Neste 2º texto sobre a Lei Geral de Proteção de Dados (LGPD) apresentamos nuances e desafios jurídicos que a nova lei oferece. Peculiaridades que deverão ser levadas em conta pelos responsáveis pela implantação na instituição. E, principalmente, argumentos para a formação multidisciplinar das equipes de implantação.

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) entrará em vigor em agosto de 2020. Ela está, portanto, em vacatio legis, prazo entre a publicação e a entrada em vigor de uma lei. De início, já se percebe uma curiosidade: a lei foi modificada, pela Lei 13.853/2019, antes mesmo de sua entrada em vigor. Isso denota a instabilidade política que cercou a gênese da LGPD (Transição Dilma/Temer/Bolsonaro) assim como todas as nuances que o tema por si despertou.

A legislação de proteção de dados pessoais não representa, contudo, inovação brasileira no cenário internacional. A matéria já se encontra regulamentada na União Europeia e também em países como Estados Unidos, Argentina e Uruguai.

A LGPD é uma lei que apresenta, em seu conteúdo, a proteção de dados pessoais que são (serão) utilizados pelas organizações públicas e privadas. Objetivo nobre, deve-se destacar. Não é de hoje que se tem notícia de comercialização e desvios de dados de consumidores para diversas finalidades, desde prospecção de clientes até realização de fraudes.

Por certo, escândalos como o envolvimento do Facebook no caso da Cambridge Analytica e o impacto que isso trouxe à eleição de Donald Trump em 2016 fizeram a relevância do assunto emergir.

1. Abrangência da Lei Geral de Proteção de Dados

A abrangência da Lei 13.709/2018: ela diz respeito a organizações públicas e privadas. Isso por si só já seria suficiente para trazer uma série de dificuldades. Toda estruturação e princípios que direcionam os dois setores são distintos. A forma de se responsabilizar (e cobrar) as organizações públicas e privadas, por exemplo, são diferentes (títulos executivos/precatórios), e a LGPD não as diferencia. Certamente, dificuldades práticas virão por tratar organizações distintas em sua essência, de forma igual.

2. Consentimento Prévio

Já o artigo 7º da LGPD fala das hipóteses em que o tratamento das informações pode acontecer, o que seria precedido de autorização da pessoa envolvida: o tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I – mediante o fornecimento de consentimento pelo titular. Nesse consentimento se vê a possibilidade de ocorrência de uma brecha para eventual usurpação.

Isso porque é situação corriqueira não se prestar atenção ou mesmo não se considerar relevantes aqueles contratos com letras de dimensões reduzidas que poucos (bem poucos!) se dedicam a ler antes de realizar o download de um software ou aplicativo.

Esse procedimento de consentimento prévio deve ser criado pelas instituições. Talvez fazer constar nos contratos uma autorização para usos diversos das informações coletadas. Ou, simplesmente, disponibilizar aquelas caixas de marcação para aceite das condições de contratação através de mero clique em uma caixa de diálogo disponível. No entanto, trata-se de um artifício polêmico, pois o usuário frequentemente não observa as condições contidas.

3. Sanções previstas na Lei Geral de Proteção de Dados

Outro ponto a ser destacado é a respeito das sanções possíveis aos agentes que cometerem infrações às diretrizes da LGPD. O artigo 52 diz que os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

I – advertência, com indicação de prazo para adoção de medidas corretivas;

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

Vê-se, pois, que se pode atingir o valor extraordinário pela infração a esta lei, o que pode levar organizações à bancarrota. Os parâmetros da lei se revelam desconexos com o ordenamento jurídico como um todo. E observe ainda que o parâmetro para aplicação da multa é ‘por infração’ o que abre a possibilidade que seja cumulativa.

4. Autoridade Nacional de Proteção de Dados – Polêmica

Também devemos refletir: autarquia sem receita?

O artigo 55-A informa que não haverá aumento de despesa para o atendimento da Autoridade Nacional de Proteção de Dados (ANPD).

É claro, o momento é de contenção financeira e qualquer economia de verba pública não é nada desprezível. Porém, como criar autarquia com tamanha dimensão e competência sem que para tal haja o aumento de despesa pública?

Uma vez que todas as instituições que tratem dados necessitarão em alguma medida de suporte ou esclarecimentos por parte da ANPD, uma autarquia com recursos limitados pode causar gargalos relevantes ao processo.

Concluindo

Percebe-se, por fim, que os desafios jurídicos, para sua solução, deverão estar alinhados com os desafios tecnológicos e administrativos internos que a instituição deverá enfrentar. Isso deixa claro o caráter multidisciplinar que as equipes deverão ter.

Por derradeiro, deve-se dizer que a Lei Geral de Proteção de Dados traduz uma nobre intenção de se proteger o consumidor de diversas formas de abuso a que possa ser vitimado. Não se trata de lei de difícil compreensão, porém o é de difícil aplicação.