A lei geral de proteção de dados (Lei nº13.709/18 – LGPD) traz inúmeras consequências operacionais para as empresas no Brasil, ao estabelecer uma série de obrigações para o tratamento de dados pessoais no país (aqueles que permitem identificar uma pessoa natural).
Para obedecer a LGPD, as empresas devem realizar uma série de alterações sistêmicas, jurídicas e de segurança visando o tratamento adequado aos dados pessoais. Estima-se que o custo dessas adaptações para uma empresa de médio porte seja em média de 500 mil reais, o que explica o resultado de pesquisas de mercado que indicam que cerca de 60% das empresas ainda não as realizaram integralmente.
A LGPD é salutar ao objetivar a preservação de dados pessoais, estabelecendo procedimentos necessários na era digital. Dados pessoais tornaram-se mercadorias valiosas e tratá-los de forma adequada exige das empresas mudanças operacionais e culturais, todas bastante trabalhosas, o que foi entendido pelo próprio legislador ao determinar um intervalo amplo entre a edição da lei e sua vigência.
Mas a vigência da lei foi precedida de grande confusão. A vigência inicial (agosto de 2020) foi adiada por Medida Provisória para maio do próximo ano. Buscando a melhor data, a Câmara dos Deputados estabeleceu a vigência a partir de 31 de dezembro de 2020, porém, o Senado ao não apreciar a MP no prazo legal, manteve a vigência original, em uma reviravolta surpreendente. Com a sanção presidencial a lei já está em vigor.
Na opinião de algumas autoridades legislativas, a atabalhoada vigência imediata da LGPD não representou maior impacto. Ledo engano. A LGPD foi aprovada em agosto de 2018, com vigência programada para agosto de 2020. Nas empresas com orçamento anual, a despesa para implementação passou a ser prevista no budget de 2019 e 2020, enquanto em empresas de orçamento plurianual ou business plan de longo prazo a previsão orçamentária foi alocada em 2020 e 2021. Mas como sabemos, o ano de 2020 mostrou-se atípico, motivo pelo qual buscou-se o adiamento da vigência da lei para dar algum fôlego às empresas.
A pandemia do coronavírus gerou queda de receitas e o risco de continuidade operacional para grande parte do mercado de pequenas e médias empresas. Quando o Poder Executivo por meio de MP propôs o adiamento e a Câmara acenou positivamente a solicitação, transmitiram ao mercado que buscava-se evitar maiores despesas para as empresas e com isso empresas em dificuldade financeira utilizaram recursos para custear despesas prioritárias, como custos fixos, adiando as despesas com a implementação da LGPD para o período pós pandemia.
E de atropelo, tudo mudou. Alterou-se o que vinha sendo sinalizado às empresas para colocar a lei em vigência imediata, atitude que soou como casuística. No dia seguinte à MP converter-se em lei, criou-se por decreto a ANPD (Agência Nacional de Proteção de Dados) a entidade fiscalizadora do cumprimento da lei, que a bem da verdade não pode ser conceituada como uma agência reguladora, como bem manifestou o Presidente da Câmara dos Deputados.
As agências reguladoras possuem autonomia, inclusive orçamentária para atuação. Esses elementos são fundamentais para blindá-las de influências políticas, para serem instituições de Estado e não de Governo. Pois bem, a ANPD nasce vinculada diretamente à Presidência da República, sem autonomia, o que torna necessária uma alteração legislativa para correção desse problema que coloca em risco a sua independência funcional.
Outro ponto que merece destaque diz respeito à capacidade fiscalizatória e sancionatória. A LGPD prevê a ANPD como entidade responsável por tais atos (ainda que as sanções somente passem a vigorar em agosto de 2021), mas avizinha-se um conflito de atribuições pois os PROCONs já declararam que atuarão sempre que houver a violação de algum dado em relação consumerista e o Ministério Público zelará pela tutela dos interesses difusos e coletivos, incluindo-se a proteção de dados.
Ao não haver previsão legal expressa, como em outros setores regulados, um mesmo ato poderá gerar mais de uma sanção por entes diferentes, o que é vedado por lei. O conflito existirá, mais ou menos tempo, e será dirimido pelo Poder Judiciário.
Já com base na LGPD houve a propositura da primeira Ação Civil Pública por Ministério Público do Distrito Federal contra uma empresa para “eliminar dados pessoais tratados de forma irregular, conforme diretrizes da Lei Geral de Proteção de Dados Pessoais – LGPD”. A ação foi indeferida e o processo extinto por falta de interesse processual do MP no caso específico, mas torna evidente que variadas instituições atuarão para que a LGPD seja seguida e note-se, tudo isso antes do período sancionatório previsto para iniciar-se em agosto de 2021.
O cenário gera insegurança jurídica e exigirá definições por parte dos Tribunais, o que nem sempre ocorre com a agilidade desejada. E isso sem tratar de dispositivos da LGPD que são polêmicos, tais como as decisões automatizadas previstas no art. 20. As decisões automatizadas, algorítmicas, deverão ser fundamentadas, revistas e explicadas, o que levará ao questionamento dos seus parâmetros e em último instância, ao questionamento do modelo de negócio de várias empresas.
Segredos de negócio são vantagens competitivas, protegidos por acordos de confidencialidade até mesmo com os próprios empregados das empresas e romper essa proteção algorítmica representará uma ruptura no modelo de capitalismo de vigilância vigente globalmente. Este ponto certamente também dependerá da consolidação jurisprudencial ao longo dos próximos anos, já que decisões automatizadas estão presentes no cotidiano, em sistemas de pontuação para concessão de créditos, financiamentos, publicidade direcionada e até mesmo em feeds de redes sociais.
Tratar de todos os temas polêmicos da LGPD exigiria mais do que um artigo, um livro, mas neste espaço o objetivo é de provocar a reflexão e a discussão do que se entende de maior relevância sobre uma lei que se equivale em importância ao Código de Defesa do Consumidor na década de 90.
Por Francisco Gomes Junior