A Lei Geral de
Proteção de Dados (LGPD), Lei nº 13.709/18, foi sancionada em agosto de 2018 e
entrará em vigor em agosto de 2020. Dessa forma, o ano que se encerra foi
marcado por expectativas, preparativos e aprendizados.
Desde sua edição, a
LGPD sofreu algumas modificações, estando ainda em curso alguns projetos de
leis que propõe novas alterações. Até agora, o que se tem de concreto são as
alterações trazidas pela Medida Provisória nº 869/18, editada em dezembro de
2018 e posteriormente convertida na Lei nº 13.853/19 (Julho/19).
Dentre as alterações
trazidas pela MP, destaca-se a criação da Autoridade Nacional de Proteção de
Dados (ANPD), que havia sido retirada da redação original da LGPD por uma
questão de vício de inconstitucionalidade na origem em razão da iniciativa
legislativa, que competia privativamente ao Presidente da República (artigo
61§1º, II, “a”, Constituição). A instituição da ANPD é essencial para garantir
que a lei seja, ao tempo de sua vigência, viável e efetiva, pois sem uma
autoridade supervisora seria um postulado inócuo e sem força vinculativa.
Ainda em julho de
2019, foi apresentada a Proposta de Emenda Constitucional nº 17/19 (PEC 17/19),
que altera a Constituição Federal para incluir a proteção de dados pessoais
entre os direitos e garantias fundamentais. A tramitação da PEC está avançando
e foi aprovada pela Comissão Especial sobre Dados Pessoais no último dia 10 de
dezembro. A proposta precisa agora ser votada em dois turnos pelo Plenário da
Câmara dos Deputados, já que sua origem é no Senado Federal.
A aprovação da PEC
traz reflexos práticos, já que fixa a competência privativa da União para
legislar sobre proteção e tratamento de dados pessoais e criar a autoridade
supervisora, que deverá ser independente, nos moldes das atuais agências
reguladoras. No entanto, a inserção do tema na Constituição traz também um
efeito claramente simbólico, na medida em que promove a proteção dos dados
pessoais à categoria de direitos e garantias fundamentais dos cidadãos.
Algumas instituições
já entenderam a importância de incluir a proteção de dados em seus valores e
práticas de governança e aproveitaram o ano para se antecipar e implementar
medidas de adequação à LGPD. No entanto, pesquisas indicam que apenas 15% das
instituições já estão preparadas para fazer a gestão de dados pessoais com
respeito à LGPD (1).
Todas as
organizações que tratarem dados pessoais precisam buscar a melhor adequação que
estiver ao seu alcance, e de preferência nesse período que antecede a vigência
da LGPD. Isso não significa dizer que as instituições devam estar completamente
adequadas à lei ao tempo de sua vigência, o que seria impossível. Assim como em
qualquer processo de adequação (compliance), o mais importante é a constante
busca por implementações de mudanças necessárias, com o respeito aos princípios
trazidos pela LGPD, dentre eles os princípios da finalidade, da adequação, da
necessidade, transparência, livre acesso e prevenção. Nesse sentido, as
instituições devem buscar implementar medidas simples que traduzam a exata
compreensão desses princípios essenciais da lei de proteção de dados.
Como exemplo, as
organizações devem, desde já, parar de coletar mais dados do que o necessário
para realização do seu propósito. Precisam rever suas políticas de governanças
e incluir a proteção de dados entre os seus principais fundamentos, com
absoluta transparência, constante reavaliação e aprimoramento, em virtude da
fluidez da dinâmica corporativa. Também é essencial promover uma ampla
conscientização interna em cada instituição para que todos os colaboradores
entendam o que deve mudar com a lei. Por fim, é necessário que as organizações
tenham a consciência dos tratamentos de dados que realizam, o que é feito
através de mapeamentos de suas operações de tratamento de dados pessoais, a fim
de entender se existem bases legais que justifiquem essas operações.
