A última semana foi um tanto agitada: Na terça-feira (25), a Câmara dos Deputados finalmente votou e aprovou a Medida Provisória 959/2020, texto que pretendia adiar a entrada da Lei Geral de Proteção de Dados (LGPD) para maio de 2021. Para a surpresa de muitos, a MP foi alterada propondo uma redução no adiamento, estabelecendo a vacatio legis para 31 de dezembro deste ano.

No dia seguinte (26), foi a vez do Senado apreciar o projeto, e, adivinhe: os senadores decidiram eliminar o artigo que tratava da LGPD. Com isso, a norma brasileira de proteção de dados deve entrar em vigor assim que a 959/2020 for sancionada ou vetada pelo presidente Jair Bolsonaro — independentemente de sua escolha, o regulamento entrará imediatamente em vigor.

As emoções não pararam por aí. Na quinta-feira (27), foi publicado no Diário Oficial da União o decreto que aborda a estrutura regimental da Autoridade Nacional de Proteção de Dados (ANPD), órgão que será responsável por garantir o cumprimento da lei. Mas, visto que as penalidades da LGPD só poderão ser aplicadas a partir de agosto de 2021, o que tudo isso significa na prática?

Essa movimentação política desenfreada causou um frenesi entre os internautas e certo desespero entre as empresas que ainda não se adequaram à norma. Ninguém sabe ao certo como serão os próximos meses depois que a lei finalmente entrar em vigor, após tantos meses de espera.

No intuito de esclarecer essas questões, conversamos com Adriano Mendes, do escritório Assis e Mendes, advogado com mais de dez anos de experiência em direito digital. Confira as explicações do especialista a respeito de três pontos-chaves a respeito do futuro da LGPD.

The Hack: com a recente aprovação da MP 959/2020, mas com veto do trecho que dizia respeito à LGPD, a lei passará a vigorar assim que a medida for sancionada ou vetada pela presidência. Porém, de qualquer maneira, as penalidades só poderão ser aplicadas a partir de agosto de 2020. O que podemos esperar da LGPD em vigência nesses primeiros meses? O consumidor final sentirá alguma diferença e poderá requisitar seus direitos?

Adriano Mendes: a Lei Geral de Proteção de Dados Pessoais do Brasil veio na esteira de regulamentações internacionais sobre privacidade. Outros 137 países já possuem leis, e as mais citadas a California Consumer Privacy Act (CCPA), da Califórnia, e a General Data Protection Regulation (GDPR), para toda a Europa.

Sabíamos que a LGPD teria alguns obstáculos na sua implementação, porque optamos por uma lei tão boa quanto a europeia mesmo não tendo as experiências anteriores e conceitos de privacidade que já fazem parte da cultura do continente.

A partir da sanção do Presidente Bolsonaro da Lei resultante da MPV 959, a LGPD passará a novamente valer, com efeitos imediatos para todos os artigos, exceto para possibilidade de aplicação das multas. A sanção do presidencial deve ocorrer até o dia 17 de setembro. A partir de então, todas os negócios e empresas, incluindo o governo e administração pública, deverão seguir os princípios, fundamentos e regras previstas na lei.

Dentre os pontos que geram efeitos imediatos estão os direitos dos titulares ao acesso, oposição/revogação ao tratamento de alguns tipos de tratamento, bem como as obrigações de transparência, eliminação de dados desnecessários e da aplicação do princípio do security and privacy by design.

As empresas também deverão colocar os usuários, consumidores e pessoas físicas de qualquer tipo como peça-chave na relação e interesses, sempre que houver coleta e tratamento de dados pessoais, ou dados pessoais sensíveis. Em casos de incidentes ou vazamentos, as empresas deverão passar a notificar os titulares sobre o ocorrido, além de implementarem procedimentos e técnicas de segurança que mitiguem os riscos do negócios.

Assim, mesmo ainda pendente de certas regulamentações que são o papel da ANPD, a partir de setembro, os titulares passarão a perceber que negócios de todos os tipos passarão a pedir novas autorizações para coisas atualmente triviais. Aplicativos instalados vão deixar claro que tipos permissões irão solicitar ou utilizar ao serem instalados nos celulares, empresas vão avisar como e para qual finalidade utilizarão os dados etc.

Embora não seja obrigatório ou sempre recomendável, sites que instalam cookies e captam informações de navegação poderão optar por instalar barras de notificações para conhecimento ou aceites, que chamadas de cookies consent ou cookies notice.

