Por Ricardo Bastos*
A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, trouxe uma revolução no modo como organizações, empresas e profissionais tratam dados pessoais no Brasil. Essa legislação tem como objetivo principal garantir maior segurança, transparência e controle ao titular dos dados sobre suas informações pessoais. Entretanto, observa-se que muitas práticas cotidianas de coleta de dados, como o pedido de CPF em lojas ou o registro de documentos em edifícios empresariais, geram dúvidas quanto à sua adequação à LGPD.
De acordo com a LGPD, o tratamento de dados pessoais deve observar alguns princípios fundamentais, tais como a finalidade, a necessidade e a transparência. Na prática, o princípio da finalidade exige que os dados sejam coletados para um objetivo previamente determinado e legítimo, evitando usos diferentes daqueles informados ao titular. A necessidade, por sua vez, implica que apenas os dados estritamente indispensáveis para atingir a finalidade sejam coletados, minimizando o excesso de informações armazenadas. Já a transparência exige que o titular seja informado, de maneira clara e acessível, sobre os motivos da coleta, como seus dados serão utilizados e quem terá acesso a eles, garantindo o controle sobre suas informações pessoais.
Portanto, práticas frequentemente adotadas pelas organizações precisam estar adequadas aos princípios estabelecidos pela LGPD. Se o CPF do titular é solicitado em alguma compra, é necessário que a loja informe ao consumidor por que essa informação está sendo coletada, como ela será utilizada (por exemplo, para emissão de nota fiscal, participação em programas de fidelidade ou promoções) e por quanto tempo será armazenada.
Na mesma linha, o registro de documentos para acesso em edifícios empresariais deve ser justificado, informando o titular sobre a razão da coleta (como segurança ou controle de acessos), o tempo de armazenamento e as medidas de segurança aplicadas para proteger esses dados.
Outra prática comum é o registro de imagens por câmeras de segurança. Tal situaçao é permitida, desde que o titular seja informado por meio de avisos visíveis e claros, com a especificação da finalidade (segurança patrimonial, por exemplo) e informação sobre quem é o controlador dos dados.
A negligência na adequação à LGPD pode acarretar sérias implicações para o controlador e o operador dos dados. Uma das principais consequências é a aplicação de sanções administrativas
No caso de coleta de dados biométricos, como a digital de uma pessoa, essa prática exige cuidados ainda mais rigorosos, pois a LGPD classifica esses dados como pessoais sensíveis. Esse tipo de dado possui características únicas que o tornam irremediavelmente vinculados ao indivíduo, ampliando os riscos em caso de vazamento ou uso indevido. Para realizar a coleta de dados biométricos, o controlador deve obter o consentimento explícito do titular ou justificar o tratamento com base em outra hipótese legal prevista na LGPD. Além disso, é imprescindível informar detalhadamente ao titular sobre a finalidade da coleta, o período de retenção e as medidas de segurança adotadas para proteger tais informações. O descumprimento dessas normas pode acarretar penalidades ainda mais severas e comprometer significativamente a confiança do titular nos serviços oferecidos.
Se essas informações não forem apresentadas ao titular no momento da coleta dos dados, há uma clara violação da LGPD. Por exemplo, a ANPD já determinou a aplicação de multa a uma empresa que não informava adequadamente aos consumidores sobre o motivo da coleta de seus dados pessoais. Em outro caso, um tribunal estadual condenou um condomínio por coletar documentos de visitantes sem oferecer informações claras sobre o armazenamento e a segurança dessas informações. Esses precedentes reforçam a importância da transparência e da conformidade para evitar penalidades e litígios.
A negligência na adequação à LGPD pode acarretar sérias implicações para o controlador e o operador dos dados. Uma das principais consequências é a aplicação de sanções administrativas. A Autoridade Nacional de Proteção de Dados (ANPD) pode aplicar penalidades, que incluem desde advertências até multas de até 2% do faturamento anual da empresa, limitadas a R$ 50 milhões por infração. Mas não só a ANPD tem competência para multar. Em 28/01/2025, foi publicada no Diário Oficial da União a aplicação, pela Controladoria Geral da União de uma multa de R$ 1.984.155,00 (um milhão, novecentos e oitenta e quatro mil, cento e cinquenta e cinco reais) a uma empresa de investimentos, por promover a coleta de dados de clientes da Caixa Econômica Federal, a exemplo de emails, CPF e telefones pessoais, e repassá-los a uma terceira empresa, sem o conheciimento dos titulares.
Além disso, a falta de conformidade pode resultar em perda de confiança por parte dos clientes e do mercado, comprometendo a imagem da organização. Podem também os titulares de dados ingressar com ações judiciais para reparo de danos morais ou materiais decorrentes do uso indevido de suas informações.
A ANPD pode, ainda, determinar a interrupção do uso de dados pessoais até que as irregularidades sejam corrigidas. A depender do tipo de modelo de negócio envolvido, isso pode resultar em sérios prejuízos para a instituição.
Muitas organizações resistem à adequação por diversos motivos. O custo elevado de contratar especialistas e implementar sistemas de proteção é um dos principais fatores
Muitas organizações resistem à adequação por diversos motivos. O custo elevado de contratar especialistas e implementar sistemas de proteção é um dos principais fatores. Além disso, ainda persiste o pensamento equivocado de que “nada vai acontecer”, alimentado pela percepção de que fiscalização e punições são raras ou tardias. Em outros casos, há desconhecimento sobre as obrigações legais ou a falsa ideia de que pequenas empresas ou iniciativas de menor porte estão isentas das regras. Essa resistência não apenas expõe as empresas a riscos financeiros e reputacionais, mas também fragiliza a relação com seus clientes e parceiros.
Importante destacar que a LGPD garante aos titulares diversos direitos relacionados à proteção de seus dados pessoais. Em situações onde há suspeita de irregularidade, o titular pode solicitar informações sobre a finalidade da coleta, o prazo de armazenamento e os agentes que terão acesso aos seus dados.
Caso os dados estejam incorretos ou sejam desnecessários, o titular pode também exigir a retificação ou exclusão dos mesmos. É possível, ainda por-se ao tratamento. Se o titular não concordar com a utilização de seus dados, ele r pode requisitar a interrupção do tratamento, salvo em casos em que haja justificativa legal. Os controladores de dados pessoais, portanto, precisam estar atentos e devidamente preparados para atender aos direitos dos titulares de dados, quando solicitados.
Em casos de violação da LGPD, é possível registrar uma reclamação junto à ANPD ou buscar a tutela judicial.
A adequação à LGPD, como se nota, não é apenas uma obrigação legal, mas também uma estratégia de fortalecimento da relação de confiança com clientes e parceiros. Empresas e profissionais precisam rever suas práticas, implementar políticas claras e transparentes e garantir a segurança dos dados pessoais que tratam. Do lado dos titulares, o conhecimento dos direitos é essencial para que possam se proteger e exigir o cumprimento da legislação.
*Ricardo Bastos é advogado sócio do Fonseca Lima & Bastos Consultoria Jurídica