Na sessão da última quarta-feira, 26/8/2020, o Senado Federal acatou questão de ordem apresentada pelo senador Eduardo Braga (MDB/AM) e declarou prejudicado o artigo 4o da Medida Provisória 959/20, que pretendia alterar o inciso II do artigo 65 da lei 13.709/2018 (Lei Geral de Proteção de Dados, "LGPD") e adiar sua vigência para 31/12/2020 – ressalvadas as sanções, que seguem postergadas para 1/8/2021, nos termos do inciso I-A do mesmo artigo 65, incluído pela lei 14.010/2020.
Conforme esclarecido pelo presidente do Senado, Davi Alcolumbre (DEM/AP), a Casa já havia deliberado sobre o assunto este ano no âmbito do PL 1.179/2020 – transformado justamente na lei 14.010/2020 –, sendo que o artigo 334, II, do Regimento Interno do Senado estabelece que será considerada prejudicada matéria dependente de deliberação "em virtude de seu prejulgamento pelo Plenário em outra deliberação".
Com isso, uma vez sancionada pelo presidente da República a lei de conversão da MP 959/20 – sanção está que pode ocorrer em até 15 dias úteis do recebimento do Projeto de Lei de Conversão na Casa Civil – a LGPD entrará em vigor. Nesse meio tempo, nos termos do art. 62, § 12, da Constituição Federal, valem as disposições da MP 959/20.
Superada a celeuma sobre a vigência da LGPD, as preocupações se voltam novamente – agora com rigor ainda maior – para a Agência Nacional de Proteção de Dados ("ANPD"), criada pela MP 869/2018, mas que até o momento praticamente não saiu do papel.
A ANPD tem como funções, entre outras, a elaboração de diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, a fiscalização e aplicação das sanções ligadas à LGPD e a edição de regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, configurando-se como peça-chave para que a LGPD tenha efetividade.
Não obstante a LGPD trace as regras gerais acerca da proteção de dados pessoais, diversos pontos são delegados à regulamentação da ANPD, tais como a definição: (i) de formas de publicidade das operações de tratamento de dados (artigo 23, § 1o); (ii) de regras para o uso compartilhado de dados pessoais (artigo 30); (iii) dos organismos de certificação quanto ao cumprimento dos requisitos autorizadores da transferência internacional de dados (artigo 35, § 3o); (iv) das situações que exigiram a elaboração de relatórios de impacto referentes a operações de tratamento de dados (artigo 38); (v) dos padrões de interoperabilidade para fins de portabilidade (artigo 40); (vi) da necessidade de indicação e atribuições do encarregado (artigo 41, § 3o); (vii) de padrões técnicos mínimos para os sistemas de proteção de dados (artigo 46, § 1o); e (viii) de prazos para a comunicação de incidentes de segurança (artigo 48, § 1o), entre tantos outros.
Portanto, a ausência da ANPD, com a LGPD prestes a entrar em vigor, traz enorme insegurança jurídica para a interpretação e aplicação da lei, justamente num momento em que as empresas tentam entender melhor a norma e a ela se adequarem, lembrando que, diferentemente de outros países – como os que integram a Comunidade Europeia – o Brasil não possui legislação anterior específica atinente à proteção de dados pessoais que possa servir de parâmetro para ajudar na adaptação.
A implementação de processos de adequação demanda uma quantidade significativa de tempo e dinheiro, sendo absolutamente temerário exigir das empresas que estejam aderentes à LGPD sem assegurar meios para que saibam exatamente o que e como deve ser feito.
Tome-se como exemplo a obrigação de indicação de um encarregado, que, nos termos do artigo 41, § 3o, da LGPD, pode vir a ser dispensada pela ANPD, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. Vale dizer, uma determinada empresa pode investir na contratação e treinamento de um encarregado e, pouco depois, ver a ANPD liberando-a da obrigação de indicação desse profissional.
Outra situação emblemática é a definição dos sistemas de proteção de dados a serem utilizados. Empresas correm o risco de investir valores significativos na aquisição e implantação de sistemas que podem não preencher os padrões técnicos mínimos que venham a ser exigidos pela ANPD, nos termos do artigo 46, § 1o, da LGPD.
Enfim, poderíamos trazer aqui diversos exemplos de medidas que, em breve, serão potencialmente obrigatórias, mas que suscitam dúvidas quanto à forma ou extensão em que devem ser cumpridas, trazendo insegurança jurídica para a vigência da LGPD.
De outro lado, a ausência da atividade fiscalizatória da ANPD – ainda que, num primeiro momento, se dê a título informativo/didático, tendo em vista o adiamento das sanções para 1/8/2021 – dá maior margem à violação das normas de proteção de dados pessoais, colocando em xeque os direitos dos titulares, assegurados pela própria LGPD.
Ciente desse cenário, o executivo federal agiu rapidamente e editou o decreto 10.474/2020, aprovando a estrutura regimental e o quadro demonstrativo dos cargos em comissão e das funções de confiança da ANPD. O decreto entrará em vigor na data de publicação da nomeação do diretor-presidente da ANPD no Diário Oficial da União.
Nos termos da LGPD, o Diretor-Presidente da ANPD, assim como os demais membros do Conselho Diretor, devem ser escolhidos pelo presidente da República e nomeados após a aprovação pelo Senado Federal.
Esperamos que agora o Governo siga promovendo a constituição de fato da ANPD, de modo a que esta passe a exercer as suas atividades o mais breve possível, garantindo a plena eficácia e aplicabilidade da Lei.