Diversas atividades comerciais são desempenhadas no âmbito de grupos societários, ou seja, conjunto de sociedades que se inter-relacionam sem perder a personalidade jurídica própria de cada empresa que faz parte do grupo. É possível citar como exemplo a Nike, que é mundialmente conhecida e tem como subsidiárias integrantes do grupo marcas como a Converse, empresa de calçados responsável pela fabricação do famoso All Star, também muito presente no cotidiano dos consumidores.
Essa realidade não é exclusiva do mercado privado, sendo possível que empresas públicas e sociedades de economia mista, que compõem a Administração Pública indireta, também façam parte de grupos empresariais, normalmente tendo por configuração uma empresa que exerce o papel de holding e as demais como subsidiárias.
Considerando o relacionamento estreito entre as empresas de um mesmo grupo, é natural que haja um fluxo grande de compartilhamento de dados pessoais entre as empresas. Na prática, se o consumidor fornece seus dados pessoais para uma compra na empresa Vult Cosméticos, por exemplo, é possível que haja compartilhamento com a empresa Quem disse, Berenice? já que ambas fazem parte do Grupo Boticário.
Sendo assim, surge a preocupação para os consumidores: como posso estar resguardado em relação à proteção dos dados pessoais que forneço para empresas que fazem parte de grupos societários?
E logo a pergunta se amplia para os grupos societários: como posso resguardar a proteção dos dados pessoais aos quais tenho acesso?
A resposta a essas perguntas é simples, mas exige empenho de ambas as partes. Em resposta ao primeiro questionamento, recomenda-se que o titular apenas forneça seus dados pessoais a empresas que demonstram se preocupar com o fiel cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD), bem como das legislações estrangeiras de proteção de dados, caso haja transferência internacional de dados. Mas como saber se a empresa tem essas preocupações?
No website ou outro meio de fácil visualização da empresa é obrigatório que haja transparência em relação ao contato do Encarregado de Dados e à maneira como os dados pessoais serão tratados, armazenados, excluídos e, neste caso, compartilhados. Isso pode ser feito pela empresa por meio de uma Declaração ou Aviso de Privacidade. Ainda, o titular tem o direito de perguntar a finalidade e a temporalidade de tratamento dos dados quando os estiver fornecendo, pessoalmente ou virtualmente.
É possível também, de acordo com o artigo 18 da LGPD, a requisição de informações detalhadas sobre o tratamento dos seus dados pessoais, bem como eliminação, portabilidade e anonimização. Tudo isso será feito por meio do canal de atendimento ao titular, que é estabelecido de forma distinta em cada empresa, mas que DEVE existir.
O consumidor deve se atentar, portanto, ao fato de a empresa agir de maneira transparente e se mostrar disponível às suas requisições, demonstrando preparação para tratar os dados corretamente. Ao contrário, violações de dados pessoais podem ocorrer e os dados podem ser indevidamente utilizados, propiciando golpes e condutas desonestas.
Dito isso, este texto se dirige agora às empresas inseridas em grupos societários. É extremamente importante que essas empresas implementem programas de governança em privacidade em relação a cada membro do grupo. Além disso, é essencial que a holding emita orientações gerais para o grupo, a fim de que todos estejam sintonizados quanto às políticas de privacidade e segurança da informação que devem ser cumpridas.
É possível firmar também um acordo de compartilhamento de dados pessoais com assinatura de todos os membros do grupo. Este tema inovador no Brasil foi tratado anteriormente neste blog. Aproveite para conferir.
Não apenas isso, mas uma avaliação dos sistemas de tramitação de dados pessoais se faz interessante, pois muitas vezes são bases de dados únicas com um volume de registros significativo, sendo relevante que possuam o nível de segurança adequado para evitar vazamentos.
Em termos práticos, os grupos societários devem, minimamente:
Promover a adequação dos processos à LGPD em todas as suas empresas componentes, tendo por base um diagnóstico;
Avaliar e melhorar a segurança de seus sistemas, especialmente aqueles que formam uma base de dados integrada entre as empresas;
Realizar transferências internacionais de dados pessoais apenas para receptores que estão em nível igual ou superior de proteção, se atentando para o cumprimento da LGPD e da legislação do local de destino da transferência;
Praticar sempre a transparência em relação a como o tratamento, compartilhamento e transferências ocorrem.
Diante de tudo isso, é necessária atenção e dedicação das empresas para se manterem aderentes à Lei e atrativas para seu público-alvo, que se tornará cada dia mais seletivo. Lembre-se! O titular tem o direito de escolher com quem divide sua privacidade, sendo um diferencial competitivo o cuidado com os dados pessoais.
Camila Borges Pires
Analista Jurídica da Every Cybersecurity and GRC Solutions
Comments