Por Marina Moretzsohn Chust Trajano
Não obstante a vigência da Lei Geral de Proteção de Dados (LGPD) desde 18 de setembro de 2020, somente passarão a se aplicar as disposições relativas às sanções previstas na norma, em seus arts. 52, 53 e 54, a partir de 1˚ de agosto deste ano. A determinação foi dada pela Lei n ̊ 14.010, de 10 de junho de 2020, que dispõe sobre o Regime Jurídico Emergencial e Transitório das relações jurídicas de Direito Privado (RJET) no período da pandemia do coronavírus (Covid-19). Desde então, espera-se que as empresas aproveitem o longo período de vacatio legis da LGPD para se adequarem antes da vigência das sanções, que englobam desde advertências até multas, bloqueios de dados e suspensão do tratamento de dados pessoais. Contudo, observa-se um atraso, em grande parte da sociedade, quanto à conformidade das empresas frente à norma, o que evidencia a necessidade de se instaurar uma cultura de proteção de dados no Brasil.
Em primeira análise, para fins de contextualização, é importante realizar uma análise comparativa das disposições sancionatórias presentes no dispositivo legal em exame. Nesse sentido, é primordial que se destaque a consonância das sanções previstas na LGPD frente à norma europeia do Regulamento Europeu de Proteção de Dados (General Data Protection Regulation - GDPR). A GDPR foi criada em 2018 como um regulamento do direito europeu sobre privacidade e proteção de dados pessoais, aplicável a todos os indivíduos na União Europeia (UE) e no Espaço Econômico Europeu (EEE), além de regulamentar a exportação de dados pessoais para fora da UE e EEE e de apresentar grande influência mundialmente. Desse modo, salienta-se que os principais critérios apresentados na norma para se aplicar sanções são (i) a gravidade e a natureza da infração e dos direitos afetados; (ii) a boa fé do infrator e cooperação com a Autoridade Nacional de Proteção de Dados (ANPD); (iii) a reincidência; (iv) a adoção de boas práticas e governança; (v) a adoção de medidas corretivas ou procedimentos capazes de minimizar os danos e (vi) o grau do dano e proporcionalidade entre gravidade da falta e intensidade da sanção.
Ainda, é relevante confrontar as disposições sancionatórias da Lei Geral de Proteção de Dados com as do Marco Civil da Internet (MCI). Assim como a LGPD, o estabelecimento do MCI supriu parte das lacunas legislativas quanto à adequação do ordenamento jurídico brasileiro ao cenário decorrente de evolução tecnológica. Conforme destaca Parentoni (2019), as sanções previstas no MCI que não encontram correspondente na LGPD permanecerão aplicáveis, com base em dois principais fundamentos. O primeiro dos fundamentos toma por base a Lei de Introdução às Normas do Direito Brasileiro que estabelece em seu art. 2˚ que "a lei nova, que estabeleça disposições gerais ou especiais a par das já existentes, não revoga nem modifica a lei anterior". Ressalta-se que, no art. 2°, § 1°, da Lei, são explicitados os casos em que a lei posterior revoga a anterior, possibilidades estas que não se enquadram na situação em exame. Parentoni aponta, como segundo fundamento, a Teoria do Diálogo das Fontes, que remete ao dever de busca pelo convívio harmônico dos variados diplomas legais. Nesse aspecto, cabe destacar também que cabe informar que o disposto na LGPD não substitui a aplicação de sanções administrativas, civis ou penais delimitadas no Código de Defesa do Consumidor e em legislação específica.
Em segunda análise, deve-se destacar os obstáculos à adequação à LGPD por parte das empresas. Uma pesquisa realizada pela ICTS Protiviti, consultoria de gestão de riscos e compliance, evidenciou que as operações de Micro e Pequenas Empresas (MPE) estão mais atrasadas se comparadas às grandes empresas. O levantamento da empresa reuniu informações de empresas de diferentes portes, sendo que, das 192 companhias respondentes, 84% seguiam sem uma diretriz clara sobre a adequação. O diretor associado da empresa aponta que a falta de adequação acontece por dois motivos principais: a pandemia da Covid-19 e a confusão sobre a data em que a lei entraria em vigor.
Nesse sentido, é importante destacar que o adiamento para 1˚ de agosto de 2021, pela Lei n˚ 14.010/20, levou em conta, principalmente, o cenário de pandemia, que dificultou a adaptação das empresas ao novo regramento, e devido à não instituição, à época, da ANPD, órgão responsável pela fiscalização e implementação da LGPD. A ausência da ANPD cria insegurança quanto à fiscalização das atividades que envolvem dados pessoais e quanto à responsabilização pelo descumprimento da legislação, uma vez que uma das funções do órgão é “fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso” (art. 55-J LGPD, inciso IV).
