Antes de adentrar ao tema, é relevante explicar rapidamente acerca do contexto do surgimento da Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/18) [1]. Muitos podem estranhar o fato de uma lei, de 2018, ser aplicada apenas a partir do dia1 8 de setembro de 2020. O fato é que a LGPD não surgiu “do nada”, pois ela teve forte influência do direito comunitário europeu, especificamente, do GDPR (General Data Protection Regulation nº 679 de 2016) [2],que é a lei da União Europeia sobre proteção de dados pessoais.  

No continente europeu há um conjunto de países que fazem parte da União Europeia, a qual é formada por 27 Jurisdições. Essas, juntamente com outros três Países (Noruega, Islândia e Liechtenstein), compõem a European Economic Area – EEADessa forma, tendo em vista que a União Europeia já possui uma maior maturidade sobre privacidade e proteção de dados pessoais, o GDPR surgiu em 2016 – em substituição à Diretiva número 46 de 1995 – e, só a partir do dia 25 de maio de 2018, é que passou a ter aplicabilidade em todas essas Jurisdições. Esse período de 2 (dois) anos foi essencial para a preparação das mudanças nas empresas e órgãos públicos [3]. 

Em agosto de 2018, ou seja, 3 (três) meses após a eficácia plena do GDPR (25.5.2018), a LGPD foi promulgada. Mas, o fato de uma lei existir, não significa que ela já terá aplicabilidade. Verifica-se que o art. 65 da LGPD, possui 3 (três) marcos temporais diferentes, quais sejam:  

(i)  os artigos sobre a ANPD (Autoridade Nacional de Proteção de Dados), estão em vigor desde dezembro de 2018;

(ii)   os artigos referentes às sanções administrativas, estão em vigor desde o dia 1º de agosto de 2021 – sendo que estas ainda não podem ser aplicadas pela ANPD, pois ainda falta uma resolução da ANPD sobre as metodologias que orientarão o cálculo do valor-base das sanções de multa (art.53, LGPD); e,

(iii)  os demais artigos da LGPD estão em vigor desde o dia 18 de setembro de 2020 – com relação a esta data, que não consta expressamente na lei, na verdade, foi definida após um emocionante e inusitado processo legislativo ocorrido no primeiro semestre de 2020, no auge da pandemia do coronavírus. 

Apesar da LGPD ter sido construída em cima do texto do GDPR – que é uma lei com vários artigos e bem detalhada -, a LGPD é uma lei enxuta, com apenas 65 artigos e muitos assuntos dependem de regulamentação pela ANPD. Dessa forma, os profissionais que atuam na área devem sempre olhar para o cenário europeu, a fim de analisar o que aconteceu nas Jurisdições da União Europeia, ao aplicar determinado tema que ainda depende de regulamentação pela ANPD. Apesar de a Autoridade Nacional de Proteção de Dados estar em pleno vapor e com excelentes profissionais em sua composição, há muito trabalho a ser feito, como pode se verificar no disposto na Agenda Regulatória da ANPD para o biênio 2021-2022 (Portaria nº 11/2021), publicada no dia 28.1.2021 [4], cujos projetos de regulamentação receberam classificações de prioridades (fases 1, 2 e 3), bem como no Planejamento Estratégico 2021-2023. [5][6] 

Muitas organizações ainda desconhecem a existência da LGPD e, com relação às que possuem tal conhecimento, entendem que essa lei “não vai pegar” e que a sua implementação vai gerar elevados custos. Também há organizações que entendem que, pelo fato de apenas comercializarem os seus produtos com outras (outros CNPJs), não há tratamento de dados pessoais mas, acabam se esquecendo de que os representantes legais que atuam em nome de um CNPJ são pessoais físicas e, portanto, os seus dados pessoais precisam de proteção e a LGPD deverá ser observada. 

As organizações que enxergam a LGPD apenas como um custo e não um investimento e vantagem competitiva perante os demais concorrentes precisam, na verdade, estudar melhor o mercado.

Com isso, chegarão à conclusão que, além dos consumidores confiarem mais em organizações que estejam adequadas à LGPD e que adotam a privacidade e proteção de dados em suas atividades, estar em conformidade com a lei cada vez mais será um requisito para contratar fornecedores e firmar contratos com outras organizações, em decorrência da exigência do mercado. Dessa forma, quem não se adequar perderá muitas oportunidades. 

Na minha atuação profissional na área de proteção de dados, percebo a dificuldade que os colaboradores dos clientes possuem com relação a alguns conceitos da LGPD, como por exemplo, o significado de tratamento de dados e a diferença entre dados pessoais e dados pessoais sensíveis. Outros não dão a devida relevância e seriedade à LGPD, pois acham que a lei “não vai pegar” e que a adequação à lei é apenas mais uma burocracia a ser implementada internamente e que vai “atrapalhar” a rotina cotidiana. Verifica-se, portanto, que os maiores desafios ao projeto de adequação são a conscientização e a cultura da privacidade e da proteção de dados, por isso que é importante o engajamento dos membros da Alta Administração ao longo de todo o projeto de adequação, bem como investir em constantes treinamentos, pois o elo mais fraco são as pessoas.  

