*Por Carolina Gladyer Rabelo Saches e Cintia M. Ramos Falcão
Com um enredo repleto de idas e vindas, confusões e reviravoltas emocionantes, além de discussões dignas de serem televisionadas, parte desta história chegou ao seu capítulo final: a LGPD entrou em vigor na última sexta-feira, dia 18/9.
Mas este não é o fim, nossos caros!
Muitas emoções ainda estão por vir e as polêmicas continuam, seja pela busca à adequação ou esclarecimentos de alguns pontos que ficaram um tanto “nebulosos”.
A Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais ou, pelos mais íntimos, como LGPD, estabeleceu originalmente o início de sua vigência em 24 meses após a sua publicação, ou seja, inicialmente seria válida a partir de 15 de agosto de 2020.
No entanto, muita coisa mudou com a pandemia causada pelo novo coronavírus.
A edição do Decreto nº 6/2020 — que reconheceu a ocorrência do estado de calamidade pública no país — impulsionou a busca de todos os setores da economia por prorrogação das normas que causassem grande impacto nos cotidianos das empresas e das pessoas.
Neste sentido, deu-se a edição da MP 959/2020, ato jurídico onde incluiu-se artigo que estabelecia a prorrogação do prazo de vigência para 2021. Artigo este que foi rejeitado por unanimidade pelo Congresso, sob justificativa de prejudicialidade — que significa, de forma simplificada, que um projeto de lei (ou um texto com teor muito semelhante) já fora deliberado antes.
Daí, em 17/9 ocorreu a sanção presidencial, publicada em 18/9, e, desta forma, se tornou imediata a vigência dos dispositivos da LGPD.
Ok! Pacificado que a LGPD é vigente a partir de 18/9, o que ocorre com a data de 24 meses disposta na própria lei?
É aí que entra a personagem “confusão de vigência”, uma das polêmicas que este episódio nos apresenta.
Criou-se uma discussão sobre o que ocorrerá com as relações abarcadas pela LGPD durante o período de 15/8 (24 meses da data da publicação da lei) a 18/9 (dia em que a lei entrou em vigor)
Segundo doutrinadores, a consolidação das relações jurídicas durante este período somente ocorrerá com a publicação de decreto — o que nos deixa em um limbo jurídico, até que isto ocorra.
Neste momento, entra em cena a segunda polêmica: cadê a ANPD (Autoridade Nacional de Proteção de Dados) — órgão competente por zelar pela implementação e fiscalização da lei?
A criação da ANPD estava prevista no texto original da LGPD, porém foi vetada pelo ex-presidente Michel Temer sob alegação de “vício de origem”. Atualmente, apesar de já ter sido editado decreto aprovando sua estrutura, aguarda-se a nomeação do diretor-presidente e publicação de suas regras de funcionamento, para que, então, passem a ser vigentes.
Ocorre que a LGPD apresenta inúmeros pontos que dependem de regulamentos e especificação de detalhes dirigidos à ANPD, tal como o dever de report pelo titular dos dados (artigo 18, § 1º) ou pelo controlador (artigo 48).
Resta então a dúvida: na ausência da ANPD o que fazer?
Sentimos, mas não há entendimento pacificado… Entretanto, é recomendável que empresas e órgãos públicos cumpram o dever de reportar, independentemente da existência da ANPD. As companhias deverão realizar tal comunicação diretamente ao órgão regulador próprio do setor, como por exemplo Banco Central, dentre outros, minimizando eventual lacuna e potencial descumprimento da lei.
Mas este mistério não acaba por aí… A ANPD possui também a função de uniformizar entendimentos sobre a LGPD, sendo a ausência deste órgão uma verdadeira fonte de compreensões diferenciadas sobre a aplicabilidade da lei. Afinal, nosso país detém dimensões continentais, e, dependendo da região, inúmeras poderão ser as interpretações a respeito da norma.
