A LGPD (Lei Geral de Proteção de Dados) finalmente passou a vigorar no Brasil e, com certeza, trata-se de um grande passo em prol de elevar a competitividade do Brasil frente aos mercados internacionais que já legislam sobre proteção de dados pessoais há bastante tempo.
No entanto, a expectativa do setor privado, sobretudo após uma vacatio legis tão extensa, era bem diferente do cenário que hoje se apresenta. Como se não bastasse o início da vigência da LGPD em meio à pandemia, a Lei não foi efetivamente regulamentada e sequer foi constituída a ANPD (Agência Nacional de Proteção de Dados), órgão definido como responsável pela fiscalização da LGPD.
Na verdade, além de fiscalizar o cumprimento da norma, a ANPD vem suprir inúmeras lacunas que o texto apresenta. Justamente por ser uma norma geral e abstrata, a LGPD prescinde de regulamentação em inúmeros pontos. Também cabe à ANPD a elaboração das diretrizes para a Política Nacional de Proteção da Dados e da Privacidade; os procedimentos de recebimento de reclamações ou denúncias, fiscalização e aplicação de sanções; a edição de procedimentos sobre relatórios de impacto, além da promoção de discussões com a sociedade civil e outras autoridades sobre o tema.
O fato de o Governo ter editado um Decreto que aprova a estrutura regimental da ANPD (Decreto 10.474, de 26 de agosto de 2020) em nada contribui se esta autoridade não se encontra, na prática, operacional.
A lógica que antecede uma lei que altera completamente o paradigma de coleta e armazenamento de dados de um país seria que as empresas fossem convidadas ao diálogo com a ANPD para balizar sua interpretação, contribuindo para a regulamentação.
Por meio de um engajamento construtivo entre Autoridade e iniciativa privada, o mercado seria mais bem educado para esta nova legislação e, certamente, ela seria encarada como uma agenda positiva. Infelizmente, isso são águas passadas. Com a lei vigorando e sem uma ANPD operando, o que prevalece no mercado é a insegurança jurídica.
Uma outra decorrência grave desse atraso para constituição da ANPD é a judicialização das demandas que poderiam e deveriam ser resolvidas extrajudicialmente.
O Judiciário, diga-se de passagem, já muito sobrecarregado e moroso, entra em cena para suprir a ausência de regulamentação da Lei, aplicando multas e impondo adequações às empresas. Foi o que vimos acontecer, recentemente, com a Cyrela, condenada a indenizar em R$ 10 mil reais um cliente por danos morais, por ter seus dados compartilhados sem autorização.
Na interpretação da magistrada, a construtora feriu preceitos como a honra e a privacidade do titular de dados, violando sua intimidade ao, não apenas repassar seus dados pessoais, mas também revelar detalhes sobre a compra do imóvel. A juíza cita ainda que o contrato entre as partes envolvia apenas a inclusão dos dados no Cadastro Positivo e no próprio banco de dados da empresa, sem que o cliente tenha sido informado sobre o repasse das informações a parceiros comerciais ou terceiros.
Certamente, casos como este serão recorrentes e as multas poderão advir não somente pela provocação do Judiciário pelos próprios titulares dos dados, mas também por outros órgãos, como Procons, MP, Senacons, deixando as empresas em situação de extrema vulnerabilidade em meio à uma crise econômica sem precedentes, na qual gastos são cortados e o plano financeiro é revisado diariamente em prol da manutenção da operação e empregos.
Importante lembrar que, embora essas multas já sejam uma realidade, o cenário iminente é ainda mais preocupante na medida em que a ANPD está legitimada a aplicar multa equivalente a até 2% da receita da empresa, com um limite máximo de R$ 50 milhões por uma infração. Além disso, pode haver multa diária por dano de imagem (publicização), com atenuantes de pronta adoção de medidas corretivas, mecanismos e procedimentos internos de proteção de dados, política de boas práticas e governança. Outra possível sanção é a suspensão das atividades da empresa, parcial ou totalmente.
Há poucos dias, tivemos a nomeação dos diretores da ANPD, como resposta à pressão do empresariado sobre a importância de acelerar o processo de sua criação. Como uma agência reguladora vinculada à presidência da república, a ANPD será liderada por Conselho Diretor composto pelo Diretor-Presidente, além das estruturas administrativas da chefia de gabinete, da Secretaria-Geral, da Assessoria Jurídica, da Ouvidoria e da Corregedoria.
O decreto determina a formação de 36 cargos na entidade, sendo 20 em funções comissionadas ligadas ao Poder Executivo e 16 em cargos de comissão remanejados. Contudo, a publicação do decreto não cria o órgão automaticamente. A organização do quadro de pessoal e as regras listadas no decreto só terão validade na data de nomeação do diretor-presidente da ANPD no Diário Oficial da União.
Enquanto este imbróglio legislativo se desenrola, é importante que as empresas reforcem suas políticas de compliance, incluindo este item de conformidade com a LGPD que consiste em um programa perene, alimentado continuamente e cujos processos sejam revistos e atualizados o tempo todo.
Para isso, é fundamental que as empresas passem a ter o controle do ciclo de vida de seus dados, fluxograma de uso e armazenamento, base legal, prazo de retenção, políticas de descarte. Enfim, todos os processos precisam estar criteriosamente mapeados de modo a atender eventual solicitação de titular de dado.
Os jurídicos e comitês das empresas que estão implementando a LGPD agora correm contra o tempo, buscando até mesmo aplicação análoga da GDPR europeia, a fim de suprir a ausência de diretrizes bem definidas assegurando a conformidade que a lei exige.
Não se trata de um processo rápido nem fácil, mas sair da inércia é medida obrigatória já que a LGPD deve ser observada de forma indistinta por todas as empresas que eventualmente tratem dados pessoais.