Aguarda a caneta presidencial para sanção a MP (869) que cria a ANPD - Autoridade Nacional de Dados. A entidade, prevista na LGPD – Lei Geral de Proteção de Dados, será responsável, entre outras atribuições, por fiscalizar a prática das regras da novel legislação, que entra em vigor em agosto de 2020.
O papel fiscalizatório, porém, pode se revelar mais hercúleo do que o esperado. Isso porque a LGPD já deu frutos em dispersas legislações país afora. Já no ano passado, a cidade de Vinhedo, no interior de SP, passou a contar com a LC 161, disciplinando a proteção de dados no município.
A LC regula formas de proteção de dados pessoais e institui órgãos para contribuir no controle desses dados, como a Ouvidoria de Proteção de Dados e o Conselho Municipal de Proteção de Dados Pessoais e da Privacidade. Trata-se da primeira cidade a sancionar legislação sobre o tema.
Na esteira, surgiram normas semelhantes em João Pessoa/PB (lei 13.697/19) e Cariacica/ES (lei 5.948/19) – esta última, já em vigor. Há ainda sete projetos de leis, nos Estados do RJ, CE e MS, e nos municípios de SP, Rio, Recife e Salvador.
Insegurança jurídica
“O ideal, tanto quanto se dá com outros direitos fundamentais e temas gerais relevantes, é que a União detenha a competência central legislativa.”
Negrão ressalta, por exemplo, o fato de que o do PL 41/19, em trâmite na Assembleia Legislativa do CE, prever a revisão, em quaisquer circunstâncias, das decisões automatizadas, ao passo que a lei Federal estabelece que a ANPD é que vai regular os casos em que deve ocorrer a revisão de decisões automatizadas.
“E não é só, há ainda outro conflito: A LGPD estabelece prazo de dois anos para entrar em vigor, enquanto no caso do PL do Ceará esse período é de três meses”, pontua.
“O risco de conflitos com a LGPD (Lei 13.709/2018) ou com normas similares de outros Municípios, por exemplo, é enorme. A LGPD já abrange todos os dados coletados e/ou operações de tratamento de dados realizadas em território nacional, bem como o tratamento de dados de indivíduos localizados em território nacional, ou que sirva para oferecer a esses indivíduos bens ou serviços.
Além disso, a LGPD tem capítulo específico sobre o tratamento de dados pelo Poder Público, no qual explicita sua aplicabilidade a todos entes da administração direta e indireta da União, dos Estados, dos Municípios e do Distrito Federal, inclusive suas Cortes de Contas, Ministérios Públicos e entidades privadas sem fins lucrativos que recebam recursos públicos. Logo, não são necessárias leis “locais” – estaduais ou municipais – para regular ou determinar a aplicabilidade da LGPD a entes públicos ou privados dessas esferas.”
Não à toa, a Febraban apoia a PEC 17/19, já aprovada na CCJ do Senado e que aguarda votação no plenário. A proposta acrescenta o inciso XII-A, ao art. 5º, e o inciso XXX, ao art. 22, da Constituição para incluir a proteção de dados pessoais entre os direitos fundamentais do cidadão e fixar a competência privativa da União para legislar sobre a matéria.
A PEC, explica o diretor jurídico da Febraban, propõe uma legislação uniforme quanto à proteção e tratamento de dados, “pois, caso contrário, pode -se correr o risco de, inclusive de forma inconstitucional, haver dezenas - talvez milhares - de conceitos legais sobre o que é "dado pessoal", “dado sensível” ou sobre quem são os "agentes de tratamento" sujeitos à norma legal”.
Tiago Monteiro pondera acerca da incoerência com a multiplicidade de normas: “Ora, se uma norma local tem redação idêntica à da LGPD, não existe motivo para sua criação. Se a redação é parecida, mas diferente (caso das normas municipais de Cariacica/ES e Vinhedo/SP, por exemplo), ela gera riscos: uma pequena diferença nas normas pode gerar divergências interpretativas e dúvidas quanto à aplicabilidade de uma ou outra norma (federal, estadual ou municipal), ou quanto à forma de aplicação.” Há, ainda, o risco de sobreposição, explica o advogado.
“O PL 598/18 de São Paulo (atualmente arquivado), por exemplo, previa sanção com teto diferente do previsto na LGPD. Assim, se transformado em lei projeto com tal teor, caso uma empresa sediada no Estado de São Paulo cometa uma infração à LGPD, surgirão diversos questionamentos: a empresa poderá sofrer duas sanções de multa pelo mesmo ato, uma pelo Estado e uma pela Autoridade Nacional de Proteção de Dados (ANPD) prevista na LGPD? Qual será o teto aplicável, o estadual ou o Federal? Se as descrições dos ilícitos forem diferentes, qual prevalece?”
Há ainda questionamentos acerca da própria competência ou alcance dos Estados e Municípios para legislar sobre sanções e aplicá-las, já que a própria LGPD prevê que as sanções serão de competência da ANPD. “Assim, embora as leis municipais (e as estaduais) possam, em tese, servir para complementar supostos pontos não abrangidos/especificados pela norma federal, ou aumentar a esfera de proteção, a realidade é que essas normas tendem a criar mais conflitos e problemas do que soluções”, diz Tiago.
Obstáculos
A adaptação a diferentes normas deve exigir, presumivelmente, uma dificuldade maior para as empresas. “A experiência mostra que a multiplicidade de competências é ineficaz, como no caso da segurança física das agências bancárias. Há uma infinidade de leis municipais e estaduais estabelecendo novos procedimentos, sendo que a atividade já segue a Lei Federal 7.102/83. A federalização é importante, entre outras razões, porque a racionalização no tratamento regulatório da atividade bancária facilita a padronização de produtos, serviços, rotinas e processos, e até mesmo de instalações e equipamentos”, assegura Antonio Negrão.
Tiago alerta que as empresas que tratem dados, nos termos da LGPD, terão, em primeiro lugar, que se manter atualizadas sobre a existência de tais normas locais, em âmbitos Estadual e municipal.
“Havendo normas locais – estaduais ou municipais – que tratem do tema, as empresas deverão, com auxílio de especialistas, comparar a(s) norma(s) local(is) com a LGPD e identificar, quanto às atividades da empresa, a existência de conflitos, divergências e sobreposições entre as normas aplicáveis, e com isso fazer a avaliação do risco existente, considerando, entre outras coisas: a possibilidade/probabilidade de cobrança de multas e/ou imposição de outras sanções não previstas na LGPD (inclusive em adição a estas), pelas mesmas razões ou por razões diversas das previstas na LGPD, bem como valor e risco decorrente das sanções para a atividade da empresa etc.”
O advogado analisa que, conforme o tipo e nível de risco gerado por tais normas, faz-se necessária uma avaliação: “A empresa poderá, conforme o caso, optar por manter-se inerte e acompanhar os questionamentos que surgirem, fazer questionamentos judiciais preventivos ou reativos, ou até mesmo, em casos extremos, optar por não instalar-se em (ou retirar-se de) local em que a legislação aplicável imponha risco considerável de sanções abusivas, tais como, hipoteticamente, multas muito elevadas (especialmente se aplicáveis em conjunto com as da LGPD) ou interdição/intervenção”.
“Apenas com a aprovação da PEC nº 17/19 [que prevê a legislação uniforme] o problema será definitivamente resolvido”, finaliza Antonio Carlos Negrão.