06.01.2020

Sem a ANPD, a LGPD é um problema, não uma solução

por FABRICIO DA MOTA ALVES

A Lei Geral de Proteção de Dados Pessoais (LGPD) foi publicada em 15.8.2018 e contou com generosos 24 meses de vacatio legis para que todos, Administração pública, setor privado e sociedade civil, se adaptassem às disposições da lei. Faltando agora poucos meses para sua entrada em vigor, o cenário brasileiro ainda carrega incertezas. Muito disso se deve ao fato de o Governo Federal ainda não ter instituído nem dado corpo à Autoridade Nacional de Proteção de Dados (ANPD), por meio da indicação de seus membros diretores e da edição de um decreto federal para sua estruturação regimental e administrativa.

Considerando que esses nomes deverão ser aprovados pelo Senado Federal, após sabatina, que entrou em recesso desde o dia 22 de dezembro último, a indicação, possivelmente, ocorrerá ao final de janeiro ou início de fevereiro de 2020.

O que é inconcebível, uma vez que estamos a 8 meses da entrada em vigor da lei.

No melhor cenário, vamos supor que os nomes sejam indicados, aprovados e tomem posse em fevereiro de 2020. Na linha do tempo, restariam apenas 6 meses para que esses Diretores pudessem exercer suas primeiras atribuições, sendo a mais urgente delas a edição de um regimento interno para funcionamento da Casa (art. 55-F, § 2°).

Em seguida, devem elaborar propostas de regulamentações que a lei exige e as submeter a consulta pública, tal como determina a própria LGPD, entre elas o regulamento sobre sanções administrativas contendo as metodologias para o cálculo do valor-base das multas (art. 53). Mas não somente isso: para se ter uma noção da dimensão desse desafio a ser enfrentado pela primeira Diretoria da ANPD, podemos evidenciar outros pontos que também dependem de regulamentação. São eles:

  • Características de informações sobre o tratamento de dados pessoais para fins de concretização do direito de acesso facilitado pelo titular e de atendimento ao princípio do livre acesso (art. 9º, caput);
  • Possibilidade de limitação (ainda maior) da comunicação e do uso compartilhamento de dados pessoais sensíveis entre controladores com o objetivo de obter vantagem econômica (art. 11, § 3°);
  • Padrões e técnicas utilizadas em processos de anonimização (art. 13, § 3°);
  • Definição de acesso a dados pessoais e de práticas de segurança para adequação de ambiente controlado e seguro no qual os dados serão tratados para fins de estudos de saúde pública por órgãos de pesquisa (art. 13, caput e § 3°);
  • Regras de portabilidade de dados pessoais (art. 18, inc. V);
  • Prazo e termos para atendimento de requerimento de informações realizado pelo titular ao controlador dos seus dados pessoais (art. 18, § 3°);
  • Termos e formato para atendimento de solicitação, pelo titular, de cópia eletrônica integral de dados pessoais coletados com base no consentimento ou contrato (art. 19, § 3°);
  • Prazo diferenciado para atendimento de requisição de confirmação de existência ou de acesso a dados pessoais em formato simplificado ou completo para setores específicos (art. 19, § 4°);
  • Formas de publicidade das operações de tratamento pelo setor público (art. 23, § 1°)
  • Regras sobre informação à ANPD, por pessoa jurídica de direito público, sobre a comunicação ou o uso compartilhado de dados pessoais com pessoa jurídica de direito privado (art. 27, par. único);
  • Normas complementares sobre comunicação e uso compartilhado de dados pessoais (art. 30);
  • Medidas de segurança necessárias para aferição do nível de proteção de dados de país estrangeiro ou de organismo internacional para fins de avaliação da ANPD quanto ao fluxo internacional de dados (art. 34, inc. V);
  • Regras de definição de conteúdo, de fiscalização e designação de organismos certificadores de definição de cláusulas-padrão contratuais, de cláusulas específicas, de normas corporativas globais, selos, certificados e códigos de conduta para fins de transferência internacional de dados (art. 35, caput e § 3°);
  • Regras para elaboração do Relatório de Impacto à Proteção de Dados Pessoais (art. 38, caput);
  • Padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados, segurança e tempo de guarda dos registros de operações de tratamento (art. 40);
  • Normas complementares sobre a definição e as atribuições do encarregado de proteção de dados, inclusive sobre a dispensa de sua indicação (art. 41, § 3°);
  • Padrões técnicos mínimos para segurança e sigilo dos dados pessoais (art. 46, § 1°);
  • Prazo para comunicação de incidente de segurança (art. 48, § 1°);
  • Prazo para solução de reclamação do titular (art. 55-J, inc. V);
  • Normas, orientações e procedimentos simplificados e diferenciados para adequação à lei por microempresas, empresas de pequeno porte e startups (art. 55-J, inc. XVIII);
  • Regras para indicação dos representantes da sociedade no Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD) (art. 58-A, § 3°, inc. I);
  • Regras para acesso a dados tratados pela União nos termos da Lei de Diretrizes e Bases da Educação Nacional e do Sistema Nacional de Avaliação da Educação Superior) (art. 62); e
  • Normas de adequação progressiva de bancos de dados constituídos até a data de entrada em vigor da lei (art. 63).

