscientizando os
colaboradores que a implementação de ações de proteção da informação com
adesão às normas da LGPD corresponde a uma conduta ética obrigatória dentro da
empresa.
Outra medida importante, que inclusive, é obrigatório pela lei, é a criação, que
pode ser mediante auxílio de um bom software, de um relatório de impacto à
proteção de dados pessoais (RIPD), e tem a função de facilitar a identificação do
ciclo de vida dos dados:

18
DONDA, Daniel, Guia Prático de implementação da LGPD: Tudo o que você precisa saber para estar em
conformidade, São Paulo: Labrador, 2020.
Tendo uma visão sobre cada etapa do processo dos dados dentro da empresa,
contribui para uma análise facilitada dos riscos e consequentemente obter soluções
para solucioná-los ou evita-los.
No tocante ao consentimento para o tratamento dos dados é essencial tanto
para clientes e colaboradores, e respeitando o princípio da transparência, uma forma
de obter esse consentimento de forma clara e efetiva que pode ser através de
termos de consentimento por aplicativos, mensagem no celular ou e-mail.
Importante abordar também sobre a chamada política de segurança da
informação (PSI) que se refere aos meios para garantir a segurança da informação
que, inclusive, já é adotado a algum tempo pelas empresas, seja de pequeno ou
grande porte, vez que a informação é considerada um importante ativo para a
instituição. Todavia, com a implementação da LGPD essa política deve se adequar a
mesma. Estão incluídas nessa política, não muito diferente ao que já foi citado
referente as adequações à LGPD em si, a proteção da informação através da
segurança do controle de acesso, dos ativos e ambientes físicos e virtuais da
empresa, política de senhas, conscientização de todos os funcionários da
organização, identificar vulnerabilidades capazes de gerar riscos e desconformidade
à LGPD, bem como ser capaz de criar medidas para prevenir esses riscos e
soluções quando não for possível evita-lo. Inclusive, é necessário o trabalho em
conjunto de diversas áreas da empresa para assegurar a proteção desse ativo. São
diretrizes a serem seguidas, correspondente a uma transformação cultural da
empresa. Segundo Daniel Donda “A melhor maneira de implementar um sistema de
gestão de segurança da informação é seguindo a família de normas ABNT NBR
ISO/IEC 27000” (Daniel Donda, 2020, p.30). 19 Essa norma traz uma panorama geral
e diretrizes para uma gestão eficiente da segurança da informação.

5 CONCLUSÃO

19
DONDA, Daniel, Guia Prático de implementação da LGPD: Tudo o que você precisa saber para estar em
conformidade, São Paulo: Labrador, 2020.