LEXNET
Artigos
Comentários desativados em LGPD – Controvérsia quanto ao início de vigência da Lei Geral de Proteção de Dados e seus impactos no Brasil.
Por Robson Verfe Leal, Coordenador da Área Cível do Escritório Carrion Advogados, LEXNET Porto Alegre
LGPD – Controvérsia quanto ao início de vigência da Lei Geral de Proteção de Dados e seus impactos no Brasil.
O objetivo do presente artigo é, de modo simples e acessível, introduzir os principais conceitos e noções que a regulação acerca da captação de dados pessoais exigirá dos agentes econômicos no Brasil.
Antes de adentrar ao mérito do presente ensaio, é importante salientar que a tecnologia vem traçando novas fronteiras e também novos desafios para a população mundial, visto que estamos construindo uma nova sociedade digital, e os valores que construímos ou deixamos de construir em nossas novas estruturas digitais nos definirão. Somos a primeira e quiçá a única geração da humanidade que viverá a transição do 100% analógico para o 100% digital, ao passo de que as próximas gerações não deverão conhecer as dificuldades e as incertezas que essa transição está a acarretar.
Quanto ao novo marco regulatório brasileiro (denominado como Lei Geral de Proteção de dados / LGPD – Lei nº 13.709/2018), tenho que esta coloca o Brasil entre os mais de 120 países que buscam regular o tratamento de dados pessoais, assim como a União Europeia fez com General Data Protection Regulation (GDPR – que revogou Diretiva de Proteção de dados Pessoais 95/46/CE), os Estados Unidos através do Estado da Califórnia com a California Consumer Privacy Act (CCPA) e a Global Privacy Assembly com seus 130 membros.
Mesmo que cada regulação tenha sua característica e peculiaridade fica evidente que todas visam, de alguma maneira, assegurar maiores níveis de segurança e transparência na proteção dos dados. Neste sentido, a legislação brasileira definiu que a regulação visa proteger “direitos fundamentais de liberdade, de privacidade e o livre desenvolvimento da personalidade da pessoa natural” (art.1).
Essa nova realidade, o qual os dados passam não mais ser de quem capta a informação, da forma que seja, mas da pessoa natural que o produz – faz com que a proteção dos dados passe a ser um novo contingenciamento de risco para as empresas, visto que a proteção se dá no âmbito do direito fundamental à privacidade, conforme reconhecido pelo Supremo Tribunal Federal brasileiro, em recente decisão do Ministro Gilmar Mendes, proferida nas Ações Diretas de Inconstitucionalidade (ADIs) de n. 6.389, 6.390, 6.393, 6.388 e 6.387.
Portanto, a LGPD visa dar segurança jurídica aos atores sociais ainda que estes não conheçam, a priori, o real alcance dos dados coletados. A nova legislação vai no sentido de determinar condutas e comportamentos éticos quando da coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados pessoais.
Quanto ao seu alcance, ainda que a Lei não se limite a regular os bancos de dados digitais, foi a inovação tecnológica advinda da utilização em larga escala do uso da internet, bem como a possibilidade de captação, via inteligência artificial, de grande quantidade de dados (Big Data), que promoveu a necessidade de um marco regulatório que reconhecesse não só a potencialidade do uso indevido dos dados, bem como a compreensão de que os dados pessoais devem ser entendidos como uma extensão da personalidade da pessoa natural.
É igualmente importante pontuar que o marco regulatório não se limita a empresas que realizam transações B2C (Business-to-consumer), mas também àquelas que realizam transações B2B (Business-to-business) que, de alguma forma, possuam dados pessoais do responsável legal na operação ou de qualquer outra pessoa natural envolvida (como, por exemplo, também daquelas que possuam banco de dados de seus candidatos e empregados).
Esses são apenas alguns dos tópicos que a nova lei visa regular os quais as empresas deverão estar muito atentas, a fim de evitar possível discussão administrativa ou judicial acerca do tratamento equivocado dos dados pessoais.
Os desafios contemporâneos levam com que as empresas promovam uma verdadeira corrida para se adequar à lei, já que a mesma prevê multas pesadas, que podem chegar na casa dos cinquenta milhões de reais para aquelas que não promoverem um tratamento adequado.
A coleta e a manutenção de dados pessoais passará a demandar ampla transparência e ética, com livre consentimento, seja do consumidor, do candidato e do empregado, informando-o de forma inequívoca quais os dados serão coletados, bem como o que a empresa fará com os dados após sua coleta, inclusive se repassará às outras empresas do grupo.
