As empresas brasileiras vivem hoje um paradoxo curioso. De um lado, valorizam intensamente dados de clientes, colaboradores e fornecedores, utilizando-os para contratar, vender, fidelizar e segmentar. De outro, tratam esses mesmos dados como se fossem irrelevantes, sem implementar políticas mínimas de proteção. É exatamente nessa contradição que reside o risco. Na economia digital, o dado é o novo petróleo: gera lucro quando bem administrado, mas produz explosões quando negligenciado.

      A Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018) nasceu para organizar esse cenário e impor um padrão mínimo de responsabilidade às empresas. Ela estabelece deveres objetivos de segurança, transparência e finalidade no tratamento de dados. Porém, muitos empresários ainda enxergam a LGPD como burocracia, quando, na verdade, ela funciona como mecanismo de blindagem jurídica e reputacional. Conquanto pareça apenas um instrumento regulatório, sua função prática é impedir que um incidente de segurança destrua anos de credibilidade empresarial.

1. Dados pessoais x dados sensíveis: uma distinção essencial que poucos empresários conhecem

      O primeiro erro mais comum é não compreender o tipo de dado que a empresa coleta. A LGPD distingue entre dados pessoais e dados pessoais sensíveis, e a diferença tem impacto direto no risco jurídico.

      O art. 5º, I, da LGPD define dado pessoal como qualquer informação capaz de identificar uma pessoa natural, como:

• nome completo,

• CPF e RG,

• endereço,

• telefone e e-mail,

• dados bancários,

• histórico de compras,

• geolocalização.

     Já o art. 5º, II, define dado sensível, que é o tipo mais protegido pela lei e cuja violação gera danos muito maiores. Exemplos incluem:

• informações de saúde,

• origem racial ou étnica,

• convicção religiosa,

• opinião política,

• dado biométrico,

• dados genéticos,

• vida sexual,

• filiação a sindicato.

      Esses dados são tratados de forma mais rigorosa porque podem expor a pessoa a discriminação, preconceito ou humilhação. Por isso, o art. 11 da LGPD só permite o tratamento de dados sensíveis em hipóteses específicas, como cumprimento de obrigação legal, políticas públicas ou consentimento explícito.

      Ignorar essa distinção tem custado caro a empresas de diversos setores. Em 2022, um hospital particular de Minas Gerais foi condenado a indenizar uma paciente cujo resultado de exame confidencial foi enviado por WhatsApp para a pessoa errada. O Tribunal entendeu que, por se tratar de dado sensível, a violação era ainda mais grave, aumentando o valor da indenização.

2. Por que os dados representam risco jurídico e financeiro?

      A LGPD estabelece no art. 42 que empresas podem responder civilmente por danos causados a titulares de dados — ainda que não tenham agido com intenção. Basta que haja:

• falha na segurança,

• tratamento irregular,

• uso fora da finalidade informada,

• ou vazamento por negligência.

      A responsabilidade é objetiva, o que significa que a empresa responde mesmo sem culpa, desde que o dano decorra de falha em seu processo de tratamento de dados. Além disso, o art. 52 autoriza a ANPD (Autoridade Nacional de Proteção de Dados) a aplicar multas que podem chegar a 2% do faturamento da empresa, limitado a R$ 50 milhões por infração.

Ainda que muitas empresas acreditem que nunca serão fiscalizadas, a realidade mostra o contrário. Em 2023, uma empresa de tecnologia de Santa Catarina foi multada em mais de R$ 14 milhões após vazamento de dados de colaboradores. Embora o incidente tenha ocorrido por ataque hacker, ficou comprovado que não havia política de segurança, controle de acessos nem criptografia mínima, fatores que agravaram a responsabilização.

3. Onde está o risco real? Dentro da própria empresa

      A maioria dos empresários imagina que o risco de vazamento está em ataques externos sofisticados. A realidade, porém, é bem diferente: mais de 60% dos incidentes de segurança ocorrem internamente, segundo relatórios internacionais como o “Data Breach Investigations Report” da Verizon.

     Os cenários mais comuns são triviais:

• funcionários enviando planilhas com dados pessoais por e-mail sem criptografia,

• RH armazenando resultados de exames médicos em pastas compartilhadas,

• colaboradores utilizando computadores pessoais para acessar informações sensíveis,

• prestadores de serviço com acesso inadequado a sistemas internos,

• ausência de política de retenção e exclusão de dados.

     Um caso emblemático ocorreu no Paraná, quando um colaborador enviou acidentalmente uma planilha com dados salariais de toda a equipe para um grupo aberto do WhatsApp corporativo. O Tribunal reconheceu dano moral individual e coletivo, responsabilizando a empresa pela falta de controles internos mínimos.

4. O que a LGPD exige das empresas? (E quase nenhuma cumpre…)

     A LGPD não se limita a orientações gerais. Ela impõe obrigações concretas:

• Mapear os dados coletados (art. 37);

• Informar finalidades de tratamento (art. 6º, I);

• Garantir segurança e sigilo (art. 46);

• Registrar operações de tratamento;

• Treinar colaboradores;

• Aplicar medidas técnicas e administrativas de segurança;

• Formalizar contratos com operadores (art. 39);

• Ter um encarregado (DPO) para comunicação com titulares e ANPD (art. 41).

     O grande problema é que micro e pequenas empresas acreditam que essas exigências se aplicam apenas a grandes corporações — o que é falso. A lei vale para qualquer empresa que trate dados, ainda que de maneira simples. E empresas que não se adequam estão se expondo a um passivo oculto que só aparece quando é tarde demais.

5. O custo da não conformidade: dados que viram bombas jurídicas

     A negligência no tratamento de dados pode gerar:

• indenizações judiciais trabalhistas e cíveis,

• processos coletivos,

• multas administrativas,

• bloqueio de operações,

• perda de contratos com terceiros que exigem compliance,

• destruição da reputação.

     Um restaurante de São Paulo, por exemplo, foi condenado em 2023 por manter cópias de documentos de colaboradores em gavetas abertas, permitindo acesso irrestrito a qualquer funcionário. O juiz entendeu que a empresa violou o princípio da segurança e da prevenção (art. 6º, VII e VIII da LGPD), fixando indenizações individuais de R$ 5 mil a cada empregado.

      Em uma situação semelhante, uma academia foi condenada porque fotos de alunos foram compartilhadas em redes sociais sem consentimento. O dano foi considerado coletivo.

Empresas que tratam dados como se fossem papel sem importância esquecem uma verdade simples: para o titular, o dado é sua identidade; para o Judiciário, sua violação é dano moral puro.

Conclusão

       A LGPD não é um luxo regulatório. Ela é o novo padrão mínimo de governança empresarial. Ignorá-la não protege a empresa — expõe-na a riscos jurídicos, financeiros e reputacionais que podem comprometer sua continuidade. Em um cenário em que dados são o maior ativo corporativo, tratá-los com negligência é abrir mão da própria segurança jurídica.

Rodrigo Bezerra Advocacia – Implementação de LGPD com rigor técnico e visão empresarial

       No Rodrigo Bezerra Advocacia, realizamos implementação completa da LGPD, com mapeamento de dados, políticas internas, revisão contratual, treinamento de equipes e elaboração de documentos legais. Auxiliamos empresas a prevenir litígios, evitar multas e construir um ambiente de governança moderno e seguro.

Sua empresa não pode esperar um vazamento para agir. Proteja seus dados hoje; proteja seu negócio amanhã.