O título parece polêmico – e de fato é. Na última semana, o assunto em alta em relação à proteção de dados – além dos diversos “vazamentos” – foi o Projeto de Lei nº 5.762/2019[1], de autoria do Deputado Sr. Carlos Bezerra (MDB-MT), que prorroga o prazo de entrada em vigor da Lei Geral de Proteção de Dados (LGPD)[2] para 15 de agosto de 2022, ou seja, por mais dois anos do atualmente previsto.
A fundamentação do projeto não poderia ser mais “altruísta”: conceder às empresas, principalmente as de pequeno porte, prazo mais elástico para adequação à norma, bem como pela falta de tempo hábil para regulamentação específica pela Autoridade Nacional de Proteção de Dados (ANPD), em razão da morosidade na instalação do órgão pelo Poder Público.
Como não poderia ser diferente, diversos especialistas e debatedores do tema prontamente se pronunciaram, de maneira praticamente unânime, contrariamente ao projeto - destaco, nas notas de rodapé, alguns comentários e artigos que merecem a leitura[3]. Portanto, o objetivo do presente artigo não é expor os prós e contras da medida, mas chamar atenção para a necessidade de se levar o tema “proteção de dados” a sério.
Pois bem. É da cultura do brasileiro deixar tudo para última hora, ainda mais quando se trata de cumprimento à legislação – quantas vezes não ouvimos alguém proferir que “essa lei não vai pegar”, e, no final, pegou. Deficiência na fiscalização ou execução da lei é outro problema, mas é fato que a lei existe, prevê penalidades e uma hora será cobrada, senão pelas autoridades, pelo próprio mercado ou terceiros.
Dessa linha de raciocínio surge o compliance. O empresário desembolsa para mitigação de riscos, criação de políticas e procedimentos para cumprimento a normas, entre outras medidas preventivas, repressivas e corretivas, para, no final, evitar ou minimizar situações passíveis de pesadas sanções, preservar sua reputação e crescer como organização. Compliance é, sobretudo, investimento, e é dessa mesma maneira que a LGPD deve ser vista.
Não se olvida que muitas empresas não estabeleceram a adequação à LGPD para seu plano orçamentário de 2019. Não se ignora, outrossim, a ausência de uma ANPD em funcionamento e a consequente falta de regulação acerca de alguns temas. Do mesmo modo, não se esquece que inexiste um plano de adequação universal que por si só resolva todas as questões de todas as empresas.
Não obstante, por esses mesmos motivos, adiar a prorrogação da vigência da LGPD é resolver alguns problemas criando vários outros.
Primeiramente, vale destacar que padrões mínimos de segurança da informação e privacidade já existem e vem sendo atualizados constantemente (vide família ISO/IEC 27001 e a recém chegada ISO/IEC 27701). Da mesma forma, o General Data Protection Regulation (GDPR)[4], a “LGPD Europeia” (com muitas aspas), está em vigor há mais de um ano, contando com diversos cases que servem como exemplo de aplicação da norma. Bem verdade, seja em 2020, 2022 ou 2050, a ANPD continuará tendo as autoridades e órgãos de proteção de dados europeus como inspiração.
Adiante, proteção de dados compõe o ordenamento jurídico brasileiro há anos[5] e a própria LGPD advém de uma discussão de outrora, marcada por inúmeros e intensos debates entre legislativo, executivo, empresariado, opinião pública e especialistas de diversas frentes. Ao longo do tempo, escândalos como os casos “Edward Snowden” e “Cambridge Analytica” reforçaram a necessidade de uma legislação de proteção de dados e “popularizaram” o assunto entre a sociedade.
Logo, a LGPD não surgiu da noite para o dia, tampouco foi um mero “copia e cola” do GDPR. E mais: as autoridades existentes já estão fiscalizando, investigando e sancionando as empresas por incidentes de segurança ou uso indevido de dados pessoais com base nas leis em vigor[6]. Nada impede, portanto, que as empresas sejam autuadas mesmo sem a LGPD estar em vigência; pelo contrário, a insegurança jurídica tende a ser maior.