Mas o principal direito que passa a valer é a impossibilidade de negócios usarem os dados de pessoas físicas para outras finalidades que não previstas nas relações originais ou sem informação dos titulares. Por exemplo, um site de aplicativo de celular gratuito não poderá mais vender informações dos seus usuários para empresas do mercado financeiro sem que o conhecimento dos usuários que baixaram, por exemplo, um jogo de xadrez.

Um dos pontos críticos da LGPD é que, enquanto não houver a regulamentação de muitas questões ou a padronização pela ANPD de como fazer correto, cada empresa irá agir de uma forma e nada impede que todos as boas e más intenções geram reclamações nas redes sociais ou demandas nos órgãos de proteção e judiciário.

Além disso, lei sem sanção no Brasil não funciona e provavelmente muitos negócios irão preferir esperar mais para se adequarem. Não só pelo ausência de regulamentação, mas também pelos riscos de investirem mais do que o necessário ou verem que a LGPD pode ser algo como o eSocial, que não deu certo.

TH: Um dos principais argumentos contra a vigência imediata da LGPD é o de que as empresas não tiveram tempo hábil e nem recursos para se adequar à norma por conta da pandemia da COVID-19. Observando o mercado como um todo, qual é a sua opinião sobre essa afirmação?

Adriano: o real motivo pelo qual as empresas não seguiram com a adequação foi o governo não priorizar o assunto e passar a mensagem de que a LGPD poderia ser como eSocial ou outras iniciativas que geram custos e obrigações sem serem necessárias. A privacidade compensa, mas deve ser acompanhada da transparência e de um grande esforço das pessoas e pessoas para mapearem os dados pessoais.

Falar que a COVID-19 foi causa para a prorrogação da LGPD não é verdade. Se fosse, mesmo neste momento, a ANPD que já estava prevista no orçamento de 2020 já poderia ter sido constituída e estrutura. Além disso, o Governo Federal poderia ter tomado medidas para deixar de compartilhar nossos dados, enquanto cidadãos com empresas públicas ou privadas sem seguir os princípios e fundamentos da lei, ou mesmo conhecimento das pessoas envolvidas.

Dizem que Governo Federal parece analógico e não afeito às questões digitais e que pesou na decisão de não estruturar a ANPD alguns pontos como a incapacidade das empresas públicas se adequarem à lei e as eleições municipais que se aproximam e que, como no caso do Cambrige Analytica, impediria que candidatos usassem perfil do eleitorado para influenciar o resultado da talvez primeira eleição virtual que teremos.

Claro que há outros interesses políticos também, mas grande parte das empresas prefere ter uma lei de proteção de dados próxima ao do primeiro mundo para seguir um padrão do que deixar o Brasil à margem de negócios com países que exigem o mesmo nível de adequação à proteção de dados para oferecimento de produtos e serviços.

TH: a aprovação desta quarta-feira (26) pelo Senado também incentivou o governo a publicar a estruturação da ANPD, o que mostra que a autoridade vem sendo esboçada há tempos, mas teve seu desenvolvimento descongelado apenas agora que há necessidade imediata do órgão. Como você avalia o desenvolvimento da ANPD e a demora excessiva para sua fundação?

Adriano: a estrutura da ANPD está prevista na própria LGPD. Desde setembro de 2019 houvesse mencionar que o decreto já estava pronto aguardando detalhes e ajustes antes de sua promulgação.

Embora tenha sido publicado no dia 27, os principais pontos dele ainda não saíram do papel. Falta a indicação do presidente, dos cinco diretores da Autoridade, bem como a decisão sobre quais serão as entidades que vão compor a lista de membros do Conselho Nacional de Proteção de Dados (CNPD).

Pelo texto da lei, as indicações dos nomes para diretores da ANPD pelo presidente Bolsonaro deverão ser aceitas pelo Senado. Em outras palavras, quem decide na realidade quem irá exercer as funções não é o presidente, e sim os senadores. Por isso a queda de braço. Existem posições esperando desde outubro de 2019 para as sabatinas pelo Senado e este processo não deve ser rápido.

Em minha análise, depois da nomeação dos diretores, deverá ser necessário um prazo mínimo de três meses para que consigamos obter as confirmações do Senado, nomear os 23 membros do Conselho Nacional de Proteção de Dados e editar as primeiras instruções e regulamentação da ANPD.

É muito tempo para algo em que já estamos atrasados e que ainda pode mudar com a PEC 17/19, que pretende federalizar as demandas sobre proteção de dados e privacidade no Brasil e, de novo, pode implicar na alteração da estrutura da ANPD de órgão da administração direta para uma agência/autarquia autônoma e, por causa disto, implicar novamente na prorrogação da entrada em vigor da LGPD ou poderes da ANPD.