Lei Geral de Proteção de Dados: do caos em 2021 à calmaria em 2022?
O período de adequação de um país a uma nova regulamentação sempre é encarado com receio, não sendo diferente com a LGPD, sobretudo considerando o contexto sociopolítico que marca a época de seu projeto e vigência em nossa nação.
segunda-feira, 3 de janeiro de 2022
Atualizado às 11:59
É indiscutível que a lei Geral de Proteção de Dados brasileira carrega consigo um histórico peculiar e em muito responsável pelo cenário de incertezas que a transpassou. Aprovada em 2018, a LGPD passou a viger apenas em 2020 por força da Medida Provisória 869/19 promulgada pelo então presidente Michel Temer.
A LGPD completa, ao final de 2021, três anos e alguns meses de existência, sendo nítido como, ao longo desse tempo, passamos por diferentes períodos.
Períodos de dúvida (e porque não dizer até mesmo descrença) quanto à aplicabilidade de seus conceitos e, de igual maneira, da própria lei. A esse teor não raro foram os questionamentos de se a LGPD iria realmente "pegar".
Períodos de desalento, nomeadamente quanto à demora - ou inércia - na criação da Autoridade Nacional de Proteção de Dados, órgão o qual, simbólica e concretamente, deveria auxiliar na efetivação dos conceitos delineados na Legislação e auxiliar os agentes de tratamento de dados em sua aplicabilidade.
Períodos de terrorismo, permeados por discursos de profissionais com o exclusivo objetivo de "vender" programas de conformidade, alardeando multas que poderiam chegar a R$ 50 milhões e profetizando uma desenfreada massificação de ações ligadas ao tema da privacidade e proteção de dados.
Períodos de insegurança e incerteza, no que tange à interpretação, pelo poder judiciário, sobre os conceitos extraídos da LGPD. Nessa seara, interessante observar que nas decisões que primeiro encabeçaram a aplicação da nova lei foram utilizados conceitos como dano moral in re ipsa (ou dano moral presumido), responsabilidade objetiva e inversão do ônus da prova.
Entendimentos e conceitos esses que, se aplicados de maneira direta e indistinta, poderiam levar ao abarrotamento do judiciário com demandas referentes ao tema da privacidade, não diferentemente do que já vimos ocorrer com outros temas afetos, por exemplo, ao Direito do Consumidor.
Durante todo esse tempo e diante dos imbróglios acima relatados, foram inúmeras as inseguranças - jurídicas e não jurídicas - que permearam a mente dos que estão à frente do movimento de corporificação da lei.
Primeiramente, aqueles que trabalham com o tema (profissionais do Direito, compliance, segurança da informação) que, com pouquíssima - ou nenhuma - orientação por parte da ANPD tiveram de se valer de estudos de jurisprudência comparada, normativas europeias, frameworks internacionais de privacidade e proteção de dados e verdadeiras conjecturas sobre a aplicabilidade de referidos conceitos para formatação de metodologias de implementação de programas de conformidade aderentes à lei Geral de Proteção de Dados Brasileira.
Em segundo lugar, das empresas e empresários e, numa visão mais técnica, controladores e operadores de dados pessoais, os quais são os verdadeiros responsáveis pela aplicação da lei e adequação processos e procedimentos internos das organizações de maneira a torná-las aderentes à legislação.
Nessa seara, além das dúvidas gerais sobre a aplicabilidade da lei e a maneira de condução do programa de conformidade, pairava, ainda, a dificuldade de conduzir programas de adequação no caótico momento de pandemia da Covid-19, no qual houve alterações abruptas na condução dos processos internos de empresas, sobremaneira naquelas que se viram obrigadas a adotar regime de home office.
Para além da referida dificuldade operacional, soma-se o fato de que a própria pandemia gerou consequências nefastas para inúmeras empresas que, do ponto de vista financeiro, se viram com pouco ou nenhum recurso para investir em programas de adequação, consideravelmente complexos e bastante dispendiosos.
Ainda considerando a perspectiva do empresário, é fundamental destacar a dificuldade de adaptação das empresas de pequeno ou médio porte, mormente considerando a complexidade dos conceitos e obrigações trazidas pela LGPD. Nesse quadro, transpassar os conceitos e obrigações insertos na nova legislação, tanto do ponto de vista jurídico, quanto de segurança da informação, para empresas com nível de maturidade mínimo ou muito incipiente, mostra-se, até hoje um enorme desafio.
Em terceiro lugar, o titular de dados, ainda pouco sensibilizado acerca do tema, buscando, a duras penas, entender a sistemática dessa massiva coleta de dados na sociedade informacional em que vivemos, bem como as efetivas consequências dessa prática na esfera de sua intimidade e vida privada.
Ainda hoje, mais de três anos após a promulgação da lei, não é raro que titulares de dados pessoais a entendam apenas como mecanismo para evitar ou impedir contatos comerciais indesejados ou o mero compartilhamento desenfreado de seus dados, o que, em que pese não ser um conceito equivocado, mostra-se muito aquém do verdadeiro objetivo e potencial da lei.
Esse cenário de caos que, infelizmente, marcou as discussões da lei Geral de Proteção de Dados em 2021 levanta o questionamento: o que esperar da LGPD em 2022?
Em relação à ANPD, o Planejamento Estratégico 2021/2023 propõe como objetivo prioritário o fortalecimento da cultura de proteção de dados por meio da educação, citando como estratégias vinculadas a esse objetivo a promoção de eventos de capacitação, oficinas, promoção do diálogo, elaboração de guias e recomendações, entre outros.
Parece-nos, portanto, que apesar dos desafios que envolvem a estruturação da Autoridade, referida proposta, enquanto posicionamento institucional e compromissório aparenta ser um excelente indicador.
A seu turno, no que concerne ao Judiciário brasileiro, algumas das primeiras decisões sobre o tema reconheceram a existência de dano moral in re ipsa (ou seja, dano moral presumido e independente de comprovação) pelo tratamento indevido de dados pessoais.
No entanto, parece-nos que, nas mais recentes decisões, a concepção inicial de que apenas o consentimento legitima o tratamento de dados, bem como que o mero compartilhamento indevido (sem comprovação do efetivo abalo moral) incorre em condenação por dano moral, tem sido cada vez menos adotada, privilegiando-se uma interpretação da legislação muito mais consentânea com seus reais objetivos e propósitos.
Claramente, o período de adequação de um país a uma nova regulamentação sempre é encarado com receio, não sendo diferente com a LGPD, sobretudo considerando o contexto sociopolítico que marca a época de seu projeto e vigência em nossa nação.
Da seara privada à pública, a responsabilidade intrínseca ao tratamento de dados pessoais precisou, e ainda precisa, ser reafirmada, e o intento ambicioso da lei a converteu, aos olhos brasileiros, em sinônimo de reestruturação, sanções, desafios e gastos exacerbados.
Esperamos, porém, que as inseguranças progressivamente se esvaneçam, dando, em 2022, lugar e oportunidade aos objetivos que primeiro moldaram a nova norma: a autodeterminação informacional em convergência ao crescimento organizacional das instituições, a efetiva criação de uma cultura protetiva amparada por um judiciário ponderado, e a visualização do Brasil enquanto nação consciente e a par do desenvolvimento internacional garantista.
Natália Brotto
Advogada, mestre em Direito dos Negócios pela Escola de Direito de São Paulo da Fundação Getúlio Vargas - FGV.