O Senado Federal aprovou, no último dia 19, o PL 1.179/20 do senador Antonio Anastasia (PSD), que define como início das execuções de multas relacionadas à LGPD agosto de 2021. Ainda que o executivo aprove a prorrogação das multas, existe uma indefinição importante caso as demais disposições da lei entrem em vigor antes.
Em síntese, são três cenários mais prováveis relacionados ao início da vigência e da execução das multas. O primeiro é a aprovação do PL 1.179/20 e a vigência da lei em janeiro de 2021, com sanções aplicadas a partir de agosto do ano que vem. Outra possibilidade é a conversão da MP 959 em lei e o início tanto da LGPD quanto das sanções em maio de 2021. Por fim, a derrubada do PL e da MP e o início das sanções e da lei já em agosto próximo, como prevê o texto original.
O adiamento da lei para janeiro ou maio do ano que vem e as sanções aplicadas somente a partir de agosto de 2021 é o caminho mais provável e desejado porque oferece previsibilidade na implementação das medidas necessárias. Mas a falta de um ponto final na discussão contribui para o aumento da insegurança no ambiente de negócios.
Indefinições sobre a ANPD
Há ainda a resistência do Governo Federal em bater o martelo sobre a estruturação da Autoridade Nacional de Proteção de Dados (ANPD). Embora a autoridade já tenha sido criada, é necessária a assinatura de um decreto presidencial para indicação do corpo diretivo responsável pela fiscalização.
Vale destacar que o PL 1.179, aprovado pelo Congresso, trata apenas da prorrogação das sanções administrativas de competência da ANPD. Não impedindo, dessa forma, exercício de ações individuais e coletivas de consumo ou de natureza comercial, expressos nos termos do artigo 42 e seguintes.
Além disso, quando as sanções estiverem em vigor, também haverá a possibilidade de atuação ativa do Ministério Público, PROCON e outros órgãos que tenham competência para aplicar sanções administrativas com base no Código de Defesa do Consumidor ou outras normas específicas, nos termos do artigo 52, parágrafo 2º da LGPD.
Que fazer?
As empresas devem optar pela implementação de um programa de boas práticas que funcione como um caminho inicial para a adequação total à lei. O programa é um instrumento importante para que evitem ou reduzam eventuais multas. Além disso, o programa pode ser homologado junto à ANPD quando a entidade for, de fato, constituída.
As boas práticas funcionam não como um substituto do programa de compliance, mas como um direcionamento inicial de engajamento à lei, mostrando boa-fé por parte das empresas no cumprimento às novas exigências de privacidade de dados. O programa garante maior segurança jurídica diante da indefinição sobre a vigência da lei, da composição da ANPD e das regulamentações aos conceitos abertos da LGPD.
Associações setoriais podem contribuir com a criação de programas de boas práticas para ajudar seus associados na adaptação inicial à lei. A criação do sistema de boas práticas pode evitar a total imobilidade e exposição a multas. Os checklists produzidos pelas autoridades francesa e britânica podem servir de guias para empresas e associações começarem a adequação.
Redução da capacidade de investimento
Um levantamento feito pelo Bradesco e mencionado pelo Valor mostra uma queda brusca de anúncios de investimentos entre março e abril por conta da pandemia de covid-19. O IPEA aponta uma queda de 8,9% em março na comparação a fevereiro na formação bruta de capital fixo das empresas, o pior desempenho em 25 anos.
A queda vertiginosa da capacidade de investimento do setor privado diante da pandemia afeta diretamente a eficiência da implementação de novos processos e tecnologias para adequação à Lei Geral de Proteção de Dados (LGPD), que exige gastos importantes.
Os custos de implementação por unidade de negócio são difíceis de mensurar de antemão porque oscilam muito a depender do setor de atuação, da quantidade de dados capturados, entre outras variáveis. Mas uma matéria da Bloomberg de 2018 dá um panorama sobre a magnitude de gastos relacionados à implementação de programas de compliance em privacidade de dados. As 500 maiores empresas em operação na Europa gastaram, à época, 7,8 bilhões de dólares para adequação ao GDPR.
Vale ressaltar que a entrada em vigor da lei exige das empresas não apenas custos de implementação (CAPEX), mas também gastos com manutenção (OPEX). O investimento inicial é, portanto, apenas parte do que as empresas vão precisar destinar para cumprir as exigências da lei ao longo do tempo.
Diante da queda na capacidade de investimento e dos custos de implementação, o programa de boas práticas pode garantir a necessidade de "comprometimento" para implementação da lei, conforme artigo 50 da LGPD, sem onerar gravemente as empresas.
Criar um sistema prévio de adequação pautado em boas práticas significa, portanto, reduzir a insegurança jurídica ao menor custo possível.
_________
*Vitor Morais de Andrade é presidente do Instituto de Pesquisas e Estudos da Sociedade e Consumo – IPS; presidente da Associação Brasileira de Relações Empresa-Cliente – ABRAREC; coordenador Geral do Departamento Nacional de Proteção e Defesa do Consumidor do Ministério da Justiça – DPDC/SDE/MJ; co-coordenador do Curso de Extensão de Direito na Economia Digital – COGEAE/PUC-SP; representante da "Coalizão da Comunicação Social"; e sócio do escritório Morais Andrade Leandrin Molina Advogados.
*Lygia Molina é advogada atuante nas áreas de Direito Civil, Direito de Tecnologia e Proteção de Dados Pessoais. Mestre em Direitos Difusos e Coletivos pela PUC-SP e certificada em Privacidade e Proteção de Dados pela Exin para o GDPR (Foundation) e LGPD (Essentials). Sócia do escritório Morais Andrade Leandrin Molina Advogados.