Ana Letícia Fagundes, Talita Garcia, Tiago Crespo e Marco Orosz.

Como muitos já sabem, a Lei Geral de Proteção de Dados (LGPD) trouxe responsabilidades e obrigações aos "agentes de tratamento", ou seja, pessoas físicas ou jurídicas, tanto do setor público como privado, que realizem o tratamento de dados pessoais com viés econômico, científico ou oficial, além de estabelecer punições em caso de violação dos direitos dos titulares desses dados.

Embora tenha entrado em vigência apenas no dia 18 de setembro de 2020, a publicação da LGPD no Diário Oficial da União se deu no dia 14 de agosto de 2018. Portanto, neste ano, a Lei completa 05 anos.

Nesta data comemorativa, vale a seguinte reflexão: para as empresas, o que mudou na prática?

Existem diversas respostas para essa pergunta, mas, relembrando brevemente os principais acontecimentos que nos trouxeram até este momento e seus impactos, indicaremos algumas das principais mudanças.

Entre 2018 e 2020, apesar de muitas empresas terem atentado à nova Lei, a principal iniciativa no setor privado de implementar programas de privacidade adequados à LGPD partiu de empresas multinacionais cujas matrizes encontram-se sediadas em países europeus. Isso se deve ao fato de que referidas empresas já tinham que atender a diversos padrões e diretrizes impostos por suas controladoras, que estão submetidas ao Regulamento europeu sobre proteção de dados (GDPR), cabendo às unidades brasileiras apenas a missão de "tropicalizar" as providências adotadas para garantir a sua conformidade com a legislação nacional.

Em 2020, quando a LGPD entrou em vigor em um contexto pandêmico, era comum que dirigentes de empresas se manifestassem no sentido de que as regras estabelecidas "não pegariam" e, portanto, investir em proteção de dados seria um desperdício do seu orçamento. Por outro lado, boa parte das empresas de setores mais expostos, em que o tratamento de dados pessoais figura como atividade central da operação - como e-commerce, tecnologia, comunicação, marketing, etc. - buscaram adequar os seus processos internos e rotinas corporativas à Lei.

Em 2021, a Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD, passou a operar e teve uma atuação muito mais voltada à conscientização e prevenção do que punitiva, o que reforçou a opinião de alguns sobre não haver rigor na fiscalização.

No entanto, em 10 de fevereiro de 2022, a Emenda Constitucional 115/22 inseriu a proteção de dados no rol de direitos fundamentais previstos no art. 5º da Constituição Federal, um claro recado do Poder Público brasileiro de que, sim, a LGPD "pegou".

A ANPD, que a essa altura já estava emitindo orientações, regulamentos e fiscalizando a atividade dos agentes de tratamento, se tornou uma autarquia de natureza especial, o que lhe garante maior autonomia administrativa e financeira para cumprir com seu papel institucional. Em 06 de julho de 2023, a Autoridade publicou a primeira multa administrativa por infração à LGPD, em face de uma microempresa de telemarketing.

Ademais, nos últimos 18 meses, foi possível observar uma tendência do mercado em beneficiar empresas que possuem programas de privacidade efetivos, considerando que cada vez mais as contratações são precedidas do envio de formulários contendo questionamentos sobre a conformidade do terceiro com a LGPD, e isso não parte apenas daquelas multinacionais que se adequaram desde o início, mas de empresas dos mais variados setores e portes.

Considerando a responsabilidade solidária entre os agentes de tratamento estabelecida na LGPD, as empresas que possuem programas de privacidade implementados passaram a exigir o mesmo de seus clientes, fornecedores, parceiros comerciais e demais terceiros com os quais possam compartilhar ou dar acesso a dados pessoais, o que impactou nos instrumentos jurídicos firmados entre as partes, que passaram a ser adequados para refletir as imposições legais e obrigações decorrentes do tratamento de dados.

Inicialmente, buscando agilidade para o atendimento das disposições da LGPD, cláusulas padronizadas de proteção de dados pessoais foram disseminadas em todos os tipos contratuais, muitas vezes inseridas sem apoio jurídico ou sem que fosse considerada a natureza da operação, as especificidades do caso concreto e o nível de complexidade do tratamento dos dados, gerando, assim, uma sensação de falsa eficiência no cumprimento da Lei.

Nos últimos meses, tem-se observado que a prática pode trazer riscos significativos às empresas, parceiros e titulares, uma vez que cada operação pode envolver diferentes tipos de dados, contextos, finalidades e níveis de risco. Ou, ainda, pode acarretar um aumento no custo negocial do contrato com a inserção de cláusulas complexas para operações em que o tratamento de dados é algo secundário na operação comercial pretendida.

Dentre os principais contratos cujo risco da não individualização das cláusulas de proteção de dados pessoais é maior, estão: os Contratos de Saúde e Assistência Médica, que envolvem a coleta e o tratamento de dados pessoais considerados sensíveis pela Lei, como histórico médico, diagnósticos, tratamentos e informações sobre a saúde do paciente; Contratos de Estágio, Prestação de Serviços de Terceirização e Intermediação de Mão de Obra; Contratos de Pesquisa e Estudos Clínicos que envolvem a coleta de dados para fins científicos e exigem atenção especial à proteção de dados pessoais dos participantes; e Contratos de Segurança e Vigilância, que envolvem o tratamento da imagem das pessoas monitoradas.

Diante desses riscos, observa-se que muitas empresas têm adotado uma abordagem personalizada para a proteção de dados em suas contratações, visando que cada operação seja analisada individualmente, considerando suas particularidades e necessidades específicas (ou não) de proteção de dados.

Então, na prática, além da obrigação de cumprir com a LGPD e desenvolver uma relação de transparência com os titulares dos dados tratados, uma das principais mudanças experimentadas pelas empresas tem sido na relação com os terceiros quando a operação entre as partes envolve o tratamento relevante de dados pessoais.

Nesse sentido, é essencial que cada agente de tratamento conte com o apoio de profissionais especializados em proteção de dados na elaboração de políticas de privacidade, realização de treinamentos de seus colaboradores e implementação dos demais pilares de um programa de privacidade efetivo, o que inclui a adequação dos instrumentos jurídicos celebrados com terceiros.

A busca por soluções sob medida pode requerer mais tempo e esforço, mas é essencial para garantir a conformidade com a legislação, a transparência com as partes envolvidas e a segurança dos dados pessoais, considerando, principalmente, a evolução da fiscalização da ANPD e execução das penalidades previstas na Lei. Apenas assim será possível desenvolver uma governança em privacidade compatível com a realidade e necessidade de cada empresa, garantindo que os seus objetivos e operações estejam alinhados com os direitos dos titulares dos dados.

*Ana Letícia Fagundes é advogada especialista da área contratual e mobiliária do escritório Finocchio & Ustra, Sociedade de Advogados

*Talita Orsini de Castro Garcia é coordenadora da área de contratos comerciais do escritório Finocchio & Ustra, Sociedade de Advogados

*Tiago Emmanuel Martins Crespo é advogado especialista da área de compliance do escritório Finocchio & Ustra, Sociedade de Advogados

*Marco Aurelio Bagnara Orosz é sócio da área de compliance do escritório Finocchio & Ustra, Sociedade de Advogados