Como toda boa novela, a entrada em vigor da Lei Geral de Proteção de Dados (LGPD) foi criando expectativas e surpresas para seu público - empresas, políticos, ativistas de proteção de dados e cidadãos e geral - até o seu clímax no dia 26/8, na votação pelo Senado da Medida Provisória 959. Após reviravoltas (a lei entra em vigor em dezembro? Em janeiro de 2021? Em maio? Em 2022?) de fazer inveja a qualquer drama, voltamos, ironicamente, ao começo: a LGPD deve entrar em vigor já nos próximos dias (por uma questão constitucional, a MP ganha uma sobrevida até a sanção ou veto presidencial), surpreendendo os que imaginavam um novo adiamento. E agora?
Agora é a hora de deixarmos o drama de lado e começarmos a inclusão do Brasil entre Argentina, Austrália, Canadá, Chile, Colômbia, Coreia do Sul, Hong Kong, Japão, México, União Europeia e tantos outros países e regiões que possuem uma legislação específica de proteção de dados. E também é a hora de entendermos a lei.
Para entender a LGPD, é preciso entender que ela altera a titularidade dos dados pessoais: dados pessoais deixam de ser algo que a empresas e organizações "têm" ou "possuem" para ser algo que elas "controlam". Este conceito-chave implica em uma série de novos cuidados e deveres que devem ser observados no tratamento de dados pessoais.
Notadamente, o tratamento de dados pessoais só será legal se atender a propósitos legítimos, específicos, e informados aos cidadãos - que a LGPD, adequadamente, chama de titulares. Ou seja, as pessoas têm o direito de saber o que está sendo feito com seus dados pessoais, por que, por quem e por quanto tempo. Isto também quer dizer que empresas não poderão coletar dados para um propósito e usá-los para outro fim incompatível. O consentimento informado do titular ganha força, embora a lei também preveja outras hipóteses de tratamento que dispensem o consentimento - mas nunca o dever de informar o titular.
A entrada em vigor da LGPD também significa que o cuidado com estes dados pessoais passa a ser maior. A lei diz que quem tratar dados pessoais deve adotar medidas aptas a protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda ou alteração. Caso haja qualquer incidente de segurança - incluindo vazamento de dados - a Autoridade Nacional de Proteção de Dados (ANPD) e todos os titulares afetados deverão ser comunicados sobre isto. Quem não tomar medidas de segurança adequadas poderá responder pelos danos causados.
E por falar em danos, embora os senadores tenham novamente afirmado que as sanções administrativas só serão impostas a partir de agosto de 2021, isto não quer dizer que não haja motivos para preocupação. Os artigos referentes à responsabilização civil e ressarcimentos de danos (artigos 42 a 45) entrarão agora em vigor e a LGPD já poderá ser aplicada pelo Judiciário. Portanto, quem ainda não iniciou seu processo de adequação deve começar assim que possível porque poderá sim ser responsabilizado por eventual tratamento de dados inadequado mesmo antes de agosto de 2021.
Por fim, a maior surpresa foi que o governo federal, ainda na madrugada do dia 27, publicou o Decreto nº. 10.474/2020, criando, enfim, a estrutura regimental da ANPD - o órgão que tem como objetivo zelar pelo cumprimento e interpretação da LGPD. Embora isto não resolva o atraso de dois anos em sua criação, e o corpo diretivo do órgão ainda precise ser nomeado, é um primeiro passo muito bem-vindo e que, em conjunto com a LGPD entrando em vigor, deixa claro que a proteção de dados no Brasil sai de vez da prateleira do "drama" para a de "não-ficção".
*Marcelo Augusto Spinel de Souza Cárgano, advogado especialista em regulação e proteção de dados pessoais do escritório Abe Giovanini Advogados
