A Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/18, foi sancionada em agosto de 2018 e entrará em vigor em agosto de 2020. Dessa forma, o ano que se encerra foi marcado por expectativas, preparativos e aprendizados.
Desde sua edição, a LGPD sofreu algumas modificações, estando ainda em curso alguns projetos de leis que propõe novas alterações. Até agora, o que se tem de concreto são as alterações trazidas pela Medida Provisória nº 869/18, editada em dezembro de 2018 e posteriormente convertida na Lei nº 13.853/19 (Julho/19).
Dentre as alterações trazidas pela MP, destaca-se a criação da Autoridade Nacional de Proteção de Dados (ANPD), que havia sido retirada da redação original da LGPD por uma questão de vício de inconstitucionalidade na origem em razão da iniciativa legislativa, que competia privativamente ao Presidente da República (artigo 61§1º, II, “a”, Constituição). A instituição da ANPD é essencial para garantir que a lei seja, ao tempo de sua vigência, viável e efetiva, pois sem uma autoridade supervisora seria um postulado inócuo e sem força vinculativa.
Ainda em julho de 2019, foi apresentada a Proposta de Emenda Constitucional nº 17/19 (PEC 17/19), que altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais. A tramitação da PEC está avançando e foi aprovada pela Comissão Especial sobre Dados Pessoais no último dia 10 de dezembro. A proposta precisa agora ser votada em dois turnos pelo Plenário da Câmara dos Deputados, já que sua origem é no Senado Federal.
A aprovação da PEC traz reflexos práticos, já que fixa a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais e criar a autoridade supervisora, que deverá ser independente, nos moldes das atuais agências reguladoras. No entanto, a inserção do tema na Constituição traz também um efeito claramente simbólico, na medida em que promove a proteção dos dados pessoais à categoria de direitos e garantias fundamentais dos cidadãos.
Algumas instituições já entenderam a importância de incluir a proteção de dados em seus valores e práticas de governança e aproveitaram o ano para se antecipar e implementar medidas de adequação à LGPD. No entanto, pesquisas indicam que apenas 15% das instituições já estão preparadas para fazer a gestão de dados pessoais com respeito à LGPD (1).
Todas as organizações que tratarem dados pessoais precisam buscar a melhor adequação que estiver ao seu alcance, e de preferência nesse período que antecede a vigência da LGPD. Isso não significa dizer que as instituições devam estar completamente adequadas à lei ao tempo de sua vigência, o que seria impossível. Assim como em qualquer processo de adequação (compliance), o mais importante é a constante busca por implementações de mudanças necessárias, com o respeito aos princípios trazidos pela LGPD, dentre eles os princípios da finalidade, da adequação, da necessidade, transparência, livre acesso e prevenção. Nesse sentido, as instituições devem buscar implementar medidas simples que traduzam a exata compreensão desses princípios essenciais da lei de proteção de dados.
Como exemplo, as organizações devem, desde já, parar de coletar mais dados do que o necessário para realização do seu propósito. Precisam rever suas políticas de governanças e incluir a proteção de dados entre os seus principais fundamentos, com absoluta transparência, constante reavaliação e aprimoramento, em virtude da fluidez da dinâmica corporativa. Também é essencial promover uma ampla conscientização interna em cada instituição para que todos os colaboradores entendam o que deve mudar com a lei. Por fim, é necessário que as organizações tenham a consciência dos tratamentos de dados que realizam, o que é feito através de mapeamentos de suas operações de tratamento de dados pessoais, a fim de entender se existem bases legais que justifiquem essas operações.
Mas, talvez, o ponto essencial para as empresas que usam o tratamento de dados em sua atividade é a compreensão de que os dados pessoais pertencem aos seus titulares, para quem devem satisfação na forma de prestação de contas. É a chamada autodeterminação informativa, que a LGPD trouxe como um dos seus fundamentos, inspirado no famoso precedente do censo alemão, de 1983, que o definiu como o “o poder conferido ao indivíduo, em princípio, de decidir se e em qual extensão expor aspectos de sua vida pessoal” (2).
A adequação não se revela tarefa fácil, mas é necessária na medida em que a vigência da LGPD está cada vez mais próxima. Por óbvio, não se espera que a Autoridade Nacional de Proteção de Dados passe a aplicar sanções severas já de pronto a partir do agosto de 2020. Ao contrário, é esperado que haja um período de adaptação, com orientações e divulgações de entendimentos da ANPD, para que só então, as sanções sejam aplicadas. No entanto, em seu devido tempo, as sanções certamente virão como forma de proteção aos direitos dos titulares e incentivo à conformidade das organizações. As sanções contidas na lei compreendem advertências, multas calculadas sobre o faturamento, publicização da infração, suspensão e até proibição do exercício de atividade relacionada a tratamento de dados.
Nesse ponto, é válido lembrar dos numerosos casos de punições já havidos na Europa no decorrer do ano. A LGPD foi fortemente baseada no Regulamento Geral de Proteção de Dados (GDPR), o regulamento aplicável à União Europeia sobre proteção de dados, em vigor desde maio de 2018. Assim, o período de espera pela vigência da lei brasileira coincidiu com o início de vigência da norma europeia. E muitos aprendizados podem e devem ser tirados desse fato.
Desde o início da vigência do GDPR, inúmeras sanções já foram aplicadas às corporações que infringiram o regulamento europeu, incluindo a aplicação de altíssimas multas (3). É o caso da multa de € 50 milhões aplicada em janeiro pela autoridade francesa (CNIL) à empresa Google LLC. por falta de transparência, informações inadequadas e falta de consentimento válido em relação a anúncios segmentados. Da mesma forma, a autoridade alemã aplicou em outubro multa de € 14,5 milhões a empresa Deutsche Wohne, do ramo imobiliário, por armazenar dados confidenciais dos inquilinos de forma contrária ao GDPR. É válido notar que as sanções foram aplicadas por infração ao GDPR mesmo sem ter havido qualquer vazamento de dados pessoais.
É bem verdade que a Europa tem uma cultura de proteção de dados muito mais antiga e consolidada do que o Brasil, possuindo leis nesse sentido desde os anos 1970. No entanto, os casos de sanções aplicadas pelas autoridades europeias devem servir de alerta para a importância da adequação à LGPD.
Por aqui, o ano se encerra com um saldo bastante positivo para a tutela da proteção de dados pessoais, que teve sua importância amplamente reconhecida. A expectativa para 2020 é a de que uma parcela ainda maior das instituições busque sua conformidade com a LGPD – não só para evitar as sanções aplicadas pela ANPD, mas principalmente, para que a cultura de respeito à proteção de dados seja de fato implementada, e o cuidado com os direitos dos titulares dos dados pessoais seja efetivamente contemplado.
(1) Disponível em https://www.serasaexperian.com.br/sala-de-imprensa/85-das-empresas-declaram-que-ainda-nao-estao-prontas-para-atender-as-exigencias-da-lei-de-protecao-de-dados-pessoais-mostra-pesquisa-da-serasa-experian
(2) Disponível em https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/EN/1983/12/rs19831215_1bvr020983en.html
(3) https://www.enforcementtracker.com/
*Renato Opice Blum, é economista e advogado de direito digital, professor e coordenador do curso de proteção de dados e direito digital do Insper
*Ana Maria Roncaglia é advogada do escritório Opice Blum, Bruno, Abrusio, Vainzof Advogados Associados
Fonte: Jornal Estadão