Ainda, tal como no compliance em geral, o maior risco da companhia é de caráter reputacional. Quem não se programar e efetuar a adequação sofrerá as consequências não apenas das autoridades, mas do próprio mercado. Da mesma forma, o plano de adequação à LGPD deve ser um plano “vivo”, suscetível a mudanças conforme regulação específica e cases surgirem, tendo em mente que não há plano infalível, mas planos bem elaborados e adequados à realidade e características únicas de cada organização.
Diante de todas essas e outras questões, indaga-se: as empresas realmente precisam de mais dois anos para adequação? Uma vacatio legis de 18 meses, que passou para 24 meses e agora se propõe ampliar para um total de 48 meses, certamente seria um recorde. Nem o Código Civil ou Código de Processo Civil, com seus mais de, respectivamente, 2.000 e 1.000 artigos que literalmente mudaram sistemas por completo tiveram um prazo para entrada em vigor tão extenso.
De outra sorte, será que o que precisamos não é levar o assunto (mais) a sério?
Entender que proteção de dados pessoais é um direito fundamental do indivíduo. Compreender que os inúmeros casos de incidentes ocorridos dia após dia abalam a imagem do Brasil perante o cenário comercial internacional. Assimilar que a ANPD possuirá um papel educacional muito mais expressivo do que a simples função punitiva. Parar de proferir que “todo tratamento vai exigir o consentimento do titular”, quando na verdade a LGPD irá ampliar sobremaneira as hipóteses de tratamento, concedendo maior margem de atuação às empresas do que atualmente previsto em nosso sistema legal.
Entender, enfim, que a LGPD é um marco importantíssimo para o Brasil, de modo que se nós mesmos não a levarmos a sério, ninguém no mundo irá!
_________________________
[1] https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra?codteor=1828120&filename=PL+5762/2019
[3] Artigo da Dra. Viviane Nóbrega Maldonado, disponível em: https://www.linkedin.com/pulse/lgpd-e-o-prazo-de-vigência-vamos-falar-sobre-números-viviane/
Artigo da ilustre Cristina De Luca, disponível em: https://porta23.blogosfera.uol.com.br/2019/11/02/adiar-a-vigencia-da-lei-geral-de-protecao-de-dados-pessoais-nao-e-solucao/
Comentário da Dra. Patricia Peck Pinheiro, disponível em: https://www.linkedin.com/posts/patriciapeckpinheiro_pl5762-gdpr-ue-activity-6595966421459615744-EOb6
Comentário do Dr. Marcelo Crespo, disponível em: https://www.migalhas.com.br/Quentes/17,MI314475,91041-Especialistas+avaliam+PL+que+adia+vigencia+da+LGPD+para+2022
Nota Pública da Comissão de Direito da Tecnologia e da Informação e da Comissão de Direito das Startups da Ordem dos Advogados do Brasil, Seccional Pernambuco, disponível em: https://oabpe.org.br/nota-publica-sobre-o-projeto-que-visa-alterar-a-entrada-em-vigor-da-lgpd/
Nota Técnica da Ordem dos Advogados do Brasil, Seção do Estado do Rio de Janeiro, disponível em: https://www.oabrj.org.br/noticias/oabrj-critica-nota-tecnica-proposta-adiamento-vigencia-lei-geral-protecao-dados
[5] Vide Decreto nº 7.962/2013, Marco Civil da Internet (Lei nº 12.965/2014), Código de Defesa do Consumidor (Lei nº 8.078/1990), entre diversas outras leis, regulamentos e normas esparsas.
[6] Destaca-se a robusta e enfática atuação do Ministério Público do Distrito Federal e Territórios (MPDFT) e sua Unidade Especial de Proteção de Dados e Inteligência Artificial (Espec).