Lei que altera a proteção dos dados de todos os brasileiros entrou em vigor sem que houvesse orientação da Autoridade

Na última sexta-feira (18/9), a Lei Geral de Proteção de Dados (LGPD) passou a fazer parte do rol de responsabilidades legais que serviços públicos e privados são obrigados a cumprir no Brasil. Desde então, uma preocupação em torno da insegurança jurídica sobre a implementação dessa complexa legislação tem dominado os debates em diversos setores da economia brasileira.

Desde o início das discussões do que viria a ser a LGPD, lá nos idos de 2010, especialistas em segurança de dados dizem que as previsões da lei têm o potencial de transformar profundamente a cultura da sociedade acerca da coleta e do tratamento de informações privadas dos cidadãos. A legislação tende também a colocar o Brasil no mapa da economia digital mundial.

É natural que uma lei nova constituída por uma complexa rede de previsões legais como é o caso da LGPD suscite uma série de dúvidas para sua implementação. Por este motivo, a própria legislação estabeleceu a criação da Autoridade Nacional de Proteção de Dados (ANPD), que tem por função “zelar, implementar e fiscalizar” o cumprimento da LGPD em todo o território nacional.

Ficou ainda a cargo da autarquia regulamentar dezenas de artigos previstos na lei, além de elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, dentre outras responsabilidades.

O problema é que a LGPD entrou em vigor, mas, até agora, a ANPD só está estruturada no papel, por meio do Decreto Nº 10.474, de 26 de agosto de 2020.

Para que o órgão cumpra sua função, ainda é necessário que a Presidência da República indique os nomes dos cinco membros técnicos que irão compor o Conselho Diretor. Procurada pelo JOTA, a Presidência da República não informou qual é a previsão para a designação dos membros.

Após a escolha dos nomes, os indicados devem passar por uma sabatina no Senado Federal, que irá aprovar ou rejeitar os nomes. Só depois é que haverá efetivamente a posse dos membros da ANPD. Em seguida, a Autoridade também precisa criar um Conselho Nacional de Proteção de Dados Pessoais, um órgão consultivo que contará com a participação de vários setores da sociedade civil.

“A ANPD tem competências extremamente relevantes nessa legislação. O que acontece é que teremos a LGPD aplicada sem que haja a autoridade para regulamentar artigos da legislação que são subjetivos”, diz Thomaz Côrte Real, consultor jurídico da Associação Brasileira das Empresas de Software e um dos membros da Frente Empresarial em Defesa da LGPD e da Segurança Jurídica.

Especialistas em proteção de dados e advogados ouvidos pelo JOTA avaliam que há uma forte tendência de judicialização em relação a pontos específicos da legislação. A Lei 14.010/2020 estabeleceu que as sanções administrativas, previstas nos artigos 52, 53 e 54, como a aplicação de multa de até 2% do faturamento bruto da empresa, só entrarão em vigor a partir de agosto de 2021.

Nada impede, contudo, que outros questionamentos sobre a aplicação da LGPD sejam ajuizados por Ministérios Públicos, Procons, Secretaria Nacional de Defesa do Consumidor e até mesmo pelos próprios detentores dos dados, via ação judicial.

“Como a ANPD tem função orientativa e educativa, seria importante que ela construísse junto com setores da economia como a legislação vai funcionar. Sem a autoridade, os principais efeitos podem ser um aumento da insegurança jurídica, ao mesmo tempo em que gera um potencial de judicialização, já que a Constituição Federal dispõe que não se pode excluir da apreciação do Poder Judiciário lesão ou ameaça a direito”, diz Marcela Mattiuzzo, sócia responsável pela área de proteção de dados no escritório VMCA.

E essa movimentação já começou. Na segunda-feira (21/9), foi ajuizado no Tribunal de Justiça de Pernambuco um procedimento comum cível (nº 0060336-35.2020.8.17.2001) contra um consórcio de transportes de passageiros de Recife por violação aos princípios de proteção de dados. A ação questiona a legalidade de um procedimento adotado no transporte público da capital pernambucana de implementar um sistema de biometria facial nos ônibus, com a intenção de evitar fraudes e o uso indevido de cartões de passagem por terceiros.

Na peça, o advogado, que representa um estudante, diz que ele foi impedido de ter acesso ao benefício da meia-passagem por não ter concordado em registrar sua biometria facial. Segundo a defesa, o demandante questionou uma atendente da empresa sobre a política de privacidade e de tratamento dos dados pessoais. O funcionário, contudo, alegou que não tinha acesso a tais documentos.

“No caso relatado, a biometria facial do autor trata de dados sensíveis (art. 5º, II da LGPD), de tal modo que para o tratamento deste dados devem ser observados os princípios destacados no art. 6º e a Seção II (arts. 11 a 13) da supracitada lei”, escreveu o advogado na petição.

O artigo 6º em questão trata dos princípios no tratamento de dados, que devem respeitar finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilzação e prestação de contas. Já a seção II citada determina a forma como dados sensíveis devem ser coletados e tratados.

