No apagar das luzes de outubro, o deputado Federal Carlos Bezerra (MDB/MT) apresentou à Câmara dos Deputados o projeto de lei 5.762/2019, que possui apenas três artigos e um único propósito, adiar a entrada em vigor da lei 13.709/2018 – a Lei Geral de Proteção de Dados (LGPD) – para 15 de agosto de 2022, ou seja, acrescentando mais dois anos ao período de vacatio legis da LGPD.
Entendeu o parlamentar mato-grossense que, embora a nova lei seja "um marco para a garantia da privacidade e da proteção de dados dos cidadãos", aumentando a competitividade das empresas nacionais no exterior – argumento que já tivemos a oportunidade de expor em coluna anterior1 – "apenas uma pequena parcela das empresas brasileiras iniciou o processo de adequação ao novo cenário jurídico".
O projeto apresenta ainda como justificativa a alegada "morosidade" do governo federal na instalação da Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração federal que será responsável por zelar pela proteção dos dados pessoais, elaborar as diretrizes da política brasileira de proteção de dados, fiscalizar e aplicar sanções2.
A notícia pegou de surpresa o mundo jurídico, atingindo especialmente as empresas que já iniciaram seus projetos de adequação ou que pelo menos estão finalizando os estudos para implementá-lo. Até mesmo porque, num primeiro momento, pode passar a equivocada impressão de que a nova lei não seria tão importante ou – o que também seria muito ruim – gerar uma expectativa de novos adiamentos.
Antes de mais nada, contudo, é bom lembrar que o projeto acabou de ser apresentado e nada indica que será aprovado ou mesmo que terá uma tramitação célere, podendo ser engolido pelo calendário, que atualmente conduz à entrada em vigor da LGPD em agosto de 2020.
Por outro lado, enquanto as empresas se adaptam às regras de proteção de dados – uma tarefa que demanda tempo e a participação de diversos setores internos, como o departamento jurídico, as equipes de tecnologia da informação e a área de compliance, além de parceiros estratégicos para auxiliar na condução do trabalho – alguns órgãos públicos e o Ministério Público de certos Estados já estão requerendo a apresentação de relatórios de impacto à proteção de dados pessoais, novidade criada pela LGPD e definida como a "documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco"3.
Além do fato de as empresas estarem em período de transição e adaptação à nova lei, duas são as principais questões colocadas em debate no que diz respeito a tais pedidos que, a depender do modo como formulados, podem ser considerados como verdadeiras exigências: em primeiro lugar, o fato de a LGPD ainda não se encontrar em vigor; e, não menos importante, a previsão legal de que o órgão que possui a competência para regulamentar e solicitar a apresentação do relatório de impacto é a Autoridade Nacional de Proteção de Dados (ANPD)4, ainda não implementada5.
Exatamente por conta desses dois pontos, ganha especial relevância a sentença proferida pelo juiz Flavio Augusto Martins Leite, da 24ª vara Cível de Brasília, datada de 4/11/2019. Ao julgar ação civil pública6 ajuizada pela Unidade de Proteção de Dados e Inteligência Artificial do Ministério Público do Distrito Federal contra uma empresa de telefonia, em que se buscava, como um dos pedidos principais, a obrigação de fazer consistente na elaboração e entrega de relatório de impacto, decidiu-se pela improcedência dos pedidos.
No tema que interessa para o presente artigo, alegou a empresa de telefonia que ainda não se encontram definidos e regulamentados os contornos de um relatório de impacto à proteção de dados pessoais, de modo que descabida, neste momento, sua apresentação. Embora tenha entendido pela existência de interesse de agir por parte do órgão ministerial, entendeu o magistrado que a LGPD ainda não se encontra em vigor e que sequer foram estabelecidos os limites daquele documento por parte da ANPD, órgão responsável para tanto. Em face disso, o Ministério Público (MP) não pode exigir a apresentação do relatório de impacto:
"Não se questiona aqui o poder requisitório do Parquet, mas a imputação ao requerido de produção de relatório cujos moldes não estão definidos, o que implica na impossibilidade de coerção direta para o estabelecimento de obrigação de fazer de documento ainda não discriminado pela legislação competente.
Com efeito, nada impede que o Ministério Público exija as informações que entender necessárias à proteção dos direitos em tela, mas deve indicar os elementos que devem constar do relatório pretendido. A simples menção a um relatório que ainda não tem forma ou conteúdo definidos impõe uma obrigação impossível de ser cumprida".
A decisão é acertada. Eventual acolhimento do pedido do MP poderia impactar sensivelmente na defesa da empresa, na medida em que esta poderia apresentar um documento que viesse a ser considerado incompleto ou inadequado posteriormente, quando a ANPD regulamentar os requisitos de um relatório de impacto. Enquanto isso não ocorre, é imprescindível que as autoridades especifiquem – e demonstrem fundamentadamente a necessidade – daquilo que pretendem seja apresentado.
Há ainda uma outra questão que merece especial atenção. Uma vez que a LGPD dispõe competir à Autoridade Nacional a solicitação do relatório de impacto, quando tal órgão estiver estruturado e em pleno funcionamento poderão outros órgãos da Administração solicitar tal documento? Sem prejuízo de um debate mais aprofundado, parece existir à primeira vista um sério risco de invasão de competência e possível bis in idem na exigência e possível aplicação posterior de sanções.
__________
1 "Adequação à LGPD: uma oportunidade para empresas reverem seus modelos de negócios e desenvolverem novos produtos", Migalhas, 27/09/2019.
2 Criada pela MP 869/2018, posteriormente convertida na lei 13.853/2019, que, inclusive, adiou a entrada em vigor da LGPD de 18 meses para 24 meses após a publicação da lei.
3 Art. 5º, XVII, da Lei Geral de Proteção de Dados.
4 De acordo com os artigos 10, § 3º, 32, 38 e 55-J, inciso XIII, todos da LGPD.
5 Por enquanto, só se tem notícia da indicação dos representantes (titulares e suplentes) indicados pela Câmara e pelo Senado para integrarem o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, órgão consultivo integrante da ANPD. São eles, respectivamente: os advogados Danilo Doneda e Fernando Santiago Junior pela Câmara e Fabrício Mota Alves e Gustavo Afonso Sabóia Vieira pelo Senado (Acesso em 7/11/2019).
6 Processo nº 0721735-15.2019.8.07.0001, cuja sentença pode ser conferida aqui (Acesso em 7/11/2019).