Há, nesse rol, questões de maior ou menor gravidade, a depender da ótica através da qual se enxergue o processo de adequação à LGPD ou mesmo a eficácia do sistema de proteção de dados brasileiro.

Boa parte dessas normas não terão eficácia plena enquanto pendentes de regulamentação, o que significa dizer que, em alguns casos, a própria atuação da ANPD e a eficácia da LGPD ficam comprometidas.

Além disso, apesar de o legislador ter concedido um prazo razoável de 2 anos para que a sociedade brasileira pudesse compreender a LGPD e preparar-se para cumpri-la, muito do que se tem feito até agora em termos de implementação da conformidade legal, deverá ser complementada, após a regulamentação plena, ou até mesmo revista, o que importará inadvertidamente mais esforço (e mais gastos) dos agentes de tratamento para além do que já se tem feito até hoje.

De se esperar, portanto, que a ANPD já estivesse constituída para direcionar essa transição, com racionalidade e previsibilidade.

Sua ausência também agrava o cenário de incerteza regulatória quanto ao processo de adequação em si: afinal, todos os agentes de tratamento que já estão passando pelo processo pautam-se – por razões óbvias – na experiência europeia.

Mas fato é que não há uma autoridade pública sequer que tenha chancelado essa estratégia, ou, ao menos, sugerido que esse deverá ser o caminho a ser seguido. De fato, os projetos de adequação hoje realizados no País são baseados em práticas internacionais, mas ainda pendentes de chancela formal no Brasil. Por mais óbvio que seja esse o caminho a ser seguido pela ANPD, a opção por aderir a metodologias e planos de ação com base na experiência europeia não tem, ainda, respaldo formal ou protocolar das autoridades brasileiras.

E isso é grave. A questão ganha contornos ainda mais preocupantes para o setor público, cuja adequação à LGPD deve respeitar diretrizes e processos mais complexos, em razão do cumprimento de preceitos constitucionais delimitadores (e determinantes) da ação estatal.

Como podem os órgãos públicos promover a adequação a uma legislação inacabada e, ao mesmo tempo, respeitar o princípio da legalidade? Podem os órgãos e entes públicos basearem-se na experiência europeia adotando o Direito Europeu Regulatório de Proteção de Dados Pessoais? O RGPD pode ser usado como parâmetro para acomodar a LGPD nesse ambiente restrito? Os pareceres do antigo Grupo de Trabalho do art. 29 e do atual Comitê Europeu de Proteção de Dados podem ser utilizados como referência dos fundamentos, decisões e ações de adequação do setor público? Os atos administrativos que assim dispuserem serão válidos? O gestor público que seguir nessa direção estará agindo com probidade, legitimidade e responsabilidade administrativas?

Essas são apenas algumas das complexas questões envolvendo o poder público que a ausência de regulamentação da LGPD implica. Fato é que boa parte dessas respostas dependem da ANPD. Sem a Autoridade, o sistema é incompleto, falho e potencialmente prejudicial à sociedade brasileira.

Na verdade, a entrada em vigor da lei sem a instalação de fato da Autoridade geraria uma imensa insegurança jurídica para todos os atores envolvidos, tanto no setor privado como no setor público.

E não seria sequer correto afirmar que, sem a ANPD, a lei seria inofensiva. Pelo contrário, entrando em vigor, a LGPD passa, imediatamente, a constituir direitos e obrigações, os quais, se desrespeitados serão garantidos pelo Poder ao qual incumbe a guarda das leis: o Poder Judiciário.

Em outras palavras, caso cheguemos a agosto do ano que vem sem a Autoridade constituída, abriremos a porta para toda sorte de provocações ao Judiciário sobre alegações de descumprimento a dispositivos da lei, passando a um nível de litigiosidade intolerável, principalmente para o setor privado.

Diante desse cenário de probabilidade, já começam a surgir no Congresso Nacional projetos de lei propondo, de alguma forma, o adiamento da entrada em vigor da lei. Até o momento, há os PLs 5762/2019 e 6149/2019, ambos na Câmara dos Deputados. A primeira proposição propõe o adiamento da entrada em vigor de todos os dispositivos da lei, enquanto a segunda propõe postergar progressivamente apenas as disposições relativas a penalidades.

Pois bem, quem acompanha o Poder Legislativo mais de perto sabe que as chances de um projeto de lei de autoria parlamentar serem aprovados são pequenas – se considerarmos o período desde 1988, entre 1 e 2% –, logo, essas iniciativas não deveriam ser motivo para maiores preocupações, sendo que a maior chance de um eventual adiamento seria a edição de uma Medida Provisória sobre o tema, como já aconteceu antes.

Mas também é verdade que estamos vivendo tempos atípicos na relação Executivo-Legislativo e este tem buscado ter cada vez maior protagonismo na produção de sua pauta, dando preferência para projetos de autoria parlamentar, de forma que também não podemos descartar que proposições desse tipo possam prosperar, principalmente se não houver engajamento da sociedade civil e de setores interessados.

De toda a sorte, eventual aprovação de proposições legislativas adiando a entrada em vigor da lei passam longe – e, a bem da verdade, trabalham contra – a construção de um cenário de estabilidade social e de segurança jurídica. Isto porque, ao redor do mundo, os países mais relevantes já têm exigido que tanto setor público, como privado, em que, de alguma forma, sejam tratados dados pessoais estejam em conformidade com padrões de privacidade mínimos, os quais estão albergados em nossa LGPD.

Mas talvez até mais impactante do que a necessidade de haver compliance global em proteção de dados, seja o fato de que a LGPD não é o único mecanismo jurídico a proteger a privacidade dos cidadãos – o próprio Marco Civil da Internet traz diversas disposições sobre proteção à privacidade dos usuários, inclusive alçando-a ao status de princípio geral para o uso da internet. Nessa mesma direção, há a Lei do Cadastro Positivo, Lei de Acesso à Informação, Código de Defesa do Consumidor, entre outros.

Nesse sentido, o que fez a LGPD foi justamente sistematizar e regular pontos que, em outras leis, ficam insuficientes, abstratos ou obscuros, de forma a trazer um pouco mais de clareza e modernidade jurídico-regulatória para todos os agentes de tratamento de dados. Não é alarmismo, portanto, dizer que quem trata dados hoje está, em algum nível, exposto ao risco elevado de demandas judiciais inconsequentes, enquanto não houver a implementação da ANPD.

Mesmo a jurisprudência baseada nas leis hoje vigentes já tem surgido até mesmo propondo a presunção do dano moral em razão do tratamento ilegítimo de dados pessoais, inaugurando a tese do dano moral in re ipsa nesses casos (REsp 1.758.799, Rel. Nancy Andrighi, Julg. 12-11-2019). Ou mesmo chancelando a atuação de órgãos do Ministério Público quanto à requisição de informações sobre tratamento de dados pessoais a empresas controladoras dos dados (Processo nº 0722935-57.2019.8.07.0001, DJe 20-11-2019), a despeito da vacatio legis da LGPD.

De todo o exposto, fica claro que ainda há muito a ser feito para que a ANPD seja instaurada, assim como fica evidente que o atraso em o fazer coopera apenas para agravar um cenário de insegurança jurídica e instabilidade social e econômica, algo em nada condizente com o momento em que vive o país, no qual se busca justamente mostrar para o mundo e, especialmente, para investidores estrangeiros, que temos aqui as condições adequadas para atrair empresas e gerar negócios.

É necessário, portanto, que a sociedade civil, inclusive através de representação democrática, diante da inação do próprio Governo federal, sejam os protagonistas nesse processo e continuem a mostrar para a Administração pública a importância deste tema e da efetividade da proteção e regulação de dados pessoais, contexto em que a ANPD assoma como figura central e base de todo o sistema de proteção à privacidade.

Sem ela, a LGPD é um problema, não a solução tal como fora originalmente desenhada pelo Congresso Nacional.

Compartilhe Facebook Twitter Linkedin