Quais os desafios para implementar a Lei de Proteção de Dados

Por decisão do Senado, não haverá novo adiamento para que o texto entre em vigor. O ‘Nexo’ ouviu dois especialistas em direito digital sobre o que isso acarreta para empresas e o poder público

O Nexo é um jornal independente sem publicidade financiado por assinaturas. A maior parte dos nossos conteúdos são exclusivos para assinantes. Aproveite para experimentar o jornal digital mais premiado do Brasil. Conheça nossos planos. Junte-se ao Nexo!

    O Senado Federal rejeitou na quarta-feira (26) o adiamento da entrada em vigor da Lei de Proteção de Dados. Aprovada em 2018, a lei regula as operações realizadas pelos setores público e privado com dados pessoais, como coleta, uso e armazenamento desse tipo de dado, de forma que o direito à privacidade e outras garantias individuais sejam preservadas.

    Originalmente, a Lei de Proteção de Dados estava prevista para entrar em vigor em 2019, mas o Congresso adiou esse momento para 14 de agosto do ano seguinte. Em abril de 2020, o governo federal tentou emplacar um novo adiamento. A estratégia foi inserir, numa medida provisória sobre o auxílio emergencial, um dispositivo que autorizava a postergação até 3 de maio de 2021. A Câmara alterou o dispositivo quando votou a MP, encurtando o prazo para 31 de dezembro de 2020.

    Mas os senadores consideraram que o ponto deveria ser excluído do texto da medida provisória, por já ter sido votado por eles em maio de 2020 e não ter a ver com o assunto central da MP, o auxílio emergencial. Foi mais uma derrota do governo no Senado, que recentemente contrariou a equipe econômica e votou contra o congelamento indiscriminado dos salários do funcionalismo. O congelamento, no entanto, seguiu por por decisão da Câmara.

    Os argumentos

    A FAVOR

    Os parlamentares que votaram pelo adiamento defendem que as empresas brasileiras não têm caixa para fazerem os investimentos necessários à implementação da lei, dada a crise econômica no contexto de pandemia. Também dizem que a lei não pode vigorar enquanto não for instalada a Autoridade Nacional, que irá regulamentar o texto e fiscalizar seu cumprimento.

    CONTRA

    Entidades civis especializadas em direito digital, assim como uma comissão da OAB (Ordem dos Advogados do Brasil), se opuseram ao adiamento e conseguiram o apoio da maioria dos senadores. Para eles, há urgência em proteger garantias de privacidade diante do crescente uso de tecnologias de monitoramento, como os mecanismos de geolocalização e de reconhecimento facial, inclusive pelo poder público.

    Com a decisão do Senado, a Lei Geral de Proteção de Dados entrará em vigor quando o presidente Bolsonaro deliberar, com sanção ou veto, sobre o texto recém-aprovado pelos senadores, que transforma a medida provisória sobre o auxílio emergencial em lei, mas derruba o adiamento da legislação dos dados.

    O órgão regulador e as obrigações públicas e privadas

    Na quinta-feira (27), Bolsonaro editou um decreto para, dois anos depois de aprovada a Lei Geral de Proteção de Dados, finalmente criar a estrutura da Autoridade Nacional de Proteção de Dados.

    Previsto pela própria lei, o órgão será o responsável por fiscalizar o cumprimento das regras de proteção em todo o país, o que inclui elaborar diretrizes, receber reclamações e aplicar penalidades administrativas aos infratores. Ficará vinculado à Presidência da República, mas a lei garante autonomia técnica e decisória às suas atividades.

    Dispositivos da lei

    HIPÓTESES DE USO

    A lei restringe a possibilidade de os setores público e privado realizarem operações (coleta, uso, armazenamento, etc) com dados pessoais a algumas hipóteses, como: se o titular dos dados consentir com a operação (num contrato, por exemplo); se quem realiza a operação precisa dos dados para cumprir uma obrigação legal ou contratual (como no caso de um empregador que precisa, para cumprir suas obrigações trabalhistas, dos dados do empregado); e, no caso específico do poder público, se os dados são necessários para a execução de políticas públicas (como a concessão de benefícios de um programa assistencial).

    DADOS SENSÍVEIS

    Para dados pessoais sensíveis (convicções políticas e religiosas, vida sexual, dados biométricos e outros mais elencados pela lei), o dado tem que ser indispensável para que uma operação com ele seja considerada legal. Além disso, na hipótese de consentimento do titular dos dados, essa anuência tem de ser dada de forma específica e destacada, bem como para finalidades específicas.

    EXCEÇÕES

    Não se submete a essas limitações o uso de dados pessoais por pessoas físicas para fins particulares e não econômicos. Também não se enquadram na lei os usos para fins jornalísticos, artísticos ou acadêmicos. O uso pelo Estado, exclusivamente para atividades de segurança pública, de segurança e defesa nacionais ou de investigação e repressão de infrações penais também fica de fora.

