O PL 500/21 e seus reflexos na cultura de proteção de dados
As tentativas de postergar as multas pecuniárias previstas na LGPD não param e, diante disso, é necessária uma reflexão histórica-legislativa para compreender quais os impactos dessas medidas.
quarta-feira, 10 de março de 2021
Atualizado às 12:44
Como o velho ditado não mente, nós sabemos que "O Brasil não é para amadores". Dito isso, seria até um pouco incoerente da nossa parte nos surpreender com a mais nova peripécia invocada em nosso Congresso Nacional.
No último 19 de fevereiro, foi apresentado pelo PDT/CE, por iniciativa do deputado federal Eduardo Bismarck, o PL 500/21. Em linhas gerais, a ementa do PL assim o descreve:
Altera o art. 65 da Lei nº 13.709, de 14 de agosto de 2018, para determinar a postergação, até o dia 1º de janeiro de 2022, das multas administrativas pecuniárias previstas na LGPD.
Já não bastasse as tão numerosas incertezas ante a vigência da LGPD que vivemos em 2020, ao que parece poderemos vivenciar a mesma situação quanto à vigência das multas previstas na referida lei.
É de conhecimento geral que, em 18/9/20, a LGPD, enfim, entrou em vigor, ressalvadas as sanções administrativas (arts. 52, 53 e 54), as quais, supostamente, devem começar a valer em 1 de agosto de 2021.
Evidentemente, não é como se pudéssemos confiar nas normas já debatidas e decididas, já que não é novidade - seja por meio de lobby empresarial ou só pela mera intenção de frear o desenvolvimento econômico e tecnológico - que o Congresso Nacional e o Poder Executivo acabam por ceder às investidas que vão de encontro a qualquer orientação técnica e/ou jurídica emitidas.
Ao se analisar o PL em tela, constata-se que a sua justificativa é tão rasa e insustentável quanto aquela famosa afirmação: "A LGPD não vai pegar". A bem da verdade, o Deputado tenta justificar a ausência de mobilidade e iniciativa das empresas desde 2018 (quando, após muitas discussões, a LGPD foi sancionada) sob o argumento da pandemia do Covid-19 que nos assola desde março de 2020.
O PL, então, assim discorre: "Não podemos esperar, portanto, que já em agosto de 2021, todas as empresas que trabalham com tratamento de dados tenham conseguido se adaptar à normativas previstas na Lei Geral de Proteção de Dados, posto que não dispõem sequer de condições econômicas para se sustentarem abertas em meio a esse caótico cenário de crise mundial."
Até seria cômico se não fosse trágico (e como é trágico!), pensar que, após quase 3 anos da sanção da LGPD - em 1 de agosto de 2021 -, não poderíamos esperar que as empresas tivessem se mobilizado para buscar soluções de adequação à legislação protetiva de dados. Parece que estamos falando de um prazo de 5 dias úteis!
Mas, muito pelo contrário, o prazo para adequação à LGPD (vacatio legis) foi suficiente e, mais que isso, não partiu de uma simples ideia criada sob a ótica individual da sanção presidencial à época, mas sim baseada no que ocorreu com a nossa maior referência mundial no assunto: a GDPR (General Data Protection Regulation).
A GDPR foi aprovada em 15/4/16 e, após um período de transição de dois anos, entrou em vigor em 25/5/18. Cabe ressaltar que a GDPR revogou a Diretiva de Proteção de Dados Pessoais de 1995 (95/46/CE) e, como se trata de um Regulamento, não foi necessário que os estados-membro da União Europeia aprovassem a legislação adicional, tendo entrado em vigor de forma vinculativa com a obrigatoriedade de ser seguido pelos países da UE, tal qual fosse uma lei nacional.
Por óbvio, foge do escopo deste artigo tentar criar falsa simetria quanto à cultura de proteção de dados na Europa e a cultura de proteção de dados no Brasil, até porque, a primeira é fática e latente desde os meados do século XX, ao passo que, aqui, no país tropical, o nosso caminho ainda é longo e estamos apenas engatinhando.
De todo modo, a referência é válida e importante. Assim, conclui-se que o prazo de 2 anos e 1 mês (15/8/18 a 18/9/20) para a adequação a uma lei do porte da LGPD foi - ou deveria ter sido - mais do que suficiente. O prazo de quase 3 anos, então, é mais que isso, pode até ser considerado uma afronta a nossa capacidade de estar em conformidade com as maiores potências mundiais.
Nas conclusões do PL, por fim, nos deparamos com o que se segue:
[...] Nesse sentido, considerando os desafios técnicos e financeiros a serem enfrentados pelas empresas no processo de adaptação à LGPD e tendo em conta a impossibilidade de, nesse contexto, arcarem com as multas previstas na lei, que podem chegar a até R$ 50.000.000,00, entendemos ser imprescindível que as multa administrativas pecuniárias, previstas nos incisos II e III do art. 52 e nos artigos 53 e 54, tenham sua vigência postergada por mais quatro meses, de modo a não onerar as empresas em face das enormes dificuldades advindas da pandemia.
Isso reflete uma ideia que não deve ser tolerada, aquela de que as empresas apenas irão se preocupar com a cultura interna de proteção de dados no momento em que o financeiro começar a ser impactado.
A cultura da privacidade e proteção de dados - no mundo atual, na 4ª Revolução Industrial que ora vivemos - é algo a ser implementada desde a concepção de uma organização. Quer dizer, a empresa, como centro de custódia dos dados de titulares, não deve tratar com lisura cada operação de tratamento destes dados apenas pelo receio de multas pecuniárias (ou mesmo administrativas), mas sim por compreender a extensão da relevância de uma conduta ímpar nesse âmbito, não só a título nacional, como também global.
Por esses argumentos, não há conclusão plausível a não ser a que refuta por completo a essa mais nova tentativa de postergar as sanções pecuniárias da LGPD, já que isso vai completamente de encontro com as nossas expectativas de nos equiparar aos países que ditam a cultura protetiva de dados ao redor do mundo.
O ideal, portanto, é que esse tipo de Projetos Lei siga o caminho inverso do esperado e que o Congresso Nacional, em conjunto com o Executivo, possam compreender que o melhor caminho para a sedimentação da LGPD é caminhar com a sociedade civil em prol de uma implementação cultural quanto ao zelo aos dados pessoais em todos os níveis, seja no aspecto econômico, tecnológico, industrial, seja no âmbito das micros, pequenas e médias empresas. A realidade é uma só: a LGPD é um marco em nossa legislação federal e de agora em diante não há passo para trás, o objetivo é vislumbrar o horizonte e apenas lá chegar.
Ana Carolina Teles Maciel
Advogada da equipe de Privacidade e Proteção de Dados do Assis e Mendes. Bacharel em Direito pela Universidade de Itaúna (UI) e Pós-Graduada em Direito Processual Civil pela PUC/MG. Especialista em Proteção de Dados (teoria e prática) pelo Data Privacy Brasil (DPB) e em Lei Geral de Proteção de Dados (LGPD) pelo Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS/Rio). Além disso, tem especialização em Direito Digital, Proteção de Dados e Compliance pela Escola Superior de Advocacia de São Paulo (ESAOAB/SP).