Marcelo começou no emprego novo numa segunda-feira daquelas clássicas: café ruim, senha que não funciona, tour pela empresa e um monte de gente dizendo “qualquer coisa me chama” sem explicar exatamente para quê. Até aí, tudo normal. Na terça-feira cedo veio o momento oficial da integração. A moça do RH apareceu com um sorriso treinado, segurando um tablet e um fundo branco portátil que claramente já tinha traumatizado outros funcionários antes dele.
— “Marcelo, vamos tirar sua foto para o crachá.”
E foi aí que a empresa descobriu que a LGPD tinha chegado com força total no setor administrativo.
Marcelo travou na hora.
— “Não autorizo.”
A moça do RH até achou que era brincadeira. Não era.
Marcelo cruzou os braços, respirou fundo e lançou a frase com a segurança de quem assistiu três vídeos no TikTok e agora se sente praticamente ministro da Justiça:
— “A LGPD me protege. Vocês não podem usar minha imagem sem autorização.”
Pronto.
Em menos de quinze minutos, metade da empresa já sabia da história. O financeiro comentava que “agora ninguém mais vai poder tirar foto de nada”. O pessoal do TI já estava quase imaginando câmera de segurança com tarja preta em todo mundo. E o RH, coitado, parecia aluno tentando responder pergunta surpresa na prova sem ter estudado o capítulo.
Marcelo não estava sendo mal-intencionado. Muito pelo contrário. Ele realmente acreditava que estava defendendo um direito. E aqui entra a parte interessante da história: ele não estava totalmente errado. Mas também não estava certo.
A LGPD realmente protege dados pessoais. E imagem é dado pessoal, sem discussão. O problema é que muita gente começou a entender a lei como se ela fosse um botão universal do “não autorizo”. Como se qualquer uso de dado dependesse automaticamente de consentimento. E não funciona assim.
A empresa explicou para Marcelo que a foto do crachá não seria usada em campanha publicitária, outdoor, postagem de rede social ou propaganda institucional. O uso era interno, com finalidade de identificação funcional, controle de acesso e segurança. Em outras palavras: existia necessidade legítima para aquilo.
E, convenhamos, faz bastante sentido.
Imagina uma empresa sem identificação mínima. Ninguém sabe quem trabalha ali, quem é visitante, quem é fornecedor, quem entrou ou saiu. Em determinados ambientes isso deixa de ser detalhe administrativo e vira risco operacional sério. Em hospitais, por exemplo, identificação visual pode evitar acesso indevido a áreas restritas. Em condomínios empresariais ajuda no controle de circulação. Em empresas industriais pode até evitar acidentes ou acesso a locais perigosos.
A LGPD nunca teve o objetivo de impedir esse tipo de operação normal da empresa. Ela existe para impedir excesso, abuso e descontrole.
E aqui está o ponto que muita gente ainda não entendeu: a lei não nasceu para travar empresa. Nasceu para organizar responsabilidade.
O problema é que a internet transformou a LGPD numa mistura de superpoder jurídico com corrente de WhatsApp. Tem gente achando que pode impedir qualquer tratamento de dado em qualquer situação simplesmente dizendo “não autorizo”. Só que a própria lei prevê várias hipóteses onde o tratamento pode acontecer sem consentimento, desde que exista necessidade legítima, transparência e finalidade adequada.
Agora, isso também não significa que a empresa pode fazer o que quiser.
Aí é que mora o equilíbrio.
Uma coisa é usar foto para crachá interno. Outra completamente diferente é pegar imagem de funcionário e colocar em campanha de marketing sem autorização. Uma coisa é controle de acesso. Outra é exposição desnecessária em rede social corporativa. A LGPD não é desculpa para bagunça de nenhum dos lados.
E talvez esse seja o maior desafio atualmente: separar proteção real de interpretação criativa.
Porque, vamos falar a verdade… tem empresa abusando? Tem. Bastante. Mas também tem gente usando “LGPD” como quem joga carta de UNO em reunião. Qualquer desconforto virou argumento jurídico.
No fim, Marcelo fez a foto.
Mas fez com aquela cara clássica de quem perdeu o debate no grupo da família.
E o mais curioso é que, depois de alguns dias, ele mesmo começou a perceber a importância do crachá. Descobriu que sem ele não acessava determinados setores, não liberava impressão, não entrava em áreas restritas e ainda fazia o segurança da portaria olhar para ele como se fosse alguém tentando invadir a empresa.
A vida prática costuma explicar melhor do que muita palestra.
E talvez essa seja a grande lição dessa história inteira: proteção de dados não significa ausência de regra. Significa limite, finalidade e responsabilidade.
Porque, do jeito que algumas pessoas entenderam a LGPD, daqui a pouco vai ter funcionário querendo trabalhar sem crachá, sem foto, sem nome e talvez pedindo para a câmera da recepção respeitar o “direito de não ser visto”.
E aí já não é proteção de dados.
É só confusão mesmo.
Christiano Guimarães
Consultor em Segurança da Informação
Autor do Livro:
Como Adequar Minha Empresa à Lei Geral de Proteção de Dados – Um Guia Prático
