A circulação de dados pessoais passou a integrar, de forma definitiva, a estrutura operacional das empresas, razão pela qual cadastros de clientes, informações de colaboradores, registros de fornecedores, documentos contratuais e históricos de relacionamento comercial deixaram de ser apenas instrumentos de gestão para também se tornarem relevantes pontos de atenção sob a perspectiva jurídica.
Esse cenário exige superar a compreensão, ainda comum no ambiente corporativo, de que a proteção de dados constitui tema meramente técnico ou restrito à área de tecnologia, sobretudo porque a Lei nº 15.352, de 25 de fevereiro de 2026, alterou a Lei Geral de Proteção de Dados para disciplinar a Agência Nacional de Proteção de Dados (ANPD), criou a carreira de especialista em Regulação e Fiscalização de Proteção de Dados e reforçou, de forma expressa, a estrutura institucional da autoridade reguladora.
A legislação passou a prever que a ANPD é autarquia de natureza especial, vinculada ao Ministério da Justiça e Segurança Pública, dotada de autonomia funcional, técnica, decisória, administrativa e financeira, o que revela não apenas maior maturidade do ambiente normativo brasileiro, mas também um avanço concreto na consolidação da proteção de dados como pauta permanente de governança e conformidade empresarial. Os efeitos dessa mudança não se limitam ao plano institucional, porque o fortalecimento regulatório amplia, na prática, a expectativa de que as empresas adotem mecanismos efetivos de controle, supervisão e resposta, o que envolve definição clara de responsabilidades, revisão contratual com terceiros, gestão de acessos, organização documental e protocolos aptos a demonstrar diligência diante de incidentes ou questionamentos regulatórios.
É justamente nesse ponto que reside um dos equívocos mais recorrentes no ambiente empresarial, já que a terceirização de sistemas, plataformas, armazenamento em nuvem ou operadores especializados pode ser legítima e necessária sob o ponto de vista operacional, mas não transfere, por si só, o dever de governança nem afasta a responsabilidade da empresa pelos riscos inerentes ao tratamento inadequado de dados pessoais.
Em termos práticos, o passivo jurídico decorrente de um vazamento raramente se limita ao incidente em si, pois costuma ser ampliado pela ausência de políticas internas consistentes, pela fragilidade das cláusulas contratuais, pela falta de treinamento das equipes, pela inexistência de rastreabilidade das providências adotadas e pela incapacidade de identificar, conter e responder ao evento com a celeridade e a consistência que hoje se espera de uma organização minimamente estruturada.
Por isso, a questão central para o empresário já não está em discutir se a operação pode ser terceirizada, mas em verificar se a empresa mantém controle efetivo sobre os riscos que dela decorrem, porque, em matéria de dados pessoais, a atividade até pode ser delegada, porém a exposição jurídica resultante de sua condução inadequada permanece, em última análise, vinculada à esfera de responsabilidade da própria empresa.
Patrick G. Mercer
OAB/SC 54.051A
E-mail: [email protected]
