LGPD ‘finalizada’. Isso é bom para a indústria e para o Brasil?

LGPD ‘finalizada’. Isso é bom para a indústria e para o Brasil?

Após um ano de sua sanção, em agosto do ano que vem, entrará em vigor a Lei Geral de Proteção de Dados. Entenda o que foi sancionado e por que a legislação é importante para o País, para a indústria e para toda a economia digital brasileira

Rony Vainzof*

16 de agosto de 2019 | 07h00

Rony Vainzof. FOTO: DIVULGAÇÃO

Dado pessoal é a moeda da economia digital. Trata-se de um dos mais relevantes ativos para o exercício de qualquer atividade empresarial, pessoal ou social, assim como para a concretização de políticas públicas. Não há dúvida sobre a importância dele para o desenvolvimento econômico global. As maiores potências mundiais estão se esforçando ativamente para desenvolver uma vibrante economia baseada em dados. No Brasil, não é diferente, como demonstram os recentes decretos 9.319/18 e 9.854/19 – o primeiro estabelecendo a Estratégia brasileira para Transformação Digital e o segundo instituindo o Plano Nacional de Internet das Coisas.

Fato é que, na era digital, cada vez mais negócios são baseados em dados e isso não mudará. Muito pelo contrário, na era do Big Data, da Internet das Coisas e da Inteligência Artificial, é impossível pensar o oposto.

Se a discussão do problema é baseada exatamente no modelo de negócio da maioria das entidades que atuam na nova era digital – e não há qualquer hipótese que se sustente juridicamente de impedir por completo uma economia baseada em dados, que são coletados, tratados e utilizados para prestação de excelentes serviços ou como insumos para a indústria –, é preciso haver freios e contrapesos para que tal exploração seja realizada de forma justa, transparente e proporcional, respeitando a intimidade, a privacidade e os direitos da personalidade dos indivíduos.

Nos Estados Unidos, há leis federais setoriais, todas com mais de 20 anos, com a relevância do Federal Trade Commission Act, que na sua sessão 5 proíbe atividades comerciais desleais ou enganosas e impõe notificações e práticas razoáveis de segurança da informação, sendo a Federal Trade Commission (FTC) o órgão federal fiscalizador e sancionador. Inclusive, no último dia 12, mediante acordo com o FTC, o Facebook pagará o valor de US$ 5 bilhões por reiterados casos de violação à privacidade dos titulares, com origem no escândalo Cambridge Analytica, de 2018.

Já na Europa, o assunto precede, e muito, a famoso e relevante General Data Protection Regulation (GDPR), que está em vigor desde 25 de agosto do ano passado e já rendeu sanções que superam os 56 milhões de euros. A legislação brasileira se inspirou nele. Em 1983, a Suprema Corte da Alemanha, no denominado Julgamento do Censo, estabeleceu uma verdadeira Magna Carta em termos de proteção de dados, pela primeira vez reconhecendo-a como direito fundamental, declarando que o cidadão tem direito a “autodeterminação informacional”, de modo que ele possa, em princípio, decidir sobre a divulgação e o uso de seus dados pessoais.

No Brasil, além da nossa Constituição Federal, temos ao menos 30 legislações setoriais que permeiam o assunto, como o Código de Defesa do Consumidor, o Código Civil, a Lei do Cadastro Positivo, o Marco Civil da Internet, apenas para citar alguns exemplos.

E agora, após mais de 8 anos de debates na sociedade civil e no Congresso Nacional, o longo processo legislativo da Lei Geral de Proteção de Dados (LGPD – Lei 13.709/18) brasileira foi finalizado. Publicada em 15 de agosto de 2018, a LGPD foi modificada pela Medida Provisória n.º 869/2018, publicada em 28 de dezembro de 2018. Houve formação de Comissão Mista (composta por membros da Câmara dos Deputados e do Senado Federal), que após inúmeros debates emitiu Relatório Final com novas modificações no texto da Medida Provisória, cujo teor foi aprovado pelo Congresso Nacional em 7 de maio de 2019. Desde então, estava pendente a conversão de referida Medida Provisória em Lei para finalização do processo legislativo.

Havia grande expectativa em torno da sanção presidencial desta Lei não somente em razão da perspectiva de confirmação da criação da Autoridade Nacional de Proteção de Dados, mas também por conta de outros dispositivos que foram alterados quando da edição da Medida Provisória e das diversas emendas que sofreu até ser aprovada pelo Congresso Nacional. Além disso e não menos importante, pelo anseio de saber quais seriam os possíveis vetos aplicados pelo Presidente da República, que sancionou a lei no último dia 08 de julho. Foram diversos vetos ao texto da Medida Provisória que já incorporava as alterações feitas pelo Congresso Nacional.

Vejamos os principais pontos da Lei 13.853/19:

1) Autoridade Nacional de Proteção de Dados – ANPD

Confirmou-se a criação da ANPD, cuja natureza jurídica nesse momento será de órgão da administração pública federal, integrante da Presidência da República. No entanto, tal natureza jurídica terá caráter transitório, podendo ser transformada no futuro em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência.

A avaliação quanto à referida transformação deverá ocorrer em até dois anos da data da entrada em vigor da estrutura regimental da ANPD. O provimento dos cargos e das funções necessários à criação e à atuação da Autoridade está condicionado à expressa autorização física e financeira na lei orçamentária anual e à permissão na lei de diretrizes orçamentárias.

2) Encarregado de Proteção de Dados (Data Protection Officer)

O Data Protection Officer (DPO) é o profissional indicado pelas empresas para atuar como canal de comunicação com os titulares dos dados e com a ANPD. Também deverá orientar os funcionários e os contratados das entidades a respeito das práticas a serem tomadas em relação à proteção de dados pessoais e executar as demais atribuições estabelecidas em normas complementares.

