Texto escrito por Cíntia Rosa Pereira de Lima e Newton De Lucca
Neste primeiro texto que inaugura a coluna "Migalhas de Proteção de Dados", escolheu-se explorar a problemática em torno da vigência da Lei Geral de Proteção de Dados (LGPD), lei 13.709, de 14 de agosto de 2018. Esta lei inaugura, no Brasil, um sistema de proteção de dados, trazendo princípios basilares para salvaguardar os titulares dos dados pessoais. Até a promulgação da LGPD, o Brasil oferecia uma tutela esparsa em algumas leis setoriais, como o Código de Defesa do Consumidor (especialmente o art. 43 do CDC), a Lei de Acesso à Informação (lei 12.527, de 18 de novembro de 2011), a Lei do Cadastro Positivo (lei 12.414, de 09 de junho de 2011), e o Marco Civil da Internet (lei 12.965, de 23 de abril de 2014), entre outras.
Neste sentido, o grande avanço preconizado pela LGPD é estabelecer um sistema de proteção de dados, servindo de base para o tratamento de dados pessoais, realizado pelos entes públicos ou pelas empresas privadas1. Portanto, a LGPD é um importante instrumento para a segurança jurídica quanto aos direitos dos titulares de dados pessoais e às obrigações dos agentes de tratamento2, à semelhança do que dispunha a Diretiva 95/46/EC3, que foi substituída pelo Regulamento Geral Europeu sobre Proteção de Dados (General Data Protection Regulation – GDPR)4.
Muito embora existissem (e continuam a existir) leis que traziam certa proteção aos titulares de dados, é inegável que a LGPD impõe uma mudança sociocultural. Em outras palavras, a "cultura da superexposição" dá lugar para a "cultura do controle das informações pelos seus titulares", ou seja, aquelas pessoas identificadas ou identificáveis a partir de determinadas informações têm direito à informação, ao acesso, à correção, entre outros direitos previstos na LGPD. Justamente por isso, a vacatio legis da LGPD, em seu texto original, já era longa.
Importante destacar que a polêmica em torno da vigência da LGPD é marcada por um forte lobby que organizou muitas tentativas para se prorrogar a vigência da lei. O art. 65 da lei 13.709/2018, originalmente, estabelecia o prazo de vigência para 18 meses a partir da sua publicação. Todavia, esse prazo foi ampliado para 24 meses por ocasião da conversão da Medida Provisória nº 869, de 27 de dezembro de 2018, que reinseriu a Autoridade Nacional de Proteção de Dados, cuja criação fora vetada pelo então Presidente Michel Temer5. A MP 869/2018 foi convertida em lei pela lei 13.853, de 09 de julho de 2019, mantendo a vigência da LGPD em 24 meses a partir da publicação da lei 13.709/2018. Portanto, a lei entraria em vigor em 16 de agosto de 2020.
Nota-se a constante influência do direito europeu na LGPD brasileira, inclusive o prazo de vigência. Em outras palavras, o art. 99 do GDPR previa a entrada em vigor da lei europeia para 25 de maio de 2018, ou seja, 25 meses após sua publicação, que se deu em 27 de abril de 2016. Assim, com toda a tradição europeia na matéria sobre proteção de dados, o GDPR trouxe mudanças importantes que exigiam um longo período para que os entes públicos e privados se adequassem aos ditames legais.
Contudo, no Brasil, ainda segue incerta a entrada em vigor da Lei Geral de Proteção de Dados. Alguns projetos de lei, como o PL 5.762/20196, que pretendia prorrogar a vigência da LGPD para 16 de agosto de 2020, insistem em adiar o quanto puderem o início da vigência da LGPD.
