Foi sancionada, no dia 14/8/18, pelo presidente da República, com vetos pontuais, a lei 13.709 que dispõe sobre a proteção de dados pessoais, especialmente nos meios digitais, e altera o Marco Civil da Internet (lei 12.965/14).
A nova lei, já conhecida como lei geral de proteção de dados (LGPD), tem origem no PL da Câmara Federal PLC 53/18, aprovado por unanimidade e em regime de urgência pelo Plenário do Senado, em julho. A mobilização no legislativo foi intensificada após a ampla publicidade que foi dada ao vazamento de dados dos usuários do Facebook, coletados e utilizados pela empresa Cambridge Analytica nas últimas eleições nos Estados Unidos.
Com inspiração direta no Regulamento Geral de Proteção de Dados (General Data Protection Regulation – "GDPR") da União Europeia, que entrou em vigor em maio deste ano (após prazo de dois anos de adaptação), a legislação brasileira visa garantir maior controle dos cidadãos sobre a coleta, utilização, transferência, correção e processamento de seus dados pessoais.
Fundamentado nos princípios da privacidade, autodeterminação informativa, liberdade de expressão, informação e inviolabilidade da intimidade, honra e imagem – direitos fundamentais estabelecidos pela Constituição Federal Brasileira - o texto da LGPD estabelece de forma sistematizada, abrangente e com maior rigidez e organização os critérios para realização de operações com dados pessoais por pessoas físicas e jurídicas de direito público e privado, ressalvada a utilização de dados por pessoa física para uso particular e não econômico, e para fins exclusivamente jornalísticos, artísticos, acadêmicos, de segurança nacional ou investigação policial.
Importante destacar que as regras não estão restritas ao meio digital. São aplicáveis a todo e qualquer meio de coleta, utilização e transmissão de dados pessoais.
A partir da entrada em vigor da lei, em fevereiro de 2020, o uso de dados pessoais somente poderá se dar mediante o consentimento expresso e formal do titular da informação, que deverá ter a sua disposição indicações da finalidade, forma e duração do tratamento dos dados.
Do ponto de vista empresarial, será necessária uma reformulação geral no formato de tratamento de dados utilizado pelas empresas, visando maior transparência e o aculturamento de suas ações, com base em estabelecimento de políticas de boas práticas e segurança, perante os consumidores.
Veja-se que a LGPD exige que o controlador dos dados, a quem compete a tomada de decisão em relação aos dados, indique uma pessoa natural, denominado de encarregado, que será o responsável por supervisionar e fiscalizar o cumprimento das regras e servirá como um canal de facilitação da comunicação entre os titulares dos dados e aquele que os trata. Tal encarregado, junto com o controlador e operador dos dados poderá ser responsabilizado por eventual infração aos preceitos legais, o que gera uma preocupação a mais para a reformulação do método de uso de dados pelas empresas.
Para garantir a adequação à lei será necessário que as empresas ajustem seus "termos e condições gerais de privacidade" a fim de abarcar a indicação clara da forma, motivo e duração da utilização dos dados pessoais, criando um procedimento simples e efetivo para obtenção de autorização expressa e formal dos consumidores, bem como um mecanismo de alteração e exclusão dos dados, mediante solicitação do usuário.
Essa reformulação importará em investimento econômico e desenvolvimento tecnológico, de forma a garantir a conformidade das práticas comerciais à legislação e contribuirá para o estabelecimento de segurança dos dados, o que poderá, inclusive, ser um diferencial da empresa frente aos seus concorrentes.
Adicionalmente, também será se responsabilidade dos entes que tratarão dados pessoais, a informação a respeito de incidentes de segurança dos dados, e eventual vazamento aos titulares e ao público geral, a depender da gravidade de sua natureza.
Ao mesmo tempo que se mostra essencial - para efetivamente proteger as informações pessoais e, também para trazer segurança jurídica -, a legislação se mostra especialmente importante para empresas que utilizam dados pessoais de seus consumidores no âmbito do comércio eletrônico, visto que exigirá revisão geral do posicionamento das empresas frente à guarda, utilização, transferência e comercialização dos dados que os consumidores a ela disponibilizam, bem como uma reavaliação a respeito da amplitude dos dados solicitados uma vez que a lei determina que apenas os dados essenciais para a relação ou prestação de serviços sejam tratados.
Considerando as exigências dispostas na LGPD, para se manterem em conformidade e evitar sanções que poderão ser advertência, multas de até 2% do faturamento (limitado a 50 milhões de reais) e cessação da utilização daqueles dados, entre outras, ainda no âmbito de comércio eletrônico, as empresas deverão rever os termos dos contratos de adesão e compra e venda a fim de informar ao consumidor se a utilização de seus dados é necessária para fornecimento do produto ou serviço.
Todavia, a partir de um dos vetos do Executivo, a LGPD, apesar de criar importantes obrigações jurídicas, pode entrar em vigor em meio às incertezas e insegurança.
Isso por que um item importantíssimo para consecução do objetivo da lei é a existência de um ente regulador capaz de uniformizar o entendimento interpretativo da lei e resguardar o seu cumprimento, o que não temos estruturado no momento. Conforme o texto aprovado pelo Senado, tal responsabilidade ficaria a cargo da Autoridade Nacional de Proteção de Dados, cuja criação foi vetada pela Presidência, sob o argumento de vício de iniciativa, tendo em vista que a criação de uma autarquia federal, que implicaria em custos no Orçamento, somente poderia ser realizada mediante ato do Poder Executivo. A promessa é de que a entidade será criada em breve, por meio de PL ou MP, sem muitas alterações em seu regime de atuação e atribuições.
E a existência de um órgão autônomo é essencial para interpretação e aplicação uniforme execução da lei. A LGPD impõe à "Autoridade Nacional" diversas obrigações no que diz respeito à fiscalização e a proteção dos direitos à privacidade (o texto aprovado refere 49 vezes a "Autoridade Nacional"). Seria o órgão responsável por receber reclamações, notificações de vazamento de dados, execução de processos administrativos e sanções, canal de comunicação entre entes estrangeiros para transferência internacional e responsável por desenvolver uma Política Nacional de Proteção de Dados Pessoais e Privacidade, questões essenciais para que as disposições legais sejam colocadas em prática de forma autônoma e perene.
Infelizmente, a ordem jurídica brasileira sofre com legislações que são deixadas de lado, "não pegam". E um marco legislativo tão importante quanto a LGPD não pode correr o risco de ficar apenas no papel.
Espera-se, portanto, que, no decorrer do período até a entrada em vigor da legislação, as empresas se adequem às novas regras e se crie a Autoridade Nacional, elemento essencial para que a legislação, que eleva ao Brasil a um novo patamar regulatório, seja reconhecida e executada.
__________
*Nathália Scalco é sócia do escritório Andrade Maia Advogados.
*Daniel Koehler é sócio do escritório Andrade Maia Advogados.