    TRANSPARÊNCIA

    A lei também garante aos titulares dos dados pessoais que lhes sejam fornecidas “informações claras, precisas e facilmente acessíveis” sobre as operações feitas com seus dados pessoais. Numa rede de lojas, por exemplo, o cliente terá direito de saber para que finalidades e de que forma a empresa usa as informações pessoais colhidas nas fichas cadastrais. A transparência também é exigida no caso de problemas de segurança dos bancos de dados. No caso de um ataque hacker, por exemplo, a Autoridade Nacional poderá determinar não apenas medidas para reverter ou mitigar os efeitos do incidente, mas também a ampla divulgação do fato em meios de comunicação.

    SEGURANÇA

    Outros dispositivos da lei estabelecem a obrigação dos que detêm dados pessoais de terceiros de adotarem medidas de segurança, técnicas e administrativas, para protegerem suas bases de acessos não autorizados, como no caso de um ataque cibernético. A Autoridade Nacional poderá estabelecer os padrões mínimos a serem adotados. Mesmo assim, havendo vazamentos ou outros incidentes que possam acarretar risco relevante aos titulares dos dados, o responsável pela base violada deverá comunicar o problema à Autoridade Nacional e aos titulares dos dados. Deverá informar também as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

    Em vigor, mas sem penalidades

    Mesmo com a entrada em vigor das novas regras sobre proteção de dados, uma lei aprovada pelo Congresso em junho de 2020 estabelece que as sanções administrativas estabelecidas pelo texto só serão aplicáveis a partir de agosto de 2021.

    Neste caso também, a ideia da postergação foi uma concessão aos controladores de dados, que terão mais tempo para se adaptarem antes de passarem a ficar sujeitos às sanções administrativas da Autoridade Nacional.

    Quando estiverem em vigor, as penalidades administrativas para os setores público e privado poderão abarcar condenação para eliminar os dados que foram alvos da infração e proibição total ou parcial do exercício de atividades relacionadas às operações com dados pessoais.

    No caso das empresas, ainda haverá a possibilidade de multas. Poderá ser uma multa única de até 2% do faturamento no Brasil no último ano fiscal ou multas diárias até que a empresa cumpra determinada obrigação. Nos dois casos, o limite do valor total por infração será de R$ 50 milhões.

    Os desafios da implementação, em duas análises

    O Nexo ouviu dois especialistas em direito digital, sobre as obrigações que a entrada em vigor da Lei Geral de Proteção de Dados impõe aos setores público e privado. E também sobre a capacidade atual de empresas e órgãos públicos para cumprirem as exigências legais:

    • Marcel Leonardi é advogado e professor de direito digital e de proteção de dados na GVLaw (programa de pós-graduação da Fundação Getulio Vargas Direito)
    • Priscilla Silva é advogada e pesquisadora do ITS-Rio (Instituto de Tecnologia e Sociedade)

    Quais os principais desafios para as empresas implementarem a Lei Geral de Proteção de Dados?

    Marcel Leonardi O primeiro desafio é ter, pela primeira vez no caso da maioria das empresas, que se organizar para fazer um diagnóstico sobre quais dados pessoais a empresa trata [o tratamento de dados envolve qualquer operação com os dados, desde a coleta até o descarte], para que finalidade usa, com quem compartilha, onde armazena esses dados. Isso envolve todas as áreas de uma empresa, do RH [recursos humanos] ao atendimento ao consumidor. Há dados pessoais estruturados, organizados em bancos de dados, mas há também dados espalhados por documentos, e-mails. Conseguir separar todos eles dos dados não pessoais, que não identificam pessoas específicas, faz parte desse mapeamento. É um desafio operacional que exige grande investimento financeiro, tanto para treinamento de funcionários quanto para aquisição de tecnologia. Especialmente empresas grandes, que gerenciam bases enormes, precisam de sistemas robustos para mapear e administrar todos esses dados.

    Além disso, as empresas têm desafios jurídicos. Precisam de assessoria para entender em quais bases legais sua atividade se enquadra para poder tratar dados pessoais. E esse tratamento deverá ficar limitado às finalidades que justificaram a coleta dos dados. Finalidades essas que devem ser explicadas ao titular dos dados, já nos contratos. Ou seja, outro desafio jurídico é adequar todos os contratos, toda a documentação da empresa de forma que ela seja transparente sobre como usa esses dados. É uma exigência da lei, mesmo nos casos em que o consentimento do titular não seja necessário para a coleta dos dados.

    Um quarto desafio é organizar uma estrutura para atender às demandas dos titulares dos dados. As sanções administrativas, impostas por uma futura ANPD [Autoridade Nacional de Proteção de Dados], ficaram só para agosto de 2021, mas o consumidor, o titular dos dados, já pode começar a exigir seus direitos a partir de agora. Por exemplo, perguntar para a empresa que dados ela tem ao seu respeito, receber uma cópia deles. A maioria das empresas ainda não está preparada para responder a isso.

    Mas é controvertido o que acontece se o titular não for atendido. A empresa ainda não será punida no âmbito administrativo, com as multas previstas pela lei [o que só será possível em agosto de 2021], mas o titular dos dados pode levar a questão para a ANPD, quando for constituída, ou até acionar essa empresa judicialmente, porque já tem esses direitos [de saber da finalidade da coleta dos dados e de quais dados estão sendo tratados].

    Priscilla Silva Os desafios da adequação perpassam pelas diferentes etapas jurídicas a serem cumpridas, conforme exigidas pela lei, e pela falta de detalhamento e orientação [sobre as novas regras], refletida pela ausência de constituição da Autoridade Nacional de Proteção de Dados.

    As empresas deverão encontrar a finalidade da atividade prestada. É diante da finalidade do serviço que será possível buscar o requisito legal para o tratamento de dados de pessoais. A partir daí, deverão (1) nomear um encarregado para fazer a ponte com o titular de dados, (2) realizar um mapeamento dos dados tratados, (3) elaborar uma política de dados, para garantir a transparência do fluxo de tratamento de dados perante os titulares desses dados, e (4) elaborar o documento de risco jurídico, que vai permitir encontrar as vulnerabilidades do tratamento e implementar possíveis medidas corretivas de cibersegurança.

    De certo, a adequação dependerá de investimento, tecnologia, capacitação, desenvolvimento de regras internas questões que em períodos de crise são ainda mais complicadas de serem implementadas. Por outro lado, a não aplicação da LGPD [Lei Geral de Proteção de Dados] poderá implicar em prejuízos de acordos e trocas internacionais com países que já adotam uma cultura de proteção de dados, assim como em contínuo prejuízo na implementação de direitos fundamentais para os indivíduos em um momento de extrema vulnerabilidade. Sem contar que a adequação já deveria vir sendo implementada desde a aprovação da lei em 2018. A adequação, assim, apesar de desafiadora em aspectos financeiros e tecnológicos pode gerar, em uma visão macro, oportunidades de negócios e destaque concorrencial.

    Já as sanções administrativas da LGPD somente entrarão em vigor em agosto de 2021, o que sem dúvida gera uma oportunidade de implementação mais segura sem riscos de sofrer sanções severas. Isso, no entanto, não deve ser usado como argumento para a não realização do compliance (adequação) nesse momento, uma vez que com a entrada em vigor do restante da lei, os controladores de dados estarão sujeitos a responder por danos em responsabilidade civil decidida em juízo. Desta forma, é preciso esclarecer de antemão que a adequação deve acontecer o quanto antes.

    E para o setor público?

    Marcel Leonardi Para o setor público, os desafios aumentam, em razão da falta de uniformidade entre os órgãos e entidades da administração. Em razão também da dificuldade de aquisição de serviços e sistemas tecnológicos para se conformar às exigências da lei. O setor público tem processos mais lentos. Soma-se a isso o fato de que frequentemente órgãos públicos tem uma volumetria de dados muito grande, o que torna tudo mais desafiador.

    Além disso, como as penalidades para o setor público são muito mais brandas (não há multas, por exemplo), há quem acredite que os incentivos para a adequação do setor à LGPD são menores. Há menos pressão.

    Para o Judiciário também será um desafio. Sem o órgão central, que teria maior capacidade técnica para interpretar da lei [a Autoridade Nacional de Proteção de Dados], pode haver dúvidas quanto à aplicação de seus dispositivos, que diversas vezes permitem várias interpretações. É difícil para o Judiciário avaliar tecnicamente, por exemplo, em que bases legais a empresa se enquadra para poder tratar dados pessoais, porque isso passa por um entendimento inclusive de estratégia de negócio.

    Priscilla Silva As etapas de adequação são muito semelhantes para os setores público e privado. Mas o setor público tem a dificuldade adicional de ser o setor de referência, que deve prestar o exemplo social da efetiva implementação da cultura de proteção de dados, assim como do cumprimento do dever se equilibrar a transparência e a publicidade com a garantia do direito à privacidade.

    Todos os conteúdos publicados no Nexo têm assinatura de seus autores. Para saber mais sobre eles e o processo de edição dos conteúdos do jornal, consulte as páginas Nossa equipe e Padrões editoriais. Percebeu um erro no conteúdo? Entre em contato. O Nexo faz parte do Trust Project.