Passados dois anos de sua publicação, ocorrida em 15 de agosto de 2018, a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados, ou "LGPD") finalmente - após algumas idas e vindas - entrou em vigor, em 27 de agosto de 2020. Há discussões no meio jurídico quanto à data exata em que a LGPD teria entrado em vigor: para alguns, imediatamente após votação do Congresso que declarou a prejudicialidade do artigo que prorrogava a vigência da lei para 3 de maio de 2021; para outros, somente após sanção presidencial, em 18 de setembro de 2020.
Na realidade, as disposições da LGPD relativas à criação da Autoridade Nacional de Proteção de Dados ("ANPD") e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade entraram em vigor logo em dezembro de 2018. Já as penalidades administrativas que poderão ser impostas pela ANPD em caso de descumprimento da lei somente entrarão em vigor em 1º de agosto de 2021.
Mas, para todas as demais disposições - que representam a maioria do conteúdo legal -, estamos agora no sexto mês de vigência da LGPD.
Como é natural e como era esperado, neste momento ainda pairam muitas dúvidas entre advogados e organizações acerca da aplicação prática da LGPD, seja do ponto de vista de sua implementação estrutural e técnica dentro das organizações, seja do ponto de vista de sua aplicação jurídica às variadas relações entre organizações e seus clientes, seus parceiros e a própria ANPD.
Aqui, cabe reforçar um alerta que temos dado desde antes da entrada em vigor da LGPD: é verdade que, antes de 1º de agosto de 2021, a ANPD não poderá aplicar as sanções administrativas previstas na LGPD para casos de descumprimento da lei, inclusive incidentes envolvendo vazamento de dados. Mas isso não significa que outras autoridades - como o Poder Judiciário, o Ministério Público e órgãos de proteção e defesa do consumidor - não possam atuar, desde já, para garantir o cumprimento da LGPD e a adequação das organizações às novas regras. Essa atuação pode envolver, inclusive, a imposição de penalidades previstas não na LGPD, mas em outras leis que também endereçam proteção de dados e privacidade, tais como multas e indenizações previstas no Código de Defesa do Consumidor, no Marco Civil da Internet e no Código Civil.
Também não significa que a ANPD não possa atuar, ela própria, para receber denúncias, investigar incidentes de vazamento de dados e exigir providências imediatas, por parte dos envolvidos, no sentido de remediar a situação.
Hoje, qualquer titular de dados pessoais - ou seja, qualquer pessoa - já pode exercer todos os direitos que a LGPD lhe garante, como o de solicitar informações sobre o tratamento de dados junto às organizações e receber uma resposta em tempo e modo adequados. Ou o direito de solicitar o término de um tratamento que não tenha sido autorizado e que não encontre outra base legal para continuar.
Do mesmo modo, as organizações já têm, hoje, a obrigação de comunicar a ANPD e os titulares dos dados caso ocorra qualquer incidente de segurança que possa acarretar risco ou dano.
O ponto deste alerta é: a LGPD está em vigor. As penalidades começarão a ser aplicadas pela ANPD em 1º de agosto de 2021, mas as organizações estão, desde já, expostas ao risco de sofrerem outras consequências em caso de descumprimento da lei. E, diferentemente das penalidades previstas na LGPD - cujos parâmetros e valores são claros -, essas outras consequências podem não contar com a mesma previsibilidade, em especial quando advindas de condenações impostas pelo Poder Judiciário.
De fato, já existem ações em curso em vários tribunais do país - algumas já foram até sentenciadas em primeira instância -, iniciadas por órgãos de proteção ao consumidor, pelo Ministério Público e pelos próprios titulares, buscando providências para adequação de algumas empresas à LGPD e indenização por determinados descumprimentos.
Então, as organizações que não estiverem minimamente prontas para atender as demandas dos titulares de dados podem ser surpreendidas por ordens judiciais que lhes concedam um prazo relativamente curto para realizarem essa adequação, inclusive com a possibilidade de incidência de multa pecuniária em caso de descumprimento da ordem. Quanto às indenizações, embora existam precedentes judiciais que podem nos auxiliar a extrair parâmetros para a definição de valor das indenizações em casos envolvendo violação à privacidade e à proteção dos dados, essa análise é casuística, o que significa que determinados fatores inerentes a cada processo podem resultar em uma indenização em maior ou menor valor.
Olhando para o futuro próximo, a ANPD, criada por decreto presidencial em 26 de agosto de 2020, parece estar conseguindo organizar-se nesses quase sete meses de existência. O órgão regulador já conta com página eletrônica oficial, na qual disponibiliza informações diversas e um sistema para cidadãos, órgãos e entidades enviarem documentos de forma eletrônica.
Em janeiro deste ano, a ANPD divulgou sua agenda regulatória para o biênio 2021-2022 indicando os temas que terão atenção prioritária nesse período. Na primeira fase da agenda regulatória, que se encerra em janeiro de 2022, a ANPD planeja regulamentar, dentre outros temas, a aplicação da LGPD para micro e pequenas empresas, além do procedimento e dos critérios de cálculo para aplicação das penalidades administrativas em caso de violações da lei e incidentes de segurança.
No início do mês de março, a ANPD publicou seu regimento interno, detalhando sua estrutura organizacional, suas atribuições e as regras para o seu funcionamento. O regimento interno também estabelece algumas regras para a tramitação do processo administrativo a ser conduzido perante o órgão, permitindo que sejam concedidas medidas preventivas indispensáveis para evitar dano grave, irreparável ou de difícil reparação - as famosas liminares. Como não se trata de sanção administrativa, mas sim de providências, essas medidas preventivas podem ser exigidas desde já pela ANPD.
Para empresas em geral, o recado que nos parece mais importante neste momento é: a adequação das organizações aos termos das LGPD não é, nem precisa ser, tão impactante ou traumática quanto muitos, talvez, pensem. Assim como ocorreu na década de noventa, quando entrou em vigor o Código de Defesa do Consumidor exigindo diversas adequações nas práticas de mercado, com a LGPD também nos acostumaremos e aprenderemos a incorpora-la à nossa rotina.
*Vivian Castellan Bernardino é sócia do Santos Neto Advogados, especialista em Direito Digital