Na mesma segunda-feira (21/9), o Ministério Público do Distrito Federal e Territórios (MPDFT) também entrou com uma Ação Civil Pública contra uma empresa que comercializa indevidamente dados pessoais de brasileiros. A petição, assinada pelo Promotor de Justiça e coordenador da Unidade Especial de Proteção de Dados e Inteligência Artificial, Frederico Meinberg, também cita previsões da LGPD e do Código de Defesa do Consumidor para solicitar a exclusão dos dados. (Leia a íntegra)

Na peça, Meinberg alega que a ação tem um formato preparatório de uma futura ação civil pública por reparação de danos coletivos. Na terça-feira (22/9), contudo, o juiz Wagner Pessoa Vieira, da 5ª Vara Cível de Brasília, negou a ação protocolada pelo MPDFT alegando que o domínio em específico consta como em “manutenção”. (Leia a decisão judicial na íntegra)

“Esse fato, provavelmente, decorre da circunstância de que, com o recente início de vigência da Lei 13.709/18, ocorrido em 18/09/2020 (sexta-feira passada), os responsáveis pelo sobredito sítio devem estar buscando adequar os seus serviços às normas jurídicas de proteção de dados pessoais”, escreveu o magistrado.

Também na terça-feira (22/9), o Ministério Público Federal instaurou um procedimento administrativo para acompanhamento informacional da legalidade, regularidade e conformidade na aplicação da LGPD em relação às empresas que atuam na mineração de dados e no fornecimento de inteligência mercadológica. (Acesse a portaria na íntegra).

“Historicamente, os órgãos de proteção e defesa do consumidor já eram atuantes em relação à proteção de dados, antes mesmo da vigência da LGPD, mas usavam como base o Código de Defesa do Consumidor e o Marco Civil da Internet. Agora, com a vigência da lei de proteção de dados, essa atuação tende ser mais intensa”, diz Roberta Feiten, sócia das áreas de direito do consumidor e proteção de dados pessoais do Souto Correa Advogados.

Sem ANPD: pontos críticos

A LGPD é composta por 58 artigos que deliberam sobre o tema de proteção de dados. Apesar de ainda não haver um consenso sobre a quantidade exata de disposições que a ANPD precisará fazer, há alguns temas que são mais urgentes de regulamentação, segundo afirmam os advogados e especialistas ao JOTA.

Um deles, por exemplo, é determinar quais serão as empresas que terão autorização para dispensar a chamada “figura do encarregado”, como consta na legislação. Esse cargo consiste em fazer a ponte entre empresa e consumidor, ANPD e outros envolvidos na legislação. Provavelmente, empresas de pequeno porte não precisarão designar alguém para esta função, mas, sem a ANPD atuante, ainda não é possível ter certeza.

A lei estabelece, ainda, a necessidade de adoção de “padrões de segurança da informação”, mas não delimita qual será o entendimento acerca desta previsão. Outro ponto delicado envolve a transição das chamadas “bases de dados legadas”, que são as informações que as empresas detêm anteriores à vigência da LGPD e, segundo o texto da legislação, dependem de regulamentação por parte da ANPD.

As bases legais da LGPD, que irão legitimar a coleta e o tratamento dos dados pelas empresas — como, por exemplo, o princípio do legítimo interesse — também seguem como conceitos em abertos. “O legítimo interesse é uma base legal de suma importância e é necessário que haja uma nota técnica da ANPD delimitando o que isso significa na prática”, diz Laura Schertel Mendes, professora da UNB e diretora do Centro de Direito, Internet e Sociedade do IDP.

Segundo ela, a ANPD precisa se manifestar com urgência sobre o Artigo 49 da LGPD, que determina que os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança.

“Mas que tipo de requisitos são esses? Como as empresas podem ser proativas desde a concepção do projeto de proteção de dados, sem esclarecer esses pontos?”, afirma Mendes.

Na sua avaliação, o risco é que, sem a ANPD, os questionamentos cheguem no Judiciário de forma desestruturada. “Se a Autoridade estivesse ativa, as demandas iam chegar, mas haveria já uma posição clara sobre o entendimento da legislação. Ao contrário, devemos observar diversas decisões judiciais, que defendem argumentos muito diferentes. É como se a lei ainda precisasse ser concretizada”, avalia.

O fato de a legislação se aplicar para toda a economia brasileira traz também o desafio de aplicação para cada setor de atividade, segundo Renato Leite Monteiro, diretor do Data Privacy Brasil. Para o especialista, o melhor caminho seria que os “diferentes setores elaborassem códigos de conduta com base em interpretações da lei, mas levando em conta as particularidades de cada atividade”. “Isso poderia ser levado à ANPD para validação”, diz Monteiro.

Reivindicações

Com as incertezas jurídicas em torno da LGPD, um grupo de empresários reuniu 70 associações de diversos setores da sociedade para criar a Frente Empresarial em Defesa da LGPD e da Segurança Jurídica.

Ao longo das últimas semanas, eles têm feito interlocuções com o governo e com o Congresso Nacional para dar mais celeridade ao processo de desenvolvimento da ANPD. Dentre as reivindicações estão que a escolha dos nomes para compor a Autoridade seja baseada em critérios técnicos, além disso pede que o órgão entre em vigor o mais rápido possível.

“A União Europeia tem cerca de 40 anos de tradição de lei de proteção de dados pessoais e mesmo assim houve um período de dois anos para implementação. Aqui no Brasil temos zero tradição de privacidade e a lei entra em vigor antes da criação da autoridade. O cenário é preocupante, porque boa parte dos trabalhos de adequação atuais tem sido feitos a partir do que se acha que vai ser a futura regulamentação”, diz o cientista político Andriei Gutierrez, um dos membros da frente empresarial.

Fonte: Jota