O Encarregado não conta com qualidades profissionais e conhecimentos especializados previstos em Lei, sem prejuízo da ANPD estabelecer normas complementares sobre a definição e suas atribuições, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Desse modo, o texto final da LGPD não exige mais que o Encarregado seja obrigatoriamente detentor de conhecimento jurídico-regulatório.

3) Revisão humana de decisões automatizadas

Com as alterações feitas na MP pela Comissão Mista do Congresso Nacional, a LGPD estabeleceria, no § 3º do art. 20, que o titular dos dados teria o direito de solicitar revisões de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetassem seus interesses. Essa revisão deveria ser feita por pessoa natural (pessoa física), conforme seria previsto em regulamentação da Autoridade Nacional, que levaria em consideração a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

No entanto, essa medida foi vetada. Desse modo, o texto final da LGPD estabelece que o titular dos dados continua tendo o direito de solicitar revisões de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, porém não há mais o dever dessa revisão ser realizada por pessoa natural.

4) Dados referentes à saúde

O texto final incorporou à LGPD a redação oriunda da MP, pela Comissão Mista do Congresso Nacional, estabelecendo no § 4º do art. 11, a vedação da comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica. Exceção é feita nas hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, quando o compartilhamento é feito em benefício dos interesses dos titulares dos dados, e para permitir a portabilidade de informações quando solicitada pelo titular. Também se excetua da regra as transações financeiras e administrativas resultantes do uso e da prestação dos serviços acima mencionados.

5) Tratamento de dados pelo Poder Público

Permanece sujeito ao atendimento da finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público. Também há a necessidade de indicação de um Encarregado pelo Tratamento de Dados Pessoais.

6) Sanções aplicadas pelas ANPD

Foram vetados os incisos X, XI e XII, assim, o texto final da LGPD permanece com as seis possíveis penalidades previstas originalmente na Lei, quais sejam, advertência, multa simples, multa diária, publicização da infração, bloqueio e eliminação dos dados pessoais referentes à infração.

O parágrafo terceiro, que havia sido alterado para possibilitar que as novas sanções previstas nos incisos acima apontados também se aplicassem ao Poder Público, retornou à sua redação original em razão de tais vetos. Por sua vez, o parágrafo sexto do mesmo artigo foi vetado, uma vez que trazia regras condicionantes à imposição das novas sanções acima mencionadas.

Assim, há de se comemorar esse marco legal em proteção de dados pessoais, diante da sua relevância para o nosso país, principalmente para trazer maior segurança jurídica mediante a harmonização de conceitos, elevando a proteção aos direitos individuais das pessoas e ao fomento à economia digital. Além disso, a LGPD traz um nível de legislação compatível com outros países, da potencial facilitação ao fluxo de transferência internacional de dados.

A relevância do tema é patente, ainda mais diante da notória possibilidade de Proteção de Dados Pessoais se transformar em Direito Fundamental, conforme Proposta de Emenda à Constituição nº 17/19, já aprovada em dois turnos no Senado e aguardando votação na Câmara dos Deputados.

Já a ANPD, que precisa ser constituída rapidamente, era o elo faltante para a sistemática de proteção de dados trazida pela LGPD. Se não no modelo ideal de completa independência (fiscalizatória, sancionatória e decisional) do poder público, ao menos ela está confirmada em uma versão transitória e necessária para gerar os parâmetros efetivos de adequação à Lei, ainda durante o seu período de implementação (que se encerra em agosto de 2020).

Ademais, um cuidado que se deve ter, é que a ANPD, sob pena de ausência de confiança do mercado, priorize um engajamento construtivo com a iniciativa privada, no seguinte sentido:

  • Em vez de inquisição e sanção, dar prioridade ao diálogo, apoio, mutua cooperação, orientação, conscientização e informação;
  • Estimular relações abertas e construtivas com negócios que lidem com dados pessoais, primando pela boa-fé das empresas e nos seus esforços em cumprir a lei;
  • Criação de ambientes para inovações responsáveis, como “Regulatory Sandboxes”, nos quais novos projetos são testados em atmosferas controladas visando avaliar eventuais e futuras necessidades regulatórias, conforme o caso, mas a posteriori;
  • Empresas que se esforcem em agir de forma responsável, sejam encorajadas a demonstrar seus programas de privacidade, segurança da informação, códigos de conduta e gerenciamento de risco, visando gerar o reconhecimento do mercado por suas boas práticas, incluindo certificações, entre outros padrões de accountability;
  • Editar normas, orientações e procedimentos para que as microempresas e empresas de pequeno porte possam se adequar à Lei;
  • As sanções devem ser a ultima ratio, principalmente e somente quando houver alguma violação dolosa, ou práticas exponencialmente negligentes, condutas reiteradas ou extremamente graves.

Portanto, é com grande otimismo que vejo a finalização do processo legislativo da LGPD para a indústria, buscando um equilíbrio entre interesses sociais e econômicos, entre o público e o privado, entre liberdade, proteção e segurança.

Mas há muito o que se construir, principalmente nessa nova etapa que se inicia de regulamentação da legislação, em que a indústria terá um papel relevantíssimo de cooperação com a ANPD, visando justamente a manutenção da competitividade brasileira na era da economia digital.

*Rony Vainzof é sócio do Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados; professor em Direito Digital e Proteção de Dados na Escola Paulista de Direito, FIA e FIAP; e diretor do Departamento de Defesa e Segurança da Fiesp, responsável pelo Grupo de Trabalho de Segurança Cibernética

Tendências: