A Lei Geral de Proteção de Dados (LGPD) é um dos assuntos mais comentados atualmente, justamente por garantir que os cidadãos tenham total controle sobre os seus dados pessoais. Com isso, todas as empresas que tratam essas informações, de forma direta ou indireta, devem se ajustar à legislação, e essa está longe de ser uma tarefa simples, principalmente no setor de eventos corporativos.

E é justamente sobre isso que viemos falar por aqui: esse é um ramo de negócios que gerencia, diariamente, os dados pessoais de centenas de milhares de participantes, o que torna a tarefa de gerir essas informações muito desafiadora.

Para ajudá-lo nesse processo, vamos compartilhar tudo o que você precisa saber sobre a relação setor de eventos x LGPD.

O advogado Luis Fernando Rabelo Chacon, da CMO Advogados — responsável pela área Jurídica da Costa Brava —, revelou informações mais que importantes. Mergulhe nesse universo e tenha uma excelente leitura.

Costa Brava: o que define o conceito de dados pessoais?

Luis Fernando Rabelo Chacon: O conceito de dados pessoais é muito simples: trata-se de todo tipo de dado ou informação que permita a identificação de uma pessoa. Por exemplo: você tem o telefone e o e-mail de um usuário. Embora não tenha o nome desse cidadão, por meio dessas duas informações você consegue identificá-lo, portanto, são considerados dados pessoais. Isso também vale para imagem do rosto, biometria e tudo aqui que leva a essa identificação.

Costa Brava: O que são dados sensíveis?

Luis Fernando Rabelo Chacon: Os dados considerados sensíveis são aqueles que tocam aspectos mais íntimos de uma pessoa, exemplos deles são opção religiosa, orientação sexual, dados sobre doenças, tipo sanguíneo, dentre outros. Se eu faço um evento que terá uma tirolesa e, no cadastro, pergunto dados como tipo sanguíneo, se a pessoa sofre do coração, dentre outros, essas informações que eu obtive do participante são consideradas sensíveis. Justamente por isso, a lei faz uma distinção de tratamentos, objetivando proteger mais os dados sensíveis.

Costa Brava: Diante disso, qual o primeiro passo para as empresas se adequarem à LGPD?

Luis Fernando Rabelo Chacon: Criar uma política própria de dados pessoais. A LGPD determina, enfaticamente, que todas as empresas que tratam dados pessoais devem criar uma política específica, que envolva medidas técnicas e administrativas para o uso e segurança dos dados pessoais. Ou seja, é preciso criar um documento que aborde os mecanismos técnicos — software, aplicativos, entre outros — e medidas administrativas, como regras e orientações aos funcionários, para proteger os dados pessoais. Isso está previsto no artigo 46 da LGPD.

Não basta, portanto, adotar soluções isoladas, como alterar uma cláusula contratual ou implementar uma janela de uso de cookies do site, é necessário criar essa política para atender corretamente à legislação.

Costa Brava: Dentre os termos que vêm com a LGPD, o que é consentimento?

Luis Fernando Rabelo Chacon: É algo muito importante. Em alguns casos, basta eu avisar o usuário que vou utilizar um dado coletado para uma determinada função. Porém, a lei traz exceções: suponha que captei um lead no Facebook e que o mesmo precisou preencher um formulário com dados pessoais. Nesse caso, é preciso avaliar caso a caso que, além do aviso de que aqueles dados serão utilizados futuramente, também será necessário um consentimento para fazer uso dessas informações.

No setor de eventos, a necessidade de consentimento é muito recorrente, pois um dos objetivos de coletar dados na área de eventos é propiciar:

Melhor experiência para o usuário: se ele se cadastrar em uma feira de eventos e revelar, na ficha de inscrição, que tem preferência por bebidas destiladas, por exemplo, eu posso encaminhar para ele, futuramente, comunicações sobre esse hábito. Isso a lei chama de legítimo interesse, que é quando a empresa coleta os dados que tem interesse em usar para melhor prestar os seus serviços. Mas a lei é clara: quando coletar dados para legitimo interesse, é preciso o consentimento do usuário.
Para utilizar aqueles dados para comunicar ao participante, por marketing direto ou indireto, sobre eventos futuros. Por isso, esses dados também exigem consentimentos.

No setor de eventos, a parte de consentimento do usuário é algo habitual, diferentemente de outros setores, que basta comunicar a informação sobre a coleta dos dados.

Por isso, a transparência é fundamental. Quando eu criar um regulamento para um determinado evento, preciso ser transparente desde o início. É necessário comunicar que tipos de dados eu vou recolher e como pretendo usá-los.

Costa Brava: Fale sobre o direito à informação.

Luis Fernando Rabelo Chacon: O titular de dados poderá questionar a empresa sobre como está o uso dos seus dados, quais informações têm em poder, para que eles são utilizados e onde são compartilhados. O usuário tem direito a fazer esses questionamentos a qualquer momento, por isso as empresas precisam estar preparadas, com o controle total sobre esses dados. Inclusive, os usuários podem pedir que os dados sejam corrigidos e até mesmo apagados.

Costa Brava: E sobre o assunto mais temido: as penalidades. O que você poderia pontuar?

Luis Fernando Rabelo Chacon: Existem sanções nomeadas como administrativas e cíveis. No setor de eventos, esses pontos são muito impactantes. Nas sanções administrativas, as penalidades acontecem via agência nacional de proteção de dados e a empresa pode ser advertida, obrigada a suspender o uso dos dados e a apagar as informações.

Por uma falha operacional, minha empresa pode ter que apagar todos os dados pessoais do seu sistema e nós podemos imaginar o impacto disso para os negócios. Além disso, existe a aplicação de multas e, a pior delas, em minha opinião, é o dever de tornar público o uso indevido dos dados, por meio de um informe: eu violei a LGPD e usei de forma incorreta os dados pessoais de um usuário.

Por fim, existem também as Ações Cíveis, as quais os próprios donos dos dados poderão solicitar, na justiça, a proteção de suas informações, seja de forma individual, via Procon ou Ministério Público, entre outras entidades de proteção do direito do consumidor.

Costa Brava: Fale sobre a necessidade da criação da função de controlador de dados pessoais, operador de dados pessoais e o encarregado de dados pessoais.

Luis Fernando Rabelo Chacon: Toda empresa está obrigada a nomear um controlador dos dados pessoais, que é o profissional responsável por essas informações na empresa. É preciso ter também o operador de dados pessoais, que é aquela pessoa que, em nome do controlador, opera esses dados (cadastra, envia e-mails etc.).

No setor de eventos, esse operador pode ser terceirizado, como com uma empresa de marketing. Além disso, existe a necessidade de um terceiro profissional: o encarregado de dados pessoais. Esse profissional é nomeado para ser um canal de comunicação entre empresa e os usuários. Tudo isso é exigido pela LGPD.

Para finalizar nossa entrevista, Luis finaliza: No setor de eventos, o compartilhamento de dados é comum. Portanto, atenção a algo importante: deixe claro para o participante que, ao se inscrever no evento, é preciso que ele autorize a utilização de dados pessoais com todas as empresas parceiras, com o aviso: ‘consulte cada uma delas em nosso regulamento’.