Entretanto, diante da situação de emergência sanitária que o Brasil e o mundo enfrentam, decorrente da pandemia do coronavirus (covid-19), o tema voltou a ser destaque na pauta do Congresso Nacional. Assim, a Medida Provisória nº 959, de 29 de abril de 2020, pretende alterar o art. 65 da LGPD, determinando o início da vigência da lei para 03 de maio de 2021. Essa medida provisória precisa ser convertida em lei até 28 de agosto de 2020, caso contrário, a LGPD entrará em vigor imediatamente conforme o texto da lei 13.709/2020.
Tal resistência à entrada em vigor da LGPD parece desarrazoada, ainda que se considere o contexto de emergência sanitária em que o mundo vive. Isto coloca o Brasil em uma situação vexatória e compromete a inserção do Brasil no capitalismo informacional, haja vista a necessária comprovação do nível adequado de proteção de dados para que empresas brasileiras possam receber dados pessoais de cidadãos que residam em países com um sólido sistema de proteção de dados, como Alemanha, Canadá, França, Itália, Estados Unidos etc7.
Deve-se considerar, ainda, a lei 14.010, de 10 de Junho de 2020, que dispõe sobre o Regime Jurídico Emergencial e Transitório das Relações Jurídicas de Direito Privado (RJET) no período da pandemia do coronavirus (covid-19), no art. 20, prorroga apenas a vigência dos artigos 52, 53 e 54 da LGPD, que tratam das sanções previstas na lei. Portanto, conforme o texto aprovado pelo RJET, a LGPD entra em vigor imediatamente, postergando apenas as sanções previstas na lei para agosto de 2021.
Esta foi uma resposta ao temor dos agentes de tratamento de dados que estão sujeitos às penalidades previstas na LGPD por violação às regras legais para o tratamento de dados pessoais, principalmente à penalidade de multa prevista no inc. II do art. 52 da LGPD, de até 2% sobre o faturamento da empresa, limitada a 50 milhões de reais por infração. No entanto, parece-nos um paradoxo se comparar o valor dessa sanção com o inc. II do art. 12 do Marco Civil da Internet, plenamente em vigor, que prevê a multa de até 10% do faturamento da empresa, muito mais alta que o valor previsto na LGPD. Portanto, é possível que a multa prevista no MCI seja aplicada por violação aos direitos dos usuários da Internet previstos no art. 7º, entre os quais, os incisos VIII, IX e X garantem a proteção de dados pessoais.
Em síntese, têm-se alguns possíveis cenários quanto à vigência da LGPD:
1) A MP 959/2020 não é convertida em lei: hipótese em que a LGPD entra em vigor imediatamente, sendo as sanções aplicáveis apenas a partir de agosto de 2021 conforme o RJET;
2) A MP 959/2020 é convertida em lei, vigorando com o RJET: a LGPD entraria em vigor no dia 3 de maio de 2021, no entanto, as sanções seriam aplicáveis apenas a partir de agosto de 2021;
3) A MP 959/2020 é convertida em lei revogando o RJET: a LGPD entraria em vigor no dia 3 de maio de 2021 em sua integralidade, com a possibilidade de aplicação das sanções.
Esse desfecho incerto é uma grave ameaça à segurança jurídica, pois as empresas e os órgãos públicos não sabem, ao certo, a partir de quando terão de se adequar ao que dispõe a LGPD. Além disso, deixa margem ao ativismo judicial para colmatar lacunas quanto à proteção de dados pessoais, podendo, inclusive, aplicar a grave sanção prevista no Marco Civil da Internet.
A relevância da LGPD é ainda mais acentuada no contexto da coleta de dados e compartilhamento de informações pessoais no contexto da pandemia da covid-19. Diante do uso das tecnologias de rastreamento pessoal para identificar a proximidade de pessoas infectadas pelo coronavirus ou do compartilhamento de dados pessoais entre empresas e órgãos públicos para medir a taxa de isolamento social, a proteção de dados pessoais precisa estar na ordem do dia. Entretanto, enquanto o Brasil ainda está patinando em matéria de proteção de dados, haja vista as tentativas de prorrogação de vigência da LGPD; a União Europeia tem enfrentado o uso dessas tecnologias com muita responsabilidade com destaque para a Declaração Conjunta do Conselho Europeu sobre Proteção de Dados no Contexto da COVID-19, de 30/03/20208.
