Opinião & Análise

Lei nº 13.709/2018

Ampliação da ‘vacatio legis’ da LGPD e a falsa segurança para as empresas

Estender o tempo não é a solução, e a Europa já nos mostrou isso

Crédito: Pixabay

A redação consolidada da Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – “LGPD”)[1], que estabelece a data de entrada em vigor em agosto de 2020, foi recentemente sancionada pelo presidente Jair Bolsonaro – porém, a segurança jurídica e a aplicação da legislação já se encontram ameaçadas.

Isso porque, no dia 30 de outubro de 2019, foi apresentado o Projeto de Lei nº 5.762/2019 (“PL 5.762”)[2] pelo deputado Carlos Bezerra do MDB/MT, propondo a alteração da LGPD para prorrogar sua data de entrada em vigor para 15 de agosto de 2022, ou seja, um adiamento de 2 (dois) anos do prazo atualmente previsto em lei.

As justificativas parlamentares para referida proposição são os desafios que a implementação prática da LGPD representa, já que, a pouco mais de 10 (dez) meses da entrada em vigor da LGPD, apenas uma pequena parcela das empresas brasileiras já teria iniciado seu processo de adequação à legislação, tratando-se, geralmente, de grandes empresas, com assessoria jurídica e recursos financeiros suficientes para tamanho investimento. Outrossim, haveria uma preocupação com relação à adaptação das pequenas empresas, que não possuem capital para investir em adequações.

Por fim, a morosidade do Poder Público para a formação e composição da Autoridade Nacional de Proteção de Dados (“ANPD”) – que servirá de órgão regulador, fiscalizador e orientador – também reforçaria a necessidade de uma prorrogação da legislação, a fim de garantir tempo suficiente para que as normas necessárias à fiel execução da LGPD sejam devidamente regulamentadas.

O PL 5.762 gerou uma onda de debates. De um lado, as empresas, com a falsa percepção de um respiro que ganhariam com a prorrogação da vigência; de outro, a comunidade acadêmica, as organizações sociais, os órgãos de classe e os profissionais jurídicos e de segurança da informação que, em uníssono, compreendem que tal medida não é a solução. E as razões são inúmeras.

De início, importante mencionar que, embora seja a tendência dos debates, a proteção de dados pessoais no Brasil não surgiu com a promulgação da LGPD, de modo que não há que se falar que tal obrigação cuida-se de novidade no país. Inúmeras são as leis que endereçam o tema, há décadas. O argumento da novidade não encontra guarida diante dos variados diplomas legais existentes.

É possível perceber as influências da preocupação com a segurança das informações pessoais no território brasileiro, por exemplo, desde a Constituição Federal Brasileira[3], de 1988, que estabeleceu serem invioláveis a vida privada, a intimidade, a honra e a imagem das pessoas, denotando a importância da privacidade aos titulares de dados pessoais. Também o Código de Defesa do Consumidor (Lei nº 8.078/1990)[4], passou a indicar a importância de garantir os direitos dos titulares dos dados, como o direito de acesso e correção, por exemplo, em seu artigo 43 e parágrafos.

A década de 90 contou, ainda, com a edição da Lei nº 9.296/1996[5], versando sobre o sigilo das comunicações telefônicas, cujo pedido de interceptação apenas teria lugar quando demonstrada a necessidade de apuração de infração penal, com indicação dos meios a serem empregados, primando, portando, pela preservação da privacidade e da proteção dos dados dos envolvidos.

A Lei Geral das Telecomunicações (Lei nº 9.472/1997, recentemente alterada pela Lei nº 13.848/2019)[6] se debruçou sobre o tema para garantir o direito do usuário de serviços de telecomunicações de ter respeitada sua privacidade na utilização de seus dados pessoais pela prestadora do serviço, no inciso IX de seu artigo 3º.

Mais recentemente, e de forma bastante direta, tivemos a promulgação do Marco Civil da Internet (Lei nº 12.965/2014 – “MCI”)[7] que, em seus princípios, preconiza a proteção dos dados pessoais, na forma da lei, como um dos pilares para a disciplina do uso da internet no Brasil. Seu decreto regulamentador (Decreto nº 8.771, de 11 de maio de 2016)[8] estabelece o dever às autoridades administrativas de indicarem o fundamento legal para acesso a dados cadastrais, definindo-os, inclusive, além de estabelecer padrões de segurança e sigilo dos registros, dos dados pessoais e das comunicações privadas. Todo esse arcabouço jurídico, portanto, há muito endereça o tema no país.

Além disso, deve ser salientada a importância das previsões da LGPD para as empresas, principalmente no que concerne às bases legais para o tratamento de dados pessoais que, em verdade, ampliarão as possibilidades de tratamento. Atualmente, sem a vigência da LGPD, as empresas tratam dados pessoais a partir de três justificativas: (i) o consentimento do titular dos dados; (ii)  obrigação contratual ou (iii) o cumprimento de alguma obrigação legal ou regulatória.