Ocorre também um debate em torno de sua autonomia. Seguindo o padrão utilizado em leis internacionais sobre o tema, tal qual a GDPR, o órgão regulador deveria ser uma autoridade autônoma e independente. Apesar deste entendimento, a ANPD possui subordinação hierárquica, atuando como parte integrante da Presidência da República. Considerando que a LGPD será também aplicada aos órgãos públicos, deverá ser considerada a possibilidade de conflito de interesses nestes casos.
Sem que haja a superação deste mistério vamos partir para os pontos de atenção da lei, pois, assim como a LGPD, buscamos garantir ao titular dos dados o seu direito à privacidade, à intimidade e ao livre desenvolvimento da personalidade da pessoa natural.
Para auxiliar neste objetivo nada melhor que uma compilação dos melhores momentos. Afinal, é fato reconhecido e ratificado que a adequação à LGPD se faz necessária, e entender o seu teor e implicações é de suma importância para o cidadão, para as empresas e órgãos públicos.
Se de alguma forma você faz tratamento de dados pessoais, a LGPD é aplicada a você. O primeiro ponto é entender o conceito de dados pessoais (conceito disposto no artigo 5º como informação relacionada à pessoa natural identificada ou identificável) e a quais espécies de dados pessoais você tem acesso.
Outro ponto de atenção é relacionado à coleta e uso dos dados, sendo necessário obter uma autorização dos titulares dos dados antes dessa coleta — é o tal “consentimento” citado na norma. Depois de coletados os dados, os titulares têm o direito de: acessar seu teor, realizar sua portabilidade, solicitar correção ou atualização, solicitar sua exclusão e, ainda, de serem informados como estes estão sendo utilizados.
Importante esclarecer que não existe uma fórmula mágica para adequar-se à LGPD, o primeiro passo é entendê-la e estudar as implicações no seu negócio.
A maneira mais recomendada para realizar o processo de adequação é envolver a organização como um todo, criar grupos multidisciplinares de trabalho, mapear o fluxo de entrada, tratamento e saída dos dados pessoais, aprimorar os dados públicos (tal como política de privacidade), realizar a indicação do DPO no website e fazer o treinamento de seus empregados.
Por fim, a terceira polêmica, a cena mais aguardada deste último episódio, as penalidades àqueles que descumprirem as disposições da lei.
Conforme disposto na LGPD (artigo 52), a violação da lei culmina na aplicação de sanções administrativas de acordo com a gravidade da infração — sendo que as sanções variam entre: advertência, multa, publicização, bloqueio e/ou eliminação dos dados pessoais, suspensão e/ou proibição do funcionamento do banco de dados. As multas por não conformidade podem chegar a 2% do faturamento, limitadas a R$ 50 milhões por infração.
Apenas para relembrar a problemática, durante o capítulo de sua aprovação, a Câmara dos Deputados manteve o adiamento da aplicação das penalidades pelo descumprimento da lei para o ano que vem, exatamente em 1º de janeiro 2021. Desta forma, há, na prática, uma vacatio legis para a aplicação da pena, concentrada entre os artigos 52—54 da LGPD.
Mas não pensem que esta postergação significa que o descumprimento da lei não terá qualquer consequência! Lembrem-se que os órgãos reguladores e Judiciário estão aí… e a LGPD já está vigente, sendo passível a aplicação de penalidades diversas a quem não estiver adequado a sua normativa.
Pois é… achamos que, ao final deste episódio, a publicação da LGPD ao invés de ser um “fim” é na realidade um “continua”, sendo meramente o encerramento de uma única temporada. Esperemos, então, que a nova season seja “lançada” para que juntos possamos desvendar todos os seus mistérios…
*Carolina Gladyer Rabelo Saches é diretora jurídica da ABBC — Associação Brasileira de Bancos, doutora em Direito Econômico pela PUC-SP e executive program no Massachusetts Institute of Technology (MIT).
*Cintia M. Ramos Falcão é advogada atuante na área de Direito Bancário e Regulatório e Consulta Jurídica da Acrefi — Associação Nacional das Instituições de Crédito, Financiamento e Investimento; pós-graduada em Relações de Consumo pela PUC-SP e especialista em Direito Digital e MBA em Finanças pelo Insper.
Revista Consultor Jurídico, 25 de setembro de 2020, 19h30
