A chegada da Lei de Proteção de Dados – LGPD deveria estar cada vez mais palpável. Criada em 2018 no ensejo da legislação correspondente na Europa, o GDPR, a LGPD definiu regras para tratamento de dados pessoais privados no Brasil, quando da crescente preocupação com a proteção de dados.
Com a chegada do covid-19, as já existentes preocupações quanto a entrada em vigor da lei se materializaram. O Senado aprovou, e está pendente de aprovação na Câmara, o projeto de lei 1.179/20, que posterga a entrada em vigor da LGPD. O que significa a nova postergação?
O lobby favorável ao adiamento era vocalizado por muitas entidades, como as dos ramos de telecomunicações e farmacos, com base na incapacidade de as empresas – ou mesmo de o Estado – conseguir cumprir com a LGPD a tempo.
Por ser muito principiológica, ao estabelecer parâmetros para cumprimento, a LGPD dependente de regulamentação. Sem esta, há pouco direcionamento sobre como agentes devem operacionalizar e adequar procedimentos para o propósito da lei, restando-lhes prejudicada as chances de cumprimento legal.
Ficaria a autoridade nacional de proteção de dados (ANDP) encarregada de implementar a lei, preencher suas lacunas, fornecer diretrizes específicas e fiscalizar o cumprimento. A ANDP ainda e um ficção, não tendo sido escolhidos seus 27 conselheiros, dos quais terão autonomia técnica e decisória os 5 diretores a serem escolhidos pelo presidente da República e aprovados pelo Senado.
O planejamento de medidas para a aplicação da LGPD já estava em estágio embrionário no governo federal, muito em razão da falta de recursos para sua implantação. Com a recente pandemia, improvavelmente o governo concentrará recursos na implantação da lei.
Sem a ANDP constituída, a aplicação da lei e sua adequação pelas empresas ficam prejudicadas. Multinacionais, em especial as sediadas ou com filiais na Europa, podem já estar adequadas em razão de seguirem o GDRP; todavia, muitas pequenas e médias empresas – a maioria nos negócios no Brasil – estão atrasadas, conforme confirmam algumas pesquisas.
Questionamentos sobre os impactos e incertezas econômicas gerados pelo covid-19 nos processos de adequação são compartilhados por outros países. Na Califórnia, apesar de a lei de proteção de dados já estar em vigor, a fiscalização – ou enforcement - ainda está suspensa e instituições de diversos setores já pressionam o governo para manter essa suspensão.
No Brasil, optou-se tanto pela suspensão do enforcement, quanto pela postergação da lei. A recém aprovada lei adia a entrada em vigor da LGPD para 1° de janeiro de 2021, com suspensão da aplicação de sanções até agosto de 2021.
Bem verdade que a mudança posterga a entrada - já atrasada - do Brasil no rol de países que tem legislação específica sobre privacidade; apesar de tímida, ela e bem-vinda.
A entrada em vigor da LGPD será o início de um processo de adaptação, tanto das empresas, quando do poder público, em relação as práticas de privacidade, que afetarão diretamente o modelo de negócios de muitas empresas.
Espera-se que, até o meio de 2021, muitas empresas tenham recursos para os projetos de adequação a LGPD, após a queda no faturamento no atual período de contração de demanda, quando o foco e nas questões emergenciais para sobrevivência dos negócios.
Caso a LGPD entre em vigor sem uma ANDP constituída, empresas podem tirar proveito da zona cinzenta oriunda da falta de regulamentação. Como a própria LGPD estabelece princípios balizadores, a ausência de diretrizes específicas deixa empresas mais livres para interpretá-los e criar procedimentos que julgam necessários. O cuidado e estabelecer racionais que justifiquem tal medidas, em caso de futuro questionamento por uma, agora sim, estabelecida autoridade.
_________