Como se não bastasse o início da vigência da LGPD em meio
à pandemia, a lei não foi efetivamente regulamentada e sequer foi constituída a
ANPD
A LGPD (Lei Geral de Proteção de Dados) finalmente
passou a vigorar no Brasil e, com certeza, trata-se de um grande passo em prol
de elevar a competitividade do Brasil frente aos mercados internacionais que já
legislam sobre proteção de dados pessoais há bastante tempo.
No entanto, a expectativa do setor privado, sobretudo após
uma vacatio legis tão extensa, era bem diferente do cenário que hoje se
apresenta. Como se não bastasse o início da vigência da LGPD em meio à
pandemia, a lei não foi efetivamente regulamentada e sequer foi constituída a
ANPD (Agência Nacional de Proteção de Dados), órgão definido como responsável
pela fiscalização da LGPD. Na verdade, além de fiscalizar o cumprimento da
norma, a ANPD vem suprir inúmeras lacunas que o texto apresenta. Justamente por
ser uma norma geral e abstrata, a LGPD prescinde de regulamentação em inúmeros
pontos. Também cabe à ANPD a elaboração das diretrizes para a Política Nacional
de Proteção da Dados e da Privacidade, os procedimentos de recebimento de
reclamações ou denúncias, de fiscalização e de aplicação de sanções, a edição
de procedimentos sobre relatórios de impacto, além da promoção de discussões
com a sociedade civil e outras autoridades sobre o tema. O fato de o Governo
ter editado um decreto que aprova a estrutura regimental da ANPD (decreto 10.474, de 26 de agosto de 2020) em nada contribui
se esta autoridade não se encontra, na prática, operacional.
A lógica que antecede uma lei que altera completamente o
paradigma de coleta e armazenamento de dados de um país seria que as empresas
fossem convidadas ao diálogo com a ANPD para balizar sua interpretação,
contribuindo para a regulamentação. Por meio de um engajamento construtivo entre
Autoridade e iniciativa privada, o mercado seria mais bem educado para esta
nova legislação e, certamente, ela seria encarada como uma agenda positiva.
Infelizmente, isso são águas passadas. Com a lei vigorando e sem uma ANPD
operando, o que prevalece no mercado é a insegurança jurídica.
Uma outra decorrência grave desse atraso para constituição
da ANPD é a judicialização das demandas que poderiam e deveriam ser resolvidas
extrajudicialmente. O Judiciário, diga-se de passagem, já muito sobrecarregado
e moroso, entra em cena para suprir a ausência de regulamentação da lei,
aplicando multas e impondo adequações às empresas. Foi o que vimos acontecer,
recentemente, com a Cyrela, condenada a indenizar em R$ 10 mil reais um cliente
por danos morais, por ter seus dados compartilhados sem autorização.
Na interpretação da magistrada, a construtora feriu
preceitos como a honra e a privacidade do titular de dados, violando sua
intimidade ao, não apenas repassar seus dados pessoais, mas também revelar
detalhes sobre a compra do imóvel. A juíza cita ainda que o contrato entre as
partes envolvia apenas a inclusão dos dados no Cadastro Positivo e no próprio
banco de dados da empresa, sem que o cliente tenha sido informado sobre o
repasse das informações a parceiros comerciais ou terceiros.
Certamente, casos como este serão recorrentes e as multas
poderão advir não somente pela provocação do Judiciário pelos próprios
titulares dos dados, mas também por outros órgãos, como Procons, MP, Senacons,
deixando as empresas em situação de extrema vulnerabilidade em meio à uma crise
econômica sem precedentes, na qual gastos são cortados e o plano financeiro é
revisado diariamente em prol da manutenção da operação e empregos.
Importante lembrar que embora essas multas já sejam uma realidade,
o cenário iminente é ainda mais preocupante na medida em que, a partir de
agosto de 2020, a ANPD está legitimada a aplicar multa equivalente a até 2% da
receita da empresa, com um limite máximo de 50 milhões de reais por uma
infração. Além disso, pode haver multa diária por dano de imagem
(publicização), com atenuantes de pronta adoção de medidas corretivas,
mecanismos e procedimentos internos de proteção de dados, política de boas
práticas e governança. Outra possível sanção é a suspensão das atividades da
empresa, parcial ou totalmente.
Nos últimos dias, tivemos a nomeação dos diretores da ANPD,
como resposta à pressão do empresariado sobre a importância de acelerar o
processo de criação da ANPD.
A ANPD, criada como uma agência reguladora vinculada à
presidência da república, será liderada por Conselho Diretor composto pelo
diretor-presidente, além das estruturas administrativas da chefia de gabinete,
da Secretaria-Geral, da Assessoria Jurídica, da Ouvidoria e da Corregedoria. O
decreto determina a formação de 36 cargos na entidade, sendo 20 em funções
comissionadas ligadas ao Poder Executivo e 16 em cargos de comissão
remanejados. Contudo, a publicação do decreto não cria o órgão automaticamente.
A organização do quadro de pessoal e as regras listadas no decreto só terão
validade na data de nomeação do diretor-presidente da ANPD no Diário Oficial da
União.
Enquanto este imbróglio legislativo se desenrola, é
importante que as empresas reforcem suas políticas de compliance, incluindo
este item de conformidade com a LGPD que consiste em um programa perene,
alimentado continuamente e cujos processos sejam revistos e atualizados o tempo
todo. Para isso, é fundamental que as empresas passem a ter o controle do ciclo
de vida de seus dados, fluxograma de uso e armazenamento, base legal, prazo de
retenção, políticas de descarte. Enfim, todos os processos precisam estar
criteriosamente mapeados de modo a atender eventual solicitação de titular de
dado.
Os jurídicos e comitês das empresas que estão implementando
a LGPD agora correm contra o tempo, buscando até mesmo aplicação análoga da
GDPR europeia, a fim de suprir a ausência de diretrizes bem definidas
assegurando a conformidade que a lei exige. Não se trata de um processo rápido
nem fácil, mas sair da inércia é medida obrigatória já que a LGPD deve ser
observada de forma indistinta por todas as empresas que eventualmente tratem
dados pessoais.
Fonte: Migalhas