Não obstante a nomeação do Conselho Diretor e a consequente criação da ANPD em 6 de novembro de 2020, o Projeto de Lei (PL) n˚ 500/21, de 19 de fevereiro de 2021, busca a alteração do art. 65 da LGPD, para determinar a postergação, até o dia 1º de janeiro de 2022, das multas administrativas pecuniárias previstas. A justificação se pauta na ideia de que, ao contrário do que a Câmara dos Deputados previu quando adiou a vigência para agosto deste ano, a pandemia da Covid-19 não se encerrou em 2021 e ainda há "com uma estimativa otimista, a perspectiva de completude do processo de imunização apenas ao final do ano". Ainda, na justificação, argumenta-se que a pandemia interpôs desafios técnicos e financeiros a serem enfrentados pelas empresas no processo de adaptação à LGPD, além da dificuldade que a conjuntura pandêmica implica para o pagamento das multas previstas na Lei, que podem alcançar até R$ 50 milhões.
A despeito do cenário de pandemia, a baixa adequação das empresas à LGPD evidencia a necessidade do estabelecimento de uma cultura de proteção de dados no Brasil. À vista disso, destacam-se as ações da Secretaria de Governo Digital, como a publicação de guias operacionais, para incentivar a cultura de proteção de dados e acelerar a evolução da maturidade necessária para que órgãos e entidades federais possam ter conformidade à LGPD. O governo destaca que "A implementação de uma estratégia de atuação preventiva, nas frentes de segurança da informação e privacidade, tem o intuito de fomentar uma cultura de proteção de dados por meio de ações que facilitem o avanço da adequação à LGPD. Isso possibilita o tratamento prévio dos riscos negativos e de seus respectivos impactos e consequências, facilitando o cumprimento da legislação sobre proteção de dados.". Não obstante a relevância dessas medidas, é primordial que sejam conscientizados colaboradores, no âmbito interno das empresas, de modo a mitigar riscos e fomentar a consagração do fim último da LGPD, que consiste em devolver ao titular de dados o poder de decisão e conhecimento sobre a forma com que seus dados são tratados, e, a partir da proteção concedida a essas informações, garantir o livre desenvolvimento da personalidade da pessoa natural.
Referências Bibliográficas
BRASIL. Congresso Nacional. Decreto-Lei nº 4.657 (Lei de Introdução às normas do Direito Brasileiro). Brasília: 4 set. 1942.
BRASIL. Congresso Nacional. Lei n˚ 12.965 (Marco Civil da Internet). Brasília: 23 abr.2014.
BRASIL. Congresso Nacional. Lei n˚ 13.709 (Lei Geral de Proteção de Dados). Brasília: 14 ago. 2018.
BRASIL. Congresso Nacional. Lei n˚ 14.010 (Dispõe sobre o Regime Jurídico Emergencial e Transitório das relações jurídicas de Direito Privado (RJET) no período da pandemia do coronavírus (Covid-19)). Brasília: 10 jun. 2020.
BRASIL. Câmara dos Deputados. Projeto de Lei n˚ 500/2021. Disponível em: <https://www.camara.leg.br/proposicoesWeb/fichadetramitacao?idProposicao=2270533>. Acesso em: 5 jul. 2021.
BRASIL. Secretaria de Governo Digital. Guias operacionais para adequação à Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: <https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias-operacionais-para-adequacao-a-lei-geral-de-protecao-de-dados-pessoais-lgpd>. Acesso em: 5 jul. 2021.
PARENTONI, Leonardo; LIMA, Henrique. (2019). Proteção de Dados Pessoais no Brasil: Antinomias Internas e Aspectos Internacionais.
SCOGNAMIGLIO, Heloísa. Pandemia atrapalhou adequação das empresas à Lei Geral de Proteção de Dados, diz especialista. O Estado de S.Paulo. São Paulo, 09 dez. 2020. Disponível em: <https://economia.estadao.com.br/noticias/governanca,pandemia-atrapalhou-adequacao-das-empresas-a-lei-geral-de-protecao-de-dados-diz-especialista,70003545684>. Acesso em: 5 jul. 2021.
UNITTÁ. Entrada em vigor da Lei Geral de Proteção de Dados acende alerta nas empresas. Disponível em: <https://icts.com.br/icts-news/entrada-em-vigor-da-lgpd-acende-alerta-nas-empresas>. Acesso em: 5 jul. 2021.