Empresas que coletam ou processam dados pessoais no Brasil – ou de consumidores no país – devem estar familiarizadas com a Lei Geral de Proteção de Dados (LGPD), que tem sido a principal legislação do país sobre o assunto desde 2020. Especificamente, é importante observar que a lei pode ter alcance internacional, mesmo que sua empresa não esteja estabelecida no Brasil e não opere diretamente no país. Embora a aplicabilidade seja analisada caso a caso, elaboramos um Q&A para ajudar a avaliar suas obrigações de conformidade. Aqui estão algumas informações sobre a lei para empresas estrangeiras, bem como seis cenários-chave a serem revisados.
Aspectos básicos para empresas estrangeiras
A LGPD se aplica a dados pessoais, definidos como “informações sobre uma pessoa natural identificada ou identificável”. A lei estabelece regras sobre o processamento de dados, garantindo a segurança adequada dos dados pessoais, incluindo proteção contra processamento não autorizado ou ilegal e contra perda acidental.
Além disso, a LGPD estabelece os princípios e fundamentos legais para o processamento de dados no Brasil, os direitos dos titulares de dados, as obrigações dos agentes de processamento e as sanções e multas por não conformidade. Também cria a Autoridade Nacional de Proteção de Dados, responsável por fornecer regras adicionais sobre a lei.
As empresas precisam observar a LGPD ao realizar as seguintes atividades:
• Operações de processamento de dados pessoais no Brasil;
• Processamento de dados pessoais coletados no Brasil; ou
• Atividades de processamento de dados pessoais com o objetivo de oferecer ou fornecer bens ou serviços a indivíduos em território brasileiro ou processar dados pessoais de indivíduos em território brasileiro.
Então o que isso significa para o seu negócio? Continue lendo para alguns exemplos de quando você pode ter obrigações de conformidade sob a LGPD.
A LGPD é aplicável ao seu negócio? 6 cenários para considerar
1. Minha empresa contrata um pequeno número de funcionários no Brasil por meio de um PEO/EOR para prestar serviços a nossos clientes fora do Brasil. Não temos outras operações comerciais no Brasil.
Se sua empresa tem pelo menos um funcionário trabalhando no Brasil, mesmo remotamente, ela estará incluída no escopo da LGPD porque a empresa está processando dados pessoais de um indivíduo localizado em território brasileiro.
2. Minha empresa tem vários contratados independentes no Brasil que atendem nossos clientes fora do Brasil.
A LGPD provavelmente será aplicável neste caso. Se sua empresa tem pelo menos um indivíduo trabalhando como contratado independente do Brasil, mesmo remotamente, ela estará incluída no escopo da LGPD pela mesma razão explicada acima.
Mesmo que todos os seus contratados independentes no Brasil sejam entidades comerciais, sua empresa ainda provavelmente processará alguns dados pessoais fornecidos por esses contratados sobre seus próprios funcionários ou subcontratados, como nomes completos, números de telefone e endereços de e-mail. Portanto, sua empresa ainda precisaria cumprir a LGPD.
3. Minha empresa contrata funcionários ou contratados independentes que são originários do Brasil, mas não moram mais no Brasil. Não temos outros funcionários ou contratados no Brasil, e não fazemos negócios no país.
A LGPD ainda pode se aplicar à sua empresa. Se pelo menos um desses funcionários ou contratados independentes estava no Brasil quando você coletou seus dados, sua empresa pode estar incluída no escopo da LGPD porque está processando dados pessoais coletados em território brasileiro.
4. Minha empresa não tem funcionários ou contratados no Brasil, mas comercializamos nossos produtos/serviços para clientes brasileiros.
Se uma empresa vende seus produtos ou fornece seus serviços a indivíduos no Brasil, será incluída no escopo da LGPD por processar dados pessoais com o objetivo de oferecer ou fornecer bens ou serviços e processar dados de indivíduos em territórios brasileiros.
5. Minha empresa fornece seus produtos/serviços apenas online, por meio de seu site, um marketplace e/ou uma loja de aplicativos. Não temos uma instalação no Brasil.
Se uma empresa vende seus produtos ou fornece seus serviços a indivíduos no Brasil, ela será incluída no escopo da LGPD, independentemente de como esses serviços ou bens estão sendo vendidos ou fornecidos.
6. Minha empresa fornece produtos/serviços apenas a empresas no Brasil (ou seja, somos uma operação B2B).
A LGPD provavelmente será aplicável ao seu negócio. Mesmo que sua empresa seja B2B, ela provavelmente encontrará e processará alguns dados pessoais fornecidos por seus clientes sobre seus próprios funcionários ou contratados, como nome completo, número de telefone e endereço de e-mail. Portanto, sua empresa precisaria cumprir a LGPD, mesmo que seja considerada um “processador” enquanto a empresa brasileira é considerada a “controladora”.
Cuidado com as penalidades
Após um período inicial de desenvolvimento de sua própria estrutura e pessoal, a Autoridade Nacional de Proteção de Dados começou a aplicar multas e penalidades em 2023. As sanções administrativas que podem ser aplicadas variam desde uma simples advertência até a suspensão parcial ou total, ou proibição das atividades relacionadas ao processamento de dados em desacordo.
A Autoridade também pode impor multas simples de até 2 % da receita da empresa no Brasil referente ao ano financeiro anterior, até um máximo total de R$ 50 milhões de Reais (aproximadamente USD 10 milhões) por infração, além de multas diárias, limitadas ao mesmo máximo das multas simples.
O que você deve fazer se a LGPD for aplicável ao seu negócio?
Compreender e adequar-se à LGPD é crucial para empresas estrangeiras que praticam qualquer forma de atividade comercial no território brasileiro, seja por meio de funcionários, contratados ou comércio online. Com a interconexão da economia digital global, é essencial que as empresas estrangeiras reconheçam o alcance extraterritorial de leis como a LGPD.
Garantir conformidade não apenas mitiga riscos legais, mas também aprimora a reputação da sua empresa quanto à proteção de dados pessoais, uma preocupação crescente para consumidores e parceiros comerciais em todo o mundo.
Se você acredita que a LGPD pode se aplicar ao seu negócio, deve trabalhar com advogados experientes para criar um plano de conformidade e considerar as seguintes ações:
• Desenvolver e implementar políticas aplicáveis, incluindo uma política de privacidade de dados;
• Revisar e atualizar seus contratos com clientes, contratados e funcionários para garantir conformidade com a LGPD;
• Mapear e registrar os dados pessoais que estão sendo processados; e
• Avaliar a necessidade de contratar um Encarregado de Proteção de Dados (DPO).
Conclusão
Caso você necessite de auxílio com a adequação à LGPD, nossa equipe está à disposição para maiores esclarecimentos adicionais, bem como para assessorar com os procedimentos para cumprimento das obrigações regulatórias da LGPD perante a ANPD.
Gustavo Flausino Coelho – gustavo@bastilhocoelho.com.br
Fernando Naegele – fernando@bastilhocoelho.com.br
Um agradecimento especial para Nan Sato do Fisher & Phillips pela coautoria deste artigo