No que tange a coleta de dados dos empregados em processo seletivo, por exemplo, é importante realizar uma diferenciação entre os dados que decorrem das diversas obrigações legais, esses sem a necessidade de consentimento (abertura de conta do FGTS, registro, concessão de vale transporte entre outros) – com os dados pessoais que o empregador solicita para fins de mapeamento do perfil de seus empregados. Vale ressaltar que para finalidade de mapeamento do perfil do empregado, alguns dos dados poderão ser considerados sensíveis, tais como: (i) origem racial ou étnica; (ii) convicção religiosa, filosófico ou política; (iii) opinião política; (iv) filiação a sindicato ou organização de caráter religioso; (v) dados referentes à saúde ou à vida sexual; (vi) dados genéticos ou biométricos, dados estes que as empresas precisarão ter segurança altamente redobrada quando da sua coleta e processamento, já que a lei os dá tratamento diferenciado.
No que se refere a vigência da Lei, esta estava inicialmente programada para fevereiro de 2020, sendo posteriormente prorrogada para agosto do mesmo ano. No entanto, a pandemia do coronavírus (COVID19) trouxe uma série de mudanças e implicações quanto a sua entrada em vigor, que levaram o Presidente da República, em abril de 2020, dada relevância e urgência, a adiar a entrada em vigor da Lei para maio de 2021. Esta segunda postergação se deu por uma Medida Provisória (MP 959/2020) que, no âmbito do direito brasileiro, é um ato do Presidente da República, com força de lei, editada sem, a princípio, a participação do Poder Legislativo, que somente será chamado a discuti-la e aprová-la em momento posterior. Está prevista na Constituição Federal, e possui prazo de vigência de 60 dias, podendo ser prorrogadas por mais 60.
Ocorre que nos últimos dias o tema ganhou novos contornos, já que o relator do assunto no Senado Federal deu parecer favorável à entrada da Lei em 14 de agosto de 2020, alterando o prazo fixado na MP 959/2020. O tema foi encaminhado para a Câmara dos Deputados que levou o debate para plenário no último dia 18/08/2020, sem, contudo, chegar a um acordo entre os líderes da casa, o que ocasionou, assim, o adiamento da sessão quanto a esse ponto para o próximo dia 20/08/2020, quinta-Feira.
O tempo urge paras que as duas casas legislativas apresentem uma solução final, visto que estamos a poucos dias do esgotamento do prazo da própria MP 959/2020, que será no 29 de agosto 2020. Ocorrendo o escoamento do prazo máximo de 120 dias, sem que seja convertida em Lei, a MP perderá sua eficácia e fará com que a Lei Geral de Proteção de Dados entre em vigor no primeiro dia útil posterior ao seu esgotamento, não podendo se cogitar retroatividade, uma vez que não editado o decreto legislativo dentro do prazo, as relações jurídicas constituídas e decorrentes de atos praticados durante sua vigência conservar-se-ão por ela regidas.
Ou seja, há um contexto inclinado para que a Lei entre em vigor nos próximos dias, seja pelo parecer do relator da comissão mista – que pende de votação – , seja pelo esgotamento do prazo da MP 959, fato este que liga um alerta para aquelas empresas que ainda não se adequaram as inúmeras obrigações determinadas pelo marco regulatório.
Quanto a fiscalização, esta se dará pela Autoridade Nacional De Proteção De Dados, órgão da Administração Pública – ainda a ser criado – que será responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.
Uma vez que o órgão ainda não foi criado, o prazo para realização das sanções administrativas e multas a serem aplicadas para quem não cumprir a LGPD, ficou alterado através da PL 1.179/2020, o qual foi convertida na Lei 14.010/2020 que, pela sua redação incluiu o art. 65, I-A na LGPD, deixando a vigência quanto a este ponto para agosto de 2021.
Ainda que a ANPD não esteja criada, e o prazo para imposição das sanções administrativas só comece a fluir em agosto de 2021, é importante consignar que a responsabilidade civil de proteção de dados começa a fluir com a entrada da lei em vigor, podendo a empresa, portanto, ser responsabilizada civilmente pelo vazamento e o tratamento equivocado dos dados.
Diante desse cenário, fica evidente a necessidade das empresas nacionais ou estrangeiras que ofertam ou realizam fornecimento de bens a quem esteja no Brasil, buscarem aconselhamento acerca das melhores prática que a Lei aborda, a fim de não aumentarem o seu contingenciamento de risco incorrendo eventualmente no descumprimento da Lei, e consequentemente sejam penalizadas administrativamente pela ANPD ou judicialmente respondam por violação ao direito fundamental a privacidade.