As diretrizes na União Europeia quanto à proteção de dados na época da pandemia da covid-19 são: tratar os dados minimamente necessários; eliminação desses dados após a situação de emergência global decorrente da pandemia; precedência do relatório de impacto à proteção de dados; adoção de medidas técnicas e organizacionais que asseguram a inviolabilidade destes bancos de dados; tecnologias de coleta e tratamento de dados pessoais, como as tecnologias de rastreamento pessoal, somente podem ser utilizadas se se comprovar que os benefícios superam em muito os prejuízos à proteção de dados pessoais.
Em suma, a situação de emergência sanitária decorrente da pandemia do coronavirus não pode ser uma justificativa para prorrogar a vigência da LGPD. Ao contrário, tal situação demanda um olhar atento ao tema para que se possa garantir o pleno desenvolvimento da pessoa humana, tendo em vista o reconhecimento do direito à proteção de dados como um direito fundamental pelo Supremo Tribunal Federal no julgamento das Ações Diretas de Constitucionalidade (ADI nº 6387, nº 6388, nº 6389, nº 6390 e nº 6393)9.
*Cíntia Rosa Pereira de Lima é professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto – FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Universidade de Ottawa (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pós-Doutora em Direito Civil pela Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados – IAPD. Advogada.
*Newton De Lucca é professor Titular da Faculdade de Direito da Universidade de São Paulo. Professor do Corpo Permanente da Pós-Graduação Stricto Sensu da UNINOVE. Desembargador Federal, Presidente do Tribunal Regional Federal da 3a Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-Presidente do Instituto Avançado de Proteção de Dados.
__________
1 DE LUCCA, Newton; MACIEL, Renata Mota. A lei 13.709, de 14 de Agosto de 2018: a Disciplina Normativa que Faltava. In: DE LUCCA, Newton; LIMA, Cíntia Rosa Pereira de; SIMÃO FILHO, Adalberto; MACIEL, Renata Mota. Direito & Internet IV: Sistema de Proteção de Dados Pessoais. São Paulo: Quartier Latin, 2019. pp. 21 – 50.
2 LIMA, Cíntia Rosa Pereira de. O que é LGPD? Disponível aqui. Último acesso em 02/02/2020.
3 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data. Disponível aqui. Acesso em 02/08/2020.
4 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). Disponível aqui. Acesso em 02/08/2020.
5 Sobre a Autoridade Nacional de Proteção de Dados e os argumentos do veto à criação da ANPD vide: DE LUCCA, Newton; LIMA, Cíntia Rosa Pereira de. Autoridade Nacional de Proteção de Dados Pessoais (ANPD) e Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. In: LIMA, Cíntia Rosa Pereira de. Comentários à Lei Geral de Proteção de Dados. São Paulo: Editora Almedina, 2019. pp. 373 – 398.
6 CAMARA DOS DEPUTADOS. Altera a lei 13.709, de 2018, prorrogando a data da entrada em vigor de dispositivos da Lei Geral de Proteção de Dados Pessoais - LGPD - para 15 de agosto de 2022. Disponível aqui. Acesso em 02/08/2020.
7 PEROLI, Kelvin. Quais são as hipóteses em que é possível a transferência internacional de dados pessoais? Disponível aqui. Acesso em 02/08/2020.
8 Joint Statement on the right to data protection in the context of the COVID-19 pandemic by Alessandra Pierucci, Chair of the Committee of Convention 108 and Jean-Philippe Walter, Data Protection Commissioner of the Council of Europe. Disponível aqui. Acesso em 02/08/2020.
9 SUPREMO TRIBUNAL FEDERAL. STF suspende compartilhamento de dados de usuários de telefônicas com IBGE. Disponível aqui. Acesso em 02/08/2020.