A Lei Geral de Proteção de Dados Pessoais, Lei 13.709/18, também conhecida como LGDP, é a primeira legislação específica sobre o tema no Brasil. Ela incorpora regras já trazidas pelo Marco Civil da Internet, pelo Código de Defesa do Consumidor e por outras normativas anteriores, trazendo unidade à regulamentação da proteção dos dados pessoais no país.
Além de contemplar normas já existentes sobre o tema, a Lei Geral de Proteção de Dados observou a tendência mundial de fortalecer a proteção dos dados pessoais, restringindo o uso injustificado, e garantindo uma série de direitos aos titulares dos dados, bem como impondo importantes obrigações aos chamados “agentes de tratamento”. A Lei brasileira foi especialmente inspirada na legislação Europeia sobre o tema, reproduzindo pontos centrais da Diretiva 95/46/EC e do General Data Protection Regulation (GDPR).
A intenção por trás dessa tendência é tornar o tratamento de dados mais transparente, de modo que a exploração de dados pessoais – que vem se mostrando uma atividade extremante lucrativa –, se dê de forma transparente e segura desde o início, incentivando o desenvolvimento de uma economia que, atualmente, é base indissociável do desenvolvimento tecnológico. Para isso, a Lei prevê uma série de direitos aos titulares de dados que devem ser garantidos quando do tratamento, dentre eles, o direito de ser informado sobre o tratamento de seus dados, o dever de anonimização, bloqueio ou eliminação dos dados mediante solicitação do titular ou quando alcançada a finalidade do tratamento, o dever de manter os dados sempre corretos, completos e atualizados e a possibilidade de portabilidade dos dados pessoais a outro fornecedor, de forma descomplicada para o titular. Esses são só alguns exemplos.
O impacto da Lei será enorme, pois estarão sujeitos às novas regras todo e qualquer tratamento de dados, sejam físicos ou digitais, por parte de qualquer entidade estabelecida no Brasil, ou que tenha coletado dados pessoais no Brasil, ou de indivíduos localizados no Brasil – ainda que não residentes-, ou, ainda, que oferte bens e serviços ao consumidor brasileiro. Em suma, a adequação à LGPD exigirá mudanças estruturais em praticamente todas as áreas internas de uma empresa, de TI ao RH, do Marketing ao Compliance, sempre com o apoio do Departamento Jurídico.
A mudança nas empresas e instituições que tratam dados deve ser norteada pelos princípios que regem a Lei, atentando-se sempre à finalidade, necessidade e transparência do tratamento, sem qualquer tipo de discriminação seja por meio, ou em razão, do tratamento, de forma a garantir a segurança dos dados e facilitar a prestação de contas por parte do agente de tratamento.
Dois conceitos importantes trazidos pela nova legislação são os de “Privacy by Design” e “Privacy by Default”, também oriundos da legislação Europeia. O primeiro consiste em aplicar as regras e princípios da proteção de dados desde a criação de uma nova tecnologia, de modo que estejam intrinsicamente integrados à sua funcionalidade. Já o segundo exige que os controladores de dados implementem medidas apropriadas, tanto em nível técnico quanto organizacional, para garantir que as tecnologias funcionem, natural e automaticamente, de forma a processar apenas o mínimo de dados pessoais necessários para cumprir seu propósito específico. Esse modelo de desenvolvimento visa a evitar o processamento excessivo de dados, e auxiliar o controle sobre seu armazenamento e acessibilidade.
A nova Lei entrará em vigor em fevereiro de 2020 e, ao que tudo indica, alguns conceitos e regras somente ficarão absolutamente claros após a aplicação e fiscalização da Lei na prática. Por exemplo, dentre as hipóteses de tratamento de dados autorizadas, a LGPD traz o “legítimo interesse do controlador ou de terceiros”, que deve ser considerado a partir de situações concretas objetivando o apoio e promoção de atividades do controlador e a proteção ou prestação de serviços que beneficiem o titular dos dados. A subjetividade dessa previsão traz dúvidas quanto ao que de fato será aceito como um interesse legítimo, criando certa insegurança no uso dessa justificativa, pelo menos até que haja tempo para um posicionamento jurisprudencial.
Além disso, ao aprovar o texto da Lei, o Presidente Michel Temer vetou o trecho que previa a criação da Autoridade Nacional de Proteção de Dados (ANDP), autarquia especial vinculada ao Ministério da Justiça, a qual caberia, dentre outras atribuições, elaborar diretrizes para a Política Nacional de Dados Pessoais e da Privacidade, emitir normas específicas, fiscalizar, e aplicar sanções em caso de descumprimento à Lei. O veto se deu sob o argumento de que tais dispositivos feriam a Constituição Federal, que determina que “são de iniciativa privativa do Presidente da República as leis que disponham sobre a criação e extinção de Ministérios e órgãos da administração pública”, e que “somente por lei específica poderá ser criada autarquia(…)”. Por ser uma Lei de iniciativa do Congresso, a LGPD não poderia, nesses termos, criar um órgão da administração pública.
Ocorre que, diante da complexidade, alcance e importância da LGPD, é imprescindível que exista um órgão especializado e capacitado para guiar a implementação da Lei de modo educativo, evitando que a fiscalização adote um caráter coercitivo e arrecadatório, ou meramente punitivo. Além disso, pontos importantes sobre a implementação da Lei ainda devem ser regulamentados pela ANPD, como por exemplo a adequação dos bancos de dados já existentes.
Neste cenário, espera-se que a ANPD seja criada com urgência mediante Medida Provisória ou um novo Projeto de Lei, de iniciativa do Presidente, uma vez que a ausência dessa Autoridade quando a nova legislação entrar em vigor poderá trazer situação de absoluta insegurança jurídica, em um cenário em que Agências distintas e não especializadas no tema tentarão tomar a frente na fiscalização do cumprimento da Lei.
Ainda há muito por vir, mas, sem dúvida, o Brasil dá um importante passo em relação à privacidade, em um caminho ainda longo para se tornar um país com adequado nível de proteção, o que garantirá, no futuro, o incremento de sua participação em negócios globais em uma economia em que dados já são considerados o novo petróleo.