A despeito do Congresso Nacional estar debatendo se há necessidade de alterar o início da vigência da Lei Geral de Proteção de Dados (LGPD) – por meio do Projeto de Lei nº 1179/2020, aprovado no Senado e em tramitação em regime de urgência na Câmara dos Deputados – o Executivo publicou no dia 29 de abril a Medida Provisória 959/2020, que em seu artigo 4° altera o início da vigência da lei para maio de 2021. Diante da dificuldade do Congresso de analisar medidas provisórias de forma célere e da necessidade de assegurar direitos, a sociedade civil organizada na Coalizão Direitos na Rede, que reúne 38 centros de pesquisa, ONGs e entidades de defesa da liberdade de expressão, trabalha para que o presidente do Senado Federal, Davi Alcolumbre, devolva parcialmente a MP 959/2020 e mantenha o prazo para início da vigência da LGPD.
>Senadores aprovam suspensão de pagamentos do Fies durante calamidade
Por que é importante não adiar o início da vigência da LGPD? O Intervozes, coletivo que integra a Coalizão, listou sete motivos para responder a essa questão.
Prazo de vacatio legis de dois anos é adequado
Tendo em vista a necessidade de permitir tempo razoável para que os setores econômicos e governos pudessem se adequar à nova legislação que cria direitos dos titulares e responsabilidades para controladores e operadores de dados pessoais, o prazo de entrada em vigor da LGPD foi previsto inicialmente para 18 meses após a sua sanção. Tal prazo, a pedido de setores impactados, foi prorrogado para 24 meses pela MP 869/2018. Este prazo vence em agosto deste ano. Dois anos é um tempo bastante razoável para promover adequações de governança e técnicos.
A General Data Protection Regulation (GDPR), a lei europeia de proteção de dados aprovada em 2016, teve justamente dois anos para entrar plenamente em vigor. A título de comparação, o Código de Defesa do Consumidor (CDC), que à sua época representou uma mudança significativa das responsabilidades de fornecedores e comerciantes, de todos os portes, passou por vacatio legis de 180 dias.
Achar que todas as empresas e governos já devem estar adaptados antes do início da vigência da lei não faz sentido. Até hoje empresas violam os direitos do consumidor décadas após aprovado o CDC. Dois anos são uma oportunidade para adaptação, mas correções ao longo do caminho devem e serão feitas. A não entrada em vigor da LGPD, considerando que já houve uma prorrogação por Medida Provisória, arrisca o descrédito de tão relevante legislação.
Proteção de dados é fundamental em uma sociedade marcada pela economia digital
É consenso entre organismos internacionais (como Fórum Econômico Mundial e Organização para a Cooperação e Desenvolvimento Econômico) de que estamos em um momento de mudanças profundas para a consolidação de uma economia digital baseada em dados. Neste novo ambiente, a proteção de dados se torna um direito humano fundamental, pois é chave para a inserção dos indivíduos em sociedade, para evitar abusos, discriminações e até mesmo os ataques a regimes democráticos por meio da manipulação do debate público e de processos eleitorais. O Supremo Tribunal Federal (STF) reconheceu essa relevância no julgamento da Medida Provisória 954 (que previa o repasse de dados de operadoras ao IBGE), concluído em 7 de maio de 2020, afirmando a necessidade da proteção deste direito.
LGPD oferece segurança jurídica aos agentes de tratamento de dados
A entrada em vigor da LGPD em agosto representa uma afirmação clara sobre a necessidade de governos e empresas manterem um esforço de adaptação à legislação, de forma a assegurar os direitos dos brasileiros, e oferece parâmetros importantes para o tratamento de dados pessoais, de forma a garantir segurança jurídica a iniciativas importantes de uso dessas informações, especialmente no atual momento de pandemia. Observamos a dificuldade de o IBGE obter dados pessoais para realização de pesquisas justamente pela não adoção dos parâmetros e normas estabelecidos da LGPD, o que levou o caso para análise do Supremo Tribunal Federal. O STF confirmou, em 7 de maio, liminar para impedir o compartilhamento de dados entre empresas de telecomunicações e IBGE, o que demonstra o nível de instabilidade que a ausência da LGPD como parâmetro pode gerar.
Sanções somente após medidas educativas e orientativas
A redação da LGPD é muito equilibrada quanto às sanções por infração das normas. A primeira sanção prevista na lei é justamente a advertência, com indicação de prazo para medidas corretivas (art. 52, I). Nos casos em que há possibilidade de multa, a LGPD conta com parâmetros e critérios para aplicação das sanções que tornam inviável sua aplicação imediata. A aplicação de multa requer análise prévia tais como: a boa-fé, a condição econômica, a cooperação, a reincidência, a adoção de políticas de boas práticas e governança, a pronta adoção de medidas corretivas, entre outras.
Diante de tal previsão de aplicação modulada, o risco de multa é extremamente baixo ao menos no primeiro ano de vigência da lei e, portanto, tolerável diante da necessidade, embasada em dispositivos constitucionais, de proteger os cidadãos e garantir direitos. Além disso, não há sanções econômicas previstas ao poder público e este é um dos mais relevantes controladores de dados, que precisa avançar em adequações à LGPD, especialmente à medida que acelera a digitalização de serviços públicos e de sistemas governamentais e o consequente uso pelos cidadãos, um movimento que ganha força neste momento de necessidade de isolamento social.
Urgência na criação da Autoridade Nacional de Proteção de Dados
A LGPD foi estruturada por princípios e normas gerais e requer, para sua plena eficácia, uma Autoridade Nacional de Proteção de Dados (ANPD) com autonomia política e técnica, e devidamente capacitada. As competências da ANPD envolvem editar normas e procedimentos sobre a proteção de dados pessoais; deliberar sobre a interpretação da lei, suas competências e casos omissos; requisitar informações, a qualquer momento, aos controladores e operadores de dados pessoais que realizem operações de tratamento de dados pessoais; comunicar às autoridades competentes as infrações penais das quais tiver conhecimento, entre outras. Ou seja, é muito difícil um sistema estruturado com uma ANPD funcionar a contento sem que esta esteja criada, mas isso não significa que, na falta dela, a justiça não possa agir para evitar abusos. Isso ocorrerá com ou sem LGPD, o que difere é o nível de parâmetros para embasar a justiça e segurança jurídica.
É evidente a urgência de ação do Executivo Federal para a criação da Autoridade Nacional de Proteção de Dados. A prorrogação do início da vigência da lei nada mais é do que uma armadilha para eximir da responsabilidade um governo aparentemente descompromissado com a necessidade de controles e limites que resguardem a democracia e os direitos. Apenas o início da vigência da LGPD pode elevar a pressão para a indicação dos diretores do órgão, o que permitirá ao Senado Federal cumprir com seu dever de sabatinar os candidatos.
Volume de tratamento de dados sem precedente exige resposta rápida do poder público
Diante do valor de mercado das empresas que têm seus negócios baseados em dados, é inquestionável o valor que se pode extrair a partir de um vasto banco de dados. Diante de cifras enormes, há grande incentivo para abusos, especialmente quando o risco de ser enquadrado em infração é baixo, como na ausência da LGPD. Em contexto de pandemia, em que há um estado de alerta e urgência generalizados e, além de muita improvisação, as oportunidades para coleta massiva e abusiva aumentam, motivo pelo qual deveria haver preocupação dos defensores de direitos em garantir a rápida vigência da LGPD e não contrário.
Oportunidades de negócios dependem da LGPD
Em um cenário de desaceleração econômica, o Brasil faz uma opção equivocada ao adiar o início da vigência da LGPD. Leis estrangeiras sobre proteção de dados pessoais, como a europeia General Data Protection Regulation, exigem um grau de proteção de dados equivalente ao dos países a que se destinam os dados de seus cidadãos em transferência internacional. O não reconhecimento do Brasil como um país que mantém um certo nível de proteção de dados pode ter um impacto nas possibilidades de negócios de empresas aqui sediadas.
Além disso, o ingresso do Brasil na OCDE, depende também de equivalência com padrões de proteção de dados da organização. Prorrogar o início da vigência da LGPD significa igualmente postergar que este passo – apontado como relevante para fortalecer a economia – seja dado.
Não menos importante é reconhecer que diversos profissionais e negócios se especializaram para apoiar a adequação de empresas. Estes negócios são frustrados pela ausência de compromisso com um processo longo de debate, democrático, e que, por fim, resultou em votação unânime pela aprovação da LGPD. Também esses empresários têm direito à confiança nos processos legislativos e na segurança jurídica.