O advento da LGPD vai ampliar e regular as possibilidades de tratamento de dados pessoais pelas organizações, já que estabelece outras bases legais para a sua realização, tais como: (i) a proteção da vida, (ii) a tutela da saúde, (iii) a proteção do crédito, (iv) a realização de estudos por órgão de pesquisa, e (v) o legítimo interesse do controlador ou de terceiros, por exemplo. Este último, inclusive, é uma das bases legais mais flexíveis para o tratamento de dados pessoais, sendo de grande utilidade e vantagem às empresas para justificarem seus processos de tratamento.

Ainda, o tratamento de dados pessoais sensíveis será também beneficiado com a grande quantidade de hipóteses legais previstas na LGPD. Isso porque o tema é bastante caro à sociedade, diante da criticidade das informações envolvidas. Uma base legal que justifique o tratamento do dado sensível pautado na legislação é deveras significativo, colocando a companhia em uma situação muito mais tranquila e segura, do ponto de vista operacional.

Apenas esses aspectos já justificariam a entrada em vigor dessa legislação, o quanto antes.

Mas não é só. A prorrogação da LGPD em 2 (dois) anos também afetará o cenário econômico e de negócios brasileiro em âmbito internacional, no que concerne a transferências internacionais de dados. Nessa perspectiva, algumas leis estrangeiras sobre proteção de dados pessoais – como o General Data Protection Regulation (“GDPR”)[9], na Europa – fazem alusão à necessidade de se averiguar um grau de proteção de dados adequado dos países a que se destinam os dados numa transferência internacional, processo este chamado de “decisão de adequação”.

Embora existam outros mecanismos para garantir a transferência internacional de dados, é certo que a ausência de um nível adequado de proteção de dados pessoais no país de destino pode inviabilizar a transmissão de tais dados, dificultando as relações entre empresas estrangeiras e brasileiras e impactando investimentos internacionais, além de causar danos à imagem do país no cenário internacional, principalmente diante do acordo comercial firmado entre União Europeia e Mercosul.

Outrossim, é certo que o Brasil busca ingressar na OCDE, organização esta que também endereça o tema nas Diretrizes da OCDE para a Proteção da Privacidade e dos Fluxos Transfronteiriços de Dados Pessoais[10].

O documento estabelece que os países membros deverão, por exemplo, informar aos demais que integram o bloco, se adotam os princípios ali definidos – muitos dos quais se assemelham aos princípios da própria LGPD – e trabalhar no desenvolvimento de lei aplicável aos fluxos transfronteiriços de dados pessoais. Postergar a vigência da LGPD, portanto, poderia caracterizar mais um óbice ao ingresso do Brasil em referida organização.

Por fim, necessário salientar que aumentar o prazo de vacatio da LGPD não traria, necessariamente, conforto e tranquilidade para as empresas, tampouco faria com que, ao final dos 2 (dois) anos, elas estivessem com seus projetos de adequação finalizados.

A União Europeia é um exemplo prático disso: o GDPR teve um período de 02 (dois) anos de vacatio legis, que passou a vigorar em maio de 2018 e, até agora, passados 1 ano e meio de sua vigência, 30% das empresas assumem ainda não estarem em conformidade com o GDPR, conforme pesquisa do European Business Awards, em nome da consultoria ERM[11]. É dizer: estender o tempo não é a solução, e a Europa já nos mostrou isso.

Portanto, conclui-se que a real preocupação não deveria se relacionar à vigência da LGPD, mas sim aos impactos negativos que a sua prorrogação por mais 2 (dois) anos trará às empresas, devido ao potencial de grandes prejuízos e descrédito da proteção de dados, tanto no cenário nacional quanto em âmbito internacional. A LGPD não é o anti-herói das companhias, de modo que passa a ser papel de todos os envolvidos no debate a busca pela desconstrução deste mito, a fim de demonstrar sua verdadeira face protetiva, benéfica e facilitadora de grandes negócios, conforme argumentos expostos, cumprindo o prazo originalmente estabelecido em lei e fortalecendo sua aplicação.

————————————————————————————-

[1] http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm

[2] https://www.camara.leg.br/proposicoesWeb/fichadetramitacao?idProposicao=2227704

[3] http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm

[4] http://www.planalto.gov.br/ccivil_03/leis/l8078.htm

[5] http://www.planalto.gov.br/ccivil_03/leis/l9296.htm

[6] http://www.planalto.gov.br/ccivil_03/LEIS/L9472.htm

[7] http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm

[8] http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2016/decreto/d8771.htm

[9] https://gdpr-info.eu/

[10] http://www.oecd.org/sti/ieconomy/15590254.pdf

[11] https://www.rsm.global/news/30-european-businesses-are-still-not-compliant-gdpr


Faça o cadastro gratuito e leia até 10 matérias por mês. Faça uma assinatura e tenha acesso ilimitado agora

Cadastro Gratuito

Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito