A Lei Geral de Proteção de Dados brasileira (LGPD), como amplamente sabido, trata da salvaguarda de informações que identifiquem, ou possam identificar, uma pessoa física. São considerados dados pessoais, por exemplo, número de RG, CPF, CNH, Carteira de Trabalho, passaporte, título de eleitor, endereço residencial ou comercial, telefone, e-mail, cookies, endereço IP, fotos, imagens de câmeras de segurança, impressões digitais, placa do carro. Não está no escopo dessa lei a proteção dos dados das pessoas jurídicas, do segredo comercial e da concorrência desleal, que contam com outros dispositivos legais para sua regulamentação.
Na parte referente às obrigações para as pessoas físicas e jurídicas, a LGPD deve entrar em vigor neste ano, no dia 16 de agosto de 2020. Embora o assunto esteja cada dia em mais evidência, as incertezas quanto à lei não são poucas. Isso tem levado, de uma forma resumida, a duas reações bastantes comuns nas empresas, conforme estamos observando na nossa prática profissional. No primeiro grupo, há empresas que se relacionam com outras empresas ou investidores de países estrangeiros, ou que simplesmente estão preocupadas em adotar medidas para entrarem em conformidade com a LGPD. No outro grupo, estão as empresas que ainda não se mostram suficientemente preocupadas, por entenderem que esse negócio de dados não é lá tão importante para suas atividades, impactando “somente” no setor de Recursos Humanos, ou mesmo porque duvidam que haverá uma efetiva fiscalização sobre proteção de dados. Neste segundo grupo ainda se incluem os que apostam e torcem para que a vigência da lei seja adiada.
Embora quase dois anos tenham decorrido desde a publicação da norma[1] brasileira sobre privacidade de dados, pesquisas recentes indicam que muitas empresas não se dizem preparadas para lei[2]. Tal cenário não pode ser atribuído somente a um suposto descaso das empresas e neste artigo trazemos algumas razões pelas quais esse assunto deveria ter o envolvimento dos órgãos de decisão das empresas, para um endereçamento adequado e oportuno.
#1 Não importa muito a data em que a LGPD vai entrar em vigor
A primeira incerteza que ronda a LGPD diz respeito à data de sua entrada em vigor.
Esclarece-se que LGPD dividiu sua eficácia em dois blocos. A parte que estabelece obrigações à Administração Pública para operacionalizar a lei está em vigor desde 28 de dezembro de 2018[3]. Isto significa que estão vigentes as regras a respeito do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPDP), órgão de papel consultivo, bem como a ANPD (Autoridade Nacional de Proteção de Dados), órgão diretivo e com competência fiscalizatória, vinculado à administração pública federal, integrante da Presidência da República[4].
Já para o bloco de artigos que tratam das obrigações relacionadas às pessoas físicas e jurídicas[5], a redação original da lei previu o prazo de 24 meses, contados da publicação da Lei nº 13.709/2018, para entrada em vigor.
Vinte e quatro meses contados da publicação da LGPD indicam o dia 16 de agosto de 2020. É com esta data que estamos trabalhando como meta para adequação dos processos de tratamento de dados. No entanto, é preciso mencionar que dois elementos de incerteza pairam no ar. O primeiro versa uma questão jurídica, a qual parte do ponto em que, por terem havido modificações no texto original da lei, o prazo de 24 meses deveria ser contado a partir de 28 de dezembro de 2018 (data de publicação da MP nº 869/2018, que deu nova redação ao artigo 65 da LGDP). Segundo esse entendimento, a LGPD entraria em vigor em 29 de dezembro de 2020[6]. O segundo elemento de incerteza quanto à entrada em vigor da LGPD é eminentemente político e refere-se ao Projeto de Lei 5762/19, que prorroga por dois anos, de agosto de 2020 para agosto de 2022, a vigência da maior parte da LGPD[7].
Não obstante possam existir tais dúvidas sobre a data de entrada em vigor da LGPD, a cautela recomenda considerar o planejamento de todas as medidas de adequação tendo como marco o mês de agosto/2020. Afinal, é preciso considerar as dificuldades naturais que podem surgir em um projeto dessa magnitude, bem como a possibilidade de que a ANPD, ou mais apropriadamente o Poder Judiciário, não esclareça sobre o assunto em tempo hábil. Lembra-se aqui situação semelhante ocorrida com o Código de Processo Civil de 2015, em que os juristas divergiam sobre a contagem do prazo, mas cuja orientação definitiva sobre a data efetiva da sua entrada em vigor ocorreu de forma administrativa pelo Superior Tribunal de Justiça, às vésperas do prazo previsto naquela lei.[8]
O que temos tratado em nossas palestras e reuniões sobre o assunto é que a