A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) completou anos de vigência, mas ainda representa um território nebuloso para grande parte dos empresários brasileiros. Essa lacuna não é apenas uma questão técnica ou jurídica; é, sobretudo, a necessidade de juntar à equipe operacional o profissional chamado de ENCARREGADO DE DADOS.
Transparência, segurança e informação objetiva se tornaram requisitos centrais para quem coleta e usa dados de clientes no Brasil. Em um cenário de maior fiscalização (cenário atual) e consumidores mais atentos aos seus direitos, empresários que ainda tratam a Lei Geral de Proteção de Dados (LGPD) como um tema meramente burocrático correm risco de falhar não só na conformidade legal, mas também na relação de confiança com o seu público.
A discussão ganhou força com a necessidade atual em revisar suas bases de contatos, entenda-se os cadastros existentes com dados pessoais, para reativar campanhas de marketing, avisos operacionais e relacionamento com clientes. O problema é que, na prática, muitas empresas ainda não explicam de forma clara como coletam, tratam, armazenam, compartilham e eliminam os dados pessoais que possuem.
O que a LGPD exige das empresas
A LGPD, instituída pela Lei nº 13.709/2018, estabelece que o tratamento de dados pessoais deve observar princípios como finalidade, adequação, necessidade e transparência. Na prática, isso significa que a empresa não pode apenas “ter” os dados do cliente: ela precisa justificar o uso, informar com clareza o motivo da coleta e respeitar os limites legais para cada operação.
Entre os pontos mais importantes da lei estão:
• Art. 6º: fixa os princípios do tratamento de dados, com destaque para a transparência e a necessidade.
• Art. 7º: define as bases legais para o tratamento de dados pessoais.
• Art. 18: garante ao titular direitos como acesso, correção, eliminação e informação sobre compartilhamento.
• Art. 37 e 38: tratam do registro das operações e do Relatório de Impacto à Proteção de Dados Pessoais, quando cabível.
• Art. 41: estabelece a figura do Encarregado pelo Tratamento de Dados Pessoais, conhecido como DPO. (Único profissional permitido atuar na LGPD)
• Art. 46: determina que os agentes de tratamento adotem medidas de segurança aptas a proteger os dados.
• Art. 48: prevê comunicação de incidentes de segurança à autoridade e aos titulares, quando houver risco relevante.
• Art. 52: prevê sanções administrativas em caso de infração.
O ponto central, porém, é que a LGPD não se limita à proteção técnica. Ela exige também comunicação compreensível. O titular precisa saber, em linguagem simples, o que está sendo feito com seus dados.
Outras leis reforçam o dever de informar – A obrigação de transparência não nasce apenas com a LGPD. O ordenamento jurídico brasileiro já protegia a informação clara antes mesmo da nova lei de dados.
O Código de Defesa do Consumidor (Lei nº 8.078/1990) estabelece, no art. 6º, III, o direito à informação adequada e clara sobre produtos e serviços. No art. 43, garante ao consumidor acesso aos registros e cadastros mantidos por fornecedores. Na prática, isso significa que a empresa não pode esconder, em textos longos e confusos, o uso que faz dos dados do cliente. Se o consumidor não entende como suas informações serão usadas, a comunicação falha — e a relação de consumo também.
O Código Civil (Lei nº 10.406/2002) também oferece base importante para a proteção da privacidade. O art. 21 tutela a vida privada, enquanto os arts. 186 e 927 tratam da responsabilidade civil por ato ilícito e do dever de indenizar em caso de dano. Isso significa dizer que vazamentos, usos indevidos ou exposições desnecessárias de dados podem gerar não apenas sanções administrativas, mas também ações indenizatórias.
A chamada Lei Carolina Dieckmann — Lei nº 12.737/2012 — alterou o Código Penal e passou a punir a invasão de dispositivos informáticos e a obtenção indevida de dados e informações. Os crimes foram incorporados aos arts. 154-A e 154-B do Código Penal.
Embora a lei seja lembrada sobretudo em casos de invasão de sistemas, ela reforça uma mensagem essencial ao setor empresarial: segurança da informação não é detalhe técnico; é obrigação jurídica e preventiva.
O papel dos empresários: mais do que guardar dados, é preciso explicar
Em negócios que dependem de relacionamento contínuo com o cliente, como hotéis, academias, parques, clínicas e comércio em geral, é comum a existência de bases de dados antigas, formadas ao longo de anos. O uso dessas informações para campanhas de marketing ou reativação de clientes, porém, não pode ser automático.
É preciso verificar:
• Qual foi a finalidade original da coleta; Qual base legal sustenta o novo uso; Se o titular foi devidamente informado; Se existe possibilidade de oposição ou revogação e se os dados estão seguros e atualizados.
Em outras palavras, o empresário não deve apenas perguntar “posso usar este dado?”, mas também “como explico esse uso ao titular de maneira clara, honesta e acessível?”
O ENCARREGADO: Profissional Consultor, de Conformidade e obrigação legal, e não de solução isolada
A LGPD prevê a figura do Encarregado pelo Tratamento de Dados Pessoais, EXCLUSIVA, entre outras atribuições, como responsável por atuar como canal de comunicação entre a empresa, os titulares e a Agência Nacional de Proteção de Dados (ANPD).
Na prática, o Encarregado ajuda a organizar respostas, elabora políticas, fluxos e implantação das Conformidades internas. (Governança Corporativa)
Por isso, não basta nomear alguém no papel. A adequação exige:
• Mapeamento dos dados tratados; Revisão de contratos; Treinamento de equipes; Gestão de incidentes; Revisão contínua de políticas e
• procedimentos; Comunicação transparente com clientes e usuários entre outras.
Os principais desafios na comunicação sobre LGPD – Apesar da evolução do debate, muitas empresas ainda comunicam a LGPD de forma excessivamente técnica, genérica ou até contraditória. Isso cria ruído e insegurança para o consumidor.
Principais falhas observadas:
• Linguagem jurídica excessiva, que afasta o entendimento do público
• Políticas de privacidade longas e pouco objetivas
• Consentimentos genéricos, sem indicação clara de finalidade
• Falta de informação sobre compartilhamento com terceiros
• Ausência de canal efetivo para exercício de direitos
• Desconhecimento interno das equipes sobre o que pode ou não ser feito
O resultado é previsível: o cliente não entende, não confia e, em caso de incidente, tende a questionar a empresa com mais força.
Exemplos práticos de boa e má comunicação
Exemplo de boa prática
Uma rede de hotéis informa, já no momento do cadastro:
• quais dados coleta; para quais finalidades usa; quais dados são necessários por obrigação legal; quais são opcionais e como o cliente pode pedir exclusão, correção ou esclarecimento.
Essa postura reduz dúvidas e demonstra respeito.
Exemplo de prática inadequada
Uma empresa envia campanhas promocionais para toda a base antiga de clientes, sem explicar a origem dos contatos, sem revisar a base legal e sem oferecer um canal simples de oposição.
Mesmo que a empresa tenha interesse comercial legítimo, a ausência de consentimento e a falta de transparência compromete a legalidade e a confiança.
Recomendações práticas para empresários
Para comunicar melhor a LGPD e reduzir riscos, as empresas devem adotar medidas objetivas:
• Reescrever políticas de privacidade em linguagem simples, mas obedecendo à legislação vigente; Separar finalidades de tratamento; Revisar consentimentos e bases legais; Treinar colaboradores sobre dados pessoais e segurança; Mapear o ciclo de vida dos dados; Definir responsáveis internos e fluxos de resposta; Implementar controles de segurança e registro de incidentes; Criar canais claros para atendimento ao titular; Revisar contratos com fornecedores e parceiros e eliminar dados obsoletos com segurança.
Também é importante lembrar que a proteção de dados não se resume à área jurídica. Ela precisa envolver marketing, TI, recursos humanos, atendimento, financeiro e operações. De referir que estas ações deverão ser elaboradas ou acompanhadas por um Encarregado de dados. (Art. 41 da lei 13.709/18)
CONCLUSÃO: A transparência deixou de ser opção
A LGPD mudou a lógica do mercado brasileiro. Hoje, não basta coletar dados: é preciso explicar, justificar, proteger e prestar contas. O Código de Defesa do Consumidor, o Código Civil e a Lei Carolina Dieckmann reforçam essa mesma direção: quem trata informações de terceiros precisa agir com responsabilidade, clareza e segurança.
No ambiente empresarial atual, a transparência não é apenas uma boa prática. É uma exigência legal, uma medida de prevenção de risco e um diferencial de reputação. Empresas que comunicam melhor seus processos de proteção de dados não apenas cumprem a lei — elas constroem confiança, fidelizam clientes e fortalecem sua posição no mercado.


