Lei de Dados em SP: empresas poderão ser multadas em âmbito estadual

Lei de Dados em SP: empresas poderão ser multadas em âmbito estadual

Fernando Gouveia*

21 de setembro de 2018 | 04h30

Fernando Gouveia. FOTO: DIVULGAÇÃO

No último dia 6 de setembro, foi publicado no Diário Oficial do Estado de São Paulo o Projeto de Lei 598/2018, de autoria do deputado estadual Rogério Nogueira (DEM), que suplementaria a Lei Geral de Proteção de Dados, sancionada em agosto e válida no âmbito federal.

O projeto, que ainda precisará ser encaminhado às cabíveis comissões para então ser votado em plenário, na prática reitera os termos da lei. O fator mais relevante, contudo, é a criação da Autoridade Estadual de Proteção de Dados (AEPD), nos moldes da Autoridade Nacional (ANPD), que também poderá aplicar multas.

As sanções da ANPD podem chegar até o máximo de R$ 50 milhões e as da AEPD até R$ 25 milhões. Nos termos do projeto apresentado, a pena de multa aplicada em São Paulo “não substitui a aplicação de sanções administrativas, civis ou penais” definidas na Lei Geral de Proteção de Dados.

Diante disso, cabe supor que os demais estados tenderão a adotar sistema parecido. O tema tem certo apelo e trata-se de uma fonte razoável de receita.

No âmbito federal, como é sabido, a ANPD ainda não existe; os dispositivos que a criavam foram vetados, de modo que provavelmente virá por meio de medida provisória ou decreto, exigindo votações nas duas casas e a respectiva articulação política.

Nos estados, a criação de uma Autoridade é algo muito menos complicado, seja por razões orçamentárias ou políticas.

Quanto à constitucionalidade das leis estaduais sobre o tema, cabe citar o artigo 22 da Constituição Federal, que enumera taxativamente os assuntos sobre os quais apenas a União pode legislar. No rol, não há proteção de dados nem privacidade. Ou seja, em princípio, o Projeto de Lei não seria inconstitucional, bem como não o seria a autoridade estadual por ele criada.

Pode-se aventar a propositura de Emenda Constitucional a fim de ampliar o alcance do art. 22, porém não será exatamente tarefa fácil. Afinal, será preciso convencer três quintos dos parlamentares, Câmara e Senado, a aprovar algo que, no fim, servirá exclusivamente para diminuir receitas e relevância política de seus estados.

Ainda que as demais leis decorrentes da LGPD sigam seus termos, não é impossível que as autoridades estaduais tenham regras distintas umas das outras. Um cenário complexo, para dizer o mínimo.

Para completar o cenário, já existe até mesmo legislação municipal sobre proteção de dados. A Câmara Municipal de Vinhedo/SP aprovou em julho deste ano sua variante da LGPD, a Lei Complementar 161/2018.

A norma municipal, que não prevê aplicação de multa, cria a Ouvidoria de Proteção de Dados Pessoais, cujo titular será eleito pelos vereadores e receberá salário em valor idêntico àquele de um secretário do município. Além disso, cria o Conselho Municipal de Proteção de dados, formado por 15 titulares e 15 suplentes.

O ponto interessante é que o ouvidor terá a prerrogativa de fiscalizar e comunicar as autoridades competentes. Se isso ocorrer em tantos outros municípios, o trabalho da ANPD (e também das eventuais autoridades estaduais) será facilitado.

Como na Lei Geral de Proteção de Dados federal, há vício de iniciativa, pois é prerrogativa do Executivo a autoria de leis que impliquem aumento de despesa. A provável solução pode consistir numa propositura, pelo prefeito, criando a ouvidoria e o tal conselho e revogando assim os dispositivos ora viciados.

Outra peculiaridade: enquanto a lei federal estipula o prazo de dezoito meses para que as empresas estejam a ela adequadas, a lei municipal de Vinhedo estabelece apenas 180 dias para isso.

A questão, portanto, terá de ser resolvida pelo Poder Judiciário. Grandes empresas, caso punidas em âmbito estadual, certamente recorrerão até levar o caso ao STF. Ainda mais se as multas forem somadas a sanções federais. Resta saber qual será o entendimento do Supremo, sobretudo diante do rol taxativo do art. 22 da CF.

Enquanto isso, o melhor conselho – e talvez o único possível – é que as empresas se ajustem à Lei Geral de Proteção de Dados. Os prejuízos em caso de descumprimento, ao que parece, tenderão a ser demasiadamente amargos.

*Fernando Gouveia, sócio do FBC Advogados e especialista em Direito Digital

Mais conteúdo sobre:

ArtigoLei de Proteção de Dados