O valor dos dados pessoais em todos os mercados, especialmente no ambiente digital, é inquestionável. Atualmente, as empresas mais valiosas do mundo não são mais as do segmento do petróleo ou do sistema financeiro, mas as gigantes da tecnologia. Isso não ocorre por acaso: além de contarem com um volume inimaginável de dados em suas bases, essas empresas têm à disposição algoritmos altamente complexos.

Os dados pessoais, no entanto, não são preciosos apenas para os titãs do Vale do Silício, mas para todas as organizações. Isso fez com que muitas empresas passassem a usar indiscriminadamente essas informações. Consequentemente, especialmente após o escândalo Facebook-Cambridge Analytica, as leis e normas voltadas à proteção da privacidade e dos dados pessoais ganharam espaço e relevância no cenário internacional.

Para diminuir os abusos, no Brasil, em 2018, foi publicada a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/18), mais conhecida como LGPD. O diploma é fortemente inspirado na escola europeia, que há mais de 50 anos vem regulamentando a questão. A proteção de dados ganhou nova dimensão por lá, em 1995, com a Diretiva 95/46/CE e, posteriormente, com o GDPR (Regulamento Geral de Proteção de Dados Pessoais).

Uso de dados pessoais em grupos econômicos

Com a chegada da lei, surgiram muitas dúvidas – e continuam surgindo. Uma delas é se os dados pessoais coletados por uma empresa podem ser usados por outras do mesmo grupo econômico. Afinal de contas, por que não usar essas informações para vender produtos e serviços de todo o grupo? É possível? Em que condições? Quais cuidados são necessários?

Primeiramente é importante destacar que sim, é possível. A LGPD não surge para impedir o tratamento de dados pessoais, mas para regulamentá-lo, estabelecendo regras e condições. Afinal, a própria Lei traz entre seus fundamentos “o desenvolvimento econômico e tecnológico e a inovação”. Mas é muito importante tomar uma série de precauções para evitar sanções administrativas, condenações judiciais e danos à reputação, especialmente em um momento em que tanto se fala em governança e compliance.

É essencial deixar claro para o titular (a pessoa a quem os dados se referem) que poderá haver o compartilhamento desses dados com as outras empresas do grupo. Também é importante informá-lo como ele pode entrar em contato para exercer seus direitos. É preciso, ainda, que todo tratamento esteja respaldado por uma base legal, seja compatível com as finalidades informadas no momento da coleta e envolva apenas os dados estritamente necessários para a realização de suas finalidades.

Holding no papel de controlador

A LGPD divide os agentes de tratamento em dois tipos: controlador e operador. Ao primeiro, cabe a tomada de decisão a respeito dos tratamentos de dados. Quais dados serão coletados, qual a base legal, quais serão as medidas técnicas e administrativas de segurança adotadas para a proteção desses dados, dentre várias outras questões. Já o operador trata dados pessoais em nome do controlador, seguindo suas orientações, sempre dentro dos limites legais.

Uma forma de facilitar a administração do programa de proteção de dados pessoais e privacidade do grupo empresarial é estabelecer a holding como agente de tratamento controlador de todos os dados. Com isso, pode-se centralizar as decisões e os dados sob a responsabilidade da holding, deixando as demais empresas do grupo na condição de operadores. Assim, quando uma empresa do grupo coletar ou fizer algum tratamento de dados pessoais, o fará em nome da holding, a quem esses dados “pertencem” – entre aspas porque os dados pessoais sempre serão de titularidade da pessoa a quem se referem.

Para grupos que utilizam estratégias de cross-selling, essa abordagem traz diversas facilidades, entre elas a possibilidade de indicar um único encarregado (DPO) e a centralização do atendimento ao titular. Do ponto de vista sancionatório, não há grande aumento de risco, uma vez que, para efeito da aplicação de multas, o teto é calculado com base no faturamento do grupo ou conglomerado no Brasil.

Cuidados necessários

Seja qual for a estratégia adotada, é essencial o respeito à LGPD. Seus princípios devem ser respeitados e as obrigações trazidas pela Lei cumpridas. Deve-se indicar um encarregado (DPO), ter canais adequados para o atendimento do titular, manter registros dos tratamentos realizados e manter a equipe capacitada e atualizada. Embora ainda não tenhamos visto nenhuma sanção expressiva no Brasil, já há milhares de ações judiciais decorrentes do descumprimento da LGPD. Mais que isso, uma organização que tiver seu nome envolvido em um incidente grave com dados pessoais pode ter sérios danos reputacionais, se prejudicando frente aos clientes e demais stakeholders.