A Lei concentra toda a responsabilidade e obrigações no controlador, que é a pessoa, natural ou jurídica, responsável pelas decisões relativas a tratamento de dados. Ao adotar o regime de compliance, a LGPD deixou a cargo de cada controlador definir as medidas técnicas e administrativas que melhor se ajustem ao seu modelo de negócio e sejam aptas a proteger os dados pessoais “de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.” (art. 46).

A obrigação do controlador então é de estar em conformidade com as disposições da Lei, ou seja, deve assegurar que as medidas que adota são aptas a produzir o resultado almejado, proporcionando aos direitos e liberdades dos titulares dos dados um nível de segurança proporcional ao grau do risco envolvido nas operações de tratamento de dados.

Ao se assentar na transparência dos processos de tratamento de dados, o regime da LGPD proporciona às organizações obter vantagem competitiva, na medida em que têm liberdade na conformação da sua adequação à Lei e devem dar a conhecer aos titulares dos dados e ao mercado as boas práticas instituídas na governança destes dados. Esta combinação confere à organização um poder atrativo, melhora a sua relação com os seus já clientes/pacientes, conquistando-lhes a confiança e a fidelidade, e a possibilidade de melhorar o seu posicionamento no mercado.

Exemplo de utilização do regime de proteção de dados como vantagem competitiva é o da Apple, que introduziu recentemente, na atualização do seu sistema operacional, uma funcionalidade que obriga os outros aplicativos e anunciantes a obter o consentimento específico de cada usuário, para acessar suas informações e rastreá-lo na internet. Quando anunciou a novidade, provocou reações contrárias de quem trabalha essencialmente com coleta de dados, como o Facebook, que chegou a afirmar que a Apple não estava preocupada com a privacidade das pessoas e sim pretendendo obter vantagem face aos concorrentes.

A novidade da Apple materializa um princípio de base do regime de tratamento de dados, o privacy by design, segundo o qual a proteção da privacidade deve estar incorporada em qualquer projeto, desde a sua concepção, e mantida e atualizada ao longo do tempo, considerando as inovações. Um dos pilares do privacy by design é a desmistificação de que soluções de privacidade são um entrave e prejudicam a experiência do cliente, afirmando a possibilidade real da incorporação das soluções de privacidade já no conceito do produto ou serviço com um resultado positivo, em que saem ganhando ambas as partes – organização e cliente. 

A funcionalidade introduzida pela Apple promove a concretização do direito à autodeterminação informativa, conferindo ao usuário o poder de efetivamente controlar o uso dos seus dados pessoais.

Iniciativas que demonstrem cuidado e respeito pela privacidade e o tratamento responsável dados do cliente/paciente são passíveis de atrair novos clientes e fidelizar aqueles que já o são.

Por outro lado, incidentes de segurança de dados geram um efeito reputacional negativo para a organização. Uma pesquisa  recente revelou que, para 68% dos brasileiros, o uso indevido dos seus dados é causa para não usar mais os serviços daquele prestador, enquanto 50% abandonaria um serviço que sofresse qualquer forma de violação de dados. Compartilhar o e-mail do cliente com parceiros comerciais, sem o seu consentimento, pode ser um tipo de uso indevido dos dados, assim como o envio equivocado de um e-mail é uma forma de violação de dados.

O efeito negativo para a reputação da organização é tão expressivo que uma das penalidades instituídas na LGPD, para a hipótese de tratamento de dados em desconformidade com as suas disposições, é a divulgação da infração.