Mas, talvez, o ponto
essencial para as empresas que usam o tratamento de dados em sua atividade é a
compreensão de que os dados pessoais pertencem aos seus titulares, para quem
devem satisfação na forma de prestação de contas. É a chamada autodeterminação
informativa, que a LGPD trouxe como um dos seus fundamentos, inspirado no
famoso precedente do censo alemão, de 1983, que o definiu como o “o poder
conferido ao indivíduo, em princípio, de decidir se e em qual extensão expor
aspectos de sua vida pessoal” (2).
A adequação não se
revela tarefa fácil, mas é necessária na medida em que a vigência da LGPD está
cada vez mais próxima. Por óbvio, não se espera que a Autoridade Nacional de
Proteção de Dados passe a aplicar sanções severas já de pronto a partir do
agosto de 2020. Ao contrário, é esperado que haja um período de adaptação, com
orientações e divulgações de entendimentos da ANPD, para que só então, as
sanções sejam aplicadas. No entanto, em seu devido tempo, as sanções certamente
virão como forma de proteção aos direitos dos titulares e incentivo à conformidade
das organizações. As sanções contidas na lei compreendem advertências, multas
calculadas sobre o faturamento, publicização da infração, suspensão e até
proibição do exercício de atividade relacionada a tratamento de dados.
Nesse ponto, é
válido lembrar dos numerosos casos de punições já havidos na Europa no decorrer
do ano. A LGPD foi fortemente baseada no Regulamento Geral de Proteção de Dados
(GDPR), o regulamento aplicável à União Europeia sobre proteção de dados, em
vigor desde maio de 2018. Assim, o período de espera pela vigência da lei
brasileira coincidiu com o início de vigência da norma europeia. E muitos
aprendizados podem e devem ser tirados desse fato.
Desde o início da
vigência do GDPR, inúmeras sanções já foram aplicadas às corporações que
infringiram o regulamento europeu, incluindo a aplicação de altíssimas
multas (3). É o caso da multa de € 50 milhões aplicada em janeiro
pela autoridade francesa (CNIL) à empresa Google LLC. por falta de
transparência, informações inadequadas e falta de consentimento válido em
relação a anúncios segmentados. Da mesma forma, a autoridade alemã aplicou em
outubro multa de € 14,5 milhões a empresa Deutsche Wohne, do ramo imobiliário,
por armazenar dados confidenciais dos inquilinos de forma contrária ao GDPR. É
válido notar que as sanções foram aplicadas por infração ao GDPR mesmo sem ter
havido qualquer vazamento de dados pessoais.
É bem verdade que a
Europa tem uma cultura de proteção de dados muito mais antiga e consolidada do
que o Brasil, possuindo leis nesse sentido desde os anos 1970. No entanto, os
casos de sanções aplicadas pelas autoridades europeias devem servir de alerta
para a importância da adequação à LGPD.
Por aqui, o ano se
encerra com um saldo bastante positivo para a tutela da proteção de dados
pessoais, que teve sua importância amplamente reconhecida. A expectativa para
2020 é a de que uma parcela ainda maior das instituições busque sua
conformidade com a LGPD – não só para evitar as sanções aplicadas pela ANPD,
mas principalmente, para que a cultura de respeito à proteção de dados seja de
fato implementada, e o cuidado com os direitos dos titulares dos dados pessoais
seja efetivamente contemplado.
(1) Disponível
em https://www.serasaexperian.com.br/sala-de-imprensa/85-das-empresas-declaram-que-ainda-nao-estao-prontas-para-atender-as-exigencias-da-lei-de-protecao-de-dados-pessoais-mostra-pesquisa-da-serasa-experian
(2) Disponível
em
https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/EN/1983/12/rs19831215_1bvr020983en.html
(3) https://www.enforcementtracker.com/
*Renato Opice Blum, é economista e advogado de direito
digital, professor e coordenador do curso de proteção de dados e direito
digital do Insper
*Ana Maria Roncaglia é advogada do escritório Opice Blum,
Bruno, Abrusio, Vainzof Advogados Associados
Fonte: Jornal Estadão