A LGPD está em vigor há 1 (um) ano e todos já perceberam os diversos ataques ransomware, os inúmeros incidentes de segurança nas organizações, a atuação dos órgãos de defesa ao consumidor na proteção de dados pessoais e as várias ações judiciais sobre o tema.  

No dia 31 de agosto de 2021, ocorreu a aprovação da PEC nº 17/2019 na Câmara dos Deputados e, com isso, o direito à proteção de dados pessoais está prestes a ser incluído no texto da Constituição Federal de 1988, no rol dos direitos e garantias fundamentais e também será matéria de competência legislativa da União Federal. [7] [8] 

No dia 16 de setembro de 2021, ocorreu a publicação da Resolução do Conselho Monetário Nacional nº 4.943[9], em que consta no art. 38-A, §2º, inciso X, que a proteção de dados está incluída no conceito ESG (sigla em inglês: Environmental, Social and corporate Governance), que significa boas práticas ambientais, sociais e de governança. Logo, em suma, consta no mencionado inciso X que a ocorrência de tratamento irregular, ilegal ou criminoso de dados pessoais é um exemplo de evento de risco social.  

Dessa forma, após um ano de vigência da lei, não restam dúvidas de que a Lei Geral de Proteção de Dados Pessoais “já pegou”. As organizações não devem pensar em se adequar à lei apenas com o intuito de evitar a aplicação das multas pois, na verdade, deveriam se preocupar com as suas reputações se porventura ocorrer um significante incidente de segurança, bem como com a posterior perda de credibilidade perante os seus clientes, titulares de dados pessoais.  

Por fim, diante de tudo o que foi dito, você ainda acha que a LGPD “não vai pegar”?

Referências

[1]BRASIL. Presidência da República. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 26 set. 2021. 

[2]REGULAMENTO(UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016.Jornal Oficial da União Europeia. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679. Acesso em: 27 set. 2021. 

[3] MAGRANI, Eduardo. Entre dados e robôs: ética e privacidade na era da hiperconectividade. 2. ed. Porto Alegre: Arquipélago Editorial, 2019. p. 103 

[4] BRASIL. Autoridade Nacional deProteção de Dados. Portaria nº 11 de 27 de janeiro de 2020. Disponível em: https://www.in.gov.br/en/web/dou/-/portaria-n-11-de-27-de-janeiro-de-2021-301143313.Acesso em: 26 set. 2021. 

[5] BRASIL. Autoridade Nacional de Proteção de Dados. Planejamento Estratégico 2021-2023. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/planejamento-estrategico/planejamento-estrategico-2021-2023.pdf. Acesso em: 27 set. 2021. 

[6] A título de informação, há vários materiais no site da ANPD que o profissional que atua na área precisa conhecer, como por exemplo, as cartilhas (fascículo sobre proteção de dados e vazamento de dados); guia orientativo para definições dos agentes de tratamento e do encarregado (que são orientações não vinculantes); comunicações de incidentes de segurança; esclarecimentos sobre a entrada em vigor das sanções administrativas; minuta de resolução sobre os agentes de tratamento de pequeno porte, dentre outros. Disponível em:  https://www.gov.br/anpd/pt-br.Acesso em: 27 set. 2021.

[7]A título de informação, no dia 12.11.20, ocorreu a publicação do acórdão do STF sobre o do famoso “Caso do IBGE” (MP nº 954/20), na ADI 6.367, em que reconheceu a existência de um direito fundamental autônomo à proteção dos dados pessoais, apesar de não constar expressamente na Constituição Federal de 1988. Disponível em:  https://redir.stf.jus.br/paginadorpub/paginador.jsp?docTP=TP&docID=754357629.Acesso em: 26 set. 2021.  

[8]Sobre o “Caso do IBGE” (MP nº 954/20), indico um breve artigo sobre o tema. RODRIGUES,Paula do Amaral Ferraz. LGPD e compartilhamento de dados: como isso funciona? Blog da Nextlaw Academy. Disponível em: https://www.nextlawacademy.com.br/blog/lgpd-e-compartilhamento-de-dados-como-isso-funciona.Acesso em: 27 set. 2021.  

[9]BRASIL. Conselho Monetário Nacional. Resolução CMN nº 4.943, de 15 de setembro de 2021.Publicação em 16.9.21. Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cmn-n-4.943-de-15-de-setembro-de-2021-345117078.Acesso em: 26 set. 2021.Paula do Amaral Ferraz Rodrigues

 _____________________________________________________________________________________________________________________________

Blog Post escrito por:Paula do Amaral Ferraz Rodrigues