Dois anos depois da criação da LGPD, empresas aguardam autoridade que regulamentará o tratamento de dados pessoais no Brasil
Você já deve ter ouvido expressões como “dados são o novo petróleo” em explicações sobre o tamanho de Facebook e Google, por exemplo. Mas, essa afirmação também vale para outras empresas, desde os bancos até uma loja de departamentos que pede o cadastro de clientes. Foi pensando em regulamentar o uso dessas informações que o Brasil criou em 2018 a Lei Geral de Proteção de Dados. Acontece que, dois anos após sua aprovação, ainda fica a pergunta: quando a LGPD entra em vigor?
A resposta pode ser 14 de agosto de 2020 ou 3 de maio de 2021. Sim, a vigência da LGPD pode começar no dia em que essa matéria foi publicada ou só daqui a alguns meses. Isso porque o Congresso ainda precisa definir o futuro da Medida Provisória 959/2020, publicada em abril pelo presidente Jair Bolsonaro. O texto define detalhes do pagamento de auxílios durante a pandemia do novo coronavírus, mas também determina o adiamento da lei de proteção de dados para maio de 2021.
O prazo para aprovação do texto original da MP 959/2020 — e a confirmação do adiamento — é 26 de agosto. Caso ele não seja cumprido, o documento perde a validade e o prazo para a LGPD volta a ser 14 de agosto. Os parlamentares que defendem mais tempo para a aplicação da lei ainda deverão pleitear mudanças no relatório do deputado Damião Feliciano (PDT-PB), que propõe a retirada do trecho sobre o adiamento.
A mudança para 2021 é defendida por uma frente empresarial, que a reivindica para alguns deputados e senadores. Nesse grupo, estão entidades como Confederação Nacional de Dirigentes Lojistas (CNDL), Câmara Brasileira de Comércio Eletrônico (camara-e.net), Associação Brasileira de Internet (Abranet), Associação Brasileira de Emissoras de Rádio e Televisão (ABERT) e Associação Brasileira Online to Offline (ABO2O2).
Outra entidade que participa da frente é a Associação Brasileira de Empresas de Software (ABES). Em entrevista ao Tecnoblog, o presidente da ABES, Rodolfo Fücher, admitiu que o adiamento da LGPD não é a melhor solução, mas alegou que as empresas dependem da criação da Autoridade Nacional de Proteção de Dados (ANPD) para se adequarem às regras criadas pela lei.
“É um alto risco a LGPD entrar em vigor sem ter autoridade definida e propostas no horizonte, um norte definido ao mercado”, afirmou. “Existem diversos detalhes de procedimentos que a autoridade tem que definir, como diz o próprio texto da lei. Sem essa definição, as empresas não têm um norte a seguir. Eles podem gastar fortunas de dinheiro pensando que têm que se adequar de uma forma e, no fim, a autoridade pode vir e propor uma forma diferente”.
Segundo Fücher, o setor é favorável à lei de proteção de dados, mas esperava que a ANPD fosse criada no início de 2020, o que não aconteceu. Para ele, há uma desorientação do mercado, que teme a insegurança jurídica. Embora a LGPD determine que a autoridade aplicará sanções apenas a partir de 1º de agosto de 2021, órgãos como Procon e Ministério Público poderiam apontar violações no tratamento de dados antes desse prazo.
“O risco que nós já estamos percebendo é que outros órgãos de defesa do consumidor estão começando a se manifestar e a tentar penalizar o mercado com relação a esse tópico”, afirmou Fücher. “A falta de um direcionamento único pode causar um caos no mercado”.
Caso o Congresso vote pelo prazo de maio de 2021, a LGPD seria adiada pela segunda vez. Inicialmente, a lei de proteção de dados entraria em vigor em fevereiro de 2020. O prazo foi estendido para agosto de 2020 após a publicação da lei que determina a criação da ANPD. Mais uma vez, vale lembrar que, com o novo adiamento ou não, as sanções só serão aplicadas pela autoridade a partir de agosto de 2021.
Além de trabalhar pelo adiamento, a frente empresarial pede aos parlamentares a aprovação da PEC 17/2019, que inclui “proteção e tratamento de dados pessoais” como direito fundamental previsto na Constituição. O grupo demanda ainda que Bolsonaro criea ANPD o quanto antes e indique cinco nomes técnicos para o Conselho Diretor da autoridade.
Por que a ANPD é tão importante?
O esforço pela criação da Autoridade Nacional de Proteção de Dados existe porque ela será responsável por regulamentar uma série de pontos da LGPD. A lei conta com dezenas de artigos que reservam ao órgão a missão de definir os detalhes. Entre outras tarefas, a ANPD também deverá criar as diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade.
O professor de Direito Digital da Universidade Presbiteriana Mackenzie Campinas, Marcelo Chiavassa, explicou ao Tecnoblog que a validade da LGPD e a adequação das empresas passa necessariamente pela criação de uma autoridade nacional, vista a quantidade de artigos que preveem a regulamentação posterior e a previsão de que o órgão aplique sanções em caso de descumprimento das regras.
“Exigir uma adequação sem a Autoridade Nacional de Proteção de Dados é exigir uma adequação às cegas. As empresas podem até fazer, mas não necessariamente teremos garantias de que elas estarão fazendo aquilo que a ANPD vai querer que elas façam”, afirmou Chiavassa.
A ANPD terá um Conselho Diretor formado por 5 integrantes, sendo todos indicados pelo presidente da República. O órgão também contará com o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. Com 23 integrantes não-remunerados de diversas partes da sociedade, o grupo deverá contribuir para a criação da Política Nacional de Proteção de Dados Pessoais e da Privacidade.
A Lei Geral de Proteção de Dados também prevê que a ANPD poderá aplicar à empresa que descumprir as regras uma advertência ou multa de até 2% do faturamento, limitada a R$ 50 milhões, por infração. O texto não especifica se a autoridade vai considerar o descumprimento como apenas uma infração ou como uma ocorrência separada para cada usuário afetado, o que poderia aumentar substancialmente o limite da multa.
Chiavassa avalia que a autoridade terá mais um caráter regulador do que policial, mas adianta que as empresas devem seguir a LGPD para evitar penalizações por outras vias. “O foco tem que estar exatamente na preocupação em cumprir a lei porque assim você evita as ações individuais, as ações coletivas e eventualmente autuações administrativas do Procon e do Ministério Público”, afirmou. Segundo ele, esses procedimentos podem chegar a multas bem maiores do que o previsto na LGPD. Ao mesmo tempo, a ANPD pode causar prejuízos de outras formas.
“Há sanções piores, como o bloqueio ou inclusive a eliminação da base de dados. Há empresas que só existem por conta da base de dados que elas detêm. Se a ANPD manda bloquear ou eliminar a base de dados, essas empresas perdem tudo”, destacou.
Afinal, o que muda com a LGPD?
A lei estabelece regras para o tratamento de dados pessoais a serem cumpridas por empresas e órgãos públicos. Uma das principais mudanças é que, na maioria dos casos, os titulares terão que permitir o uso de suas informações. Esse consentimento não será necessário em casos como de realização de políticas públicas. Ainda assim, os titulares poderão pedir a qualquer momento para acessar dados controlados pelos estabelecimentos e solicitar a correção ou a exclusão das informações.
O tratamento de dados também deverá respeitar princípios como o da finalidade, ou seja, os titulares precisam saber por que as informações estão sendo coletadas. Um bom exemplo é o de farmácias que oferecem desconto caso clientes informem seu CPF. Os estabelecimentos deverão indicar exatamente o que pretendem fazer com esse dado. Se informarem que ele será usado apenas para oferecer o desconto, não poderão usá-lo para outro propósito.
A LGPD determina ainda que os consumidores têm o direito de pedir a revisão de decisões tomadas unicamente com base em tratamento automatizado. Isso levará a mudanças em análises para oferta de empréstimos, por exemplo. Caso o pedido de crédito seja reprovado pelo software de uma instituição financeira e o processo não tenha participação de um ser humano, o cliente poderá exigir que a decisão seja reavaliada.
Outra mudança realizada pela lei é o direito à portabilidade dos dados após requisição do titular dessas informações. Este é um dos pontos que ainda será regulamentado pela Autoridade Nacional de Proteção de Dados, mas ele poderia permitir, por exemplo, que motoristas de aplicativos façam a transferência de seu histórico de viagens de uma plataforma para outra.
A lei também formaliza a exigência para empresas comunicarem clientes e a ANPD em prazo razoável caso tenham registrado um vazamento de dados. O comunicado deverá informar os dados que foram afetados, os riscos relacionados ao incidente e as medidas que serão tomadas para minimizar efeitos do vazamento para os titulares das informações.
Com as dúvidas sobre quando a LGPD começará a valer, é certo que as novas regras representarão uma mudança significativa na relação entre empresas e consumidores. As novas exigências e a previsão de penalizações para quem viola o que está determinado na lei deve fazer empresas terem mais critério antes de pedirem tantas informações pessoais.
Fonte: Tecnoblog