A Lei Geral de Proteção de Dados – LGPD entrou em vigor em 18 de setembro de 2020, ou seja, há pouco mais de 18 meses. Como consequência, várias foram as obrigações trazidas às empresas, bem como direitos garantidos aos titulares de dados pessoais (pessoas físicas sobre as quais os dados se referem).
Inicialmente, o que mais assustou as empresas, fazendo com que algumas tomassem providências no sentido de se adequarem à LGPD, foram todos os controles internos necessários para se garantir a conformidade com a legislação, bem como os valores das multas previstas, que podem chegar a 2% do faturamento no ano anterior, montante este limitado a R$ 50 milhões por evento danoso.
Ocorre que a Lei Geral de Proteção de Dados, em um de seus artigos, deixa claro que a empresa (controladora) é responsável de forma conjunta com empresa terceirizada (operadora) por ela contratada caso o tratamento dos dados pessoais tenha gerado algum dano/prejuízo ao titular. Exemplificando, uma empresa que coleta os dados de clientes e compartilha com um escritório de contabilidade terceirizado. Se o escritório acaba, por culpa própria, vez que não se adequou a LGPD, sofrendo um vazamento dos dados quem responde pelo ressarcimento dos danos aos titulares não é só o escritório de contabilidade, mas também a empresa que o contratou, ou seja, ambos são igualmente responsáveis.
Em um primeiro momento muitos vão entender que a legislação é injusta, vez que a empresa somente contratou o escritório de contabilidade responsável pelo vazamento de dados. Mesmo assim, a empresa será condenada conjuntamente com o escritório a indenizar os titulares que se viram prejudicados com o ocorrido. Em resumo, a empresa não teve culpa, mas também terá que pagar ao menos uma parte da indenização.
Exatamente buscando evitar injustiças é que a LGPD prevê o direito de regresso, ou seja, se a empresa conseguir comprovar que a culpa pelo incidente de proteção de dados foi só do escritório poderá cobrar o que gastou indevidamente, com juros e correção monetária. Tal ponto é de extrema importância, pois o mais complicado é conseguir comprovar que somente o escritório teve culpa no ocorrido e não a empresa.
Mesmo que consiga comprovar esse ponto, num primeiro momento a empresa terá que desembolsar os valores a serem pagos ao titular dos dados que sofreu o dano. Somente após realizar esse pagamento é que ela poderá buscar a justiça para tentar receber o que acabou sendo obrigada a pagar de forma injusta, vez que não teve culpa no ocorrido. Sendo bem otimista, entre o processo em primeira instância e, posteriormente, eventual recurso em Tribunal, transcorrerão facilmente dois ou três anos.
Face a isso, buscando evitar essa despesa extra, ou seja, realizar o pagamento em casos de incidente e depois ter que brigar na justiça para tentar receber o montante gasto, grandes empresas e multinacionais começaram a obrigar que seus fornecedores se adequem à LGPD.
Tem sido muito comum, quando empresas médias e pequenas tentam fornecer para grandes empresas e multinacionais, a exigência de que essa fornecedora esteja adequada ou no mínimo se adequando à LGPD. Mas por que isso tem ocorrido?
Como já abordado, se a empresa fornecedora der causa a qualquer incidente de proteção de dados pessoais que prejudiquem os titulares desses dados, como foi o caso do escritório de contabilidade no exemplo acima, certamente serão condenadas tanto a fornecedora como a grande empresa/multinacional, exatamente pelo princípio da solidariedade.
Para evitar riscos desnecessários, então qual a estratégia criada pelas grandes empresas e multinacionais? Se o fornecedor já se encontra adequado à LGPD, automaticamente o risco que ocorra algum incidente é muito menor do que com um fornecedor que nem sequer levou em consideração a nova legislação.
Portanto, considerando um administrador de grande empresa, que tem sob sua mesa três ofertas de fornecedores, onde o custo é muito semelhante, mas apenas um dele já adequado à LGPD, qual será escolhido? Certamente este último, pela simples gestão do risco, ou seja, quanto menor o risco, menor a probabilidade de a empresa ter que pagar por algo que não teve culpa.
Enrico Gutierres Lourenço – Greve Pejon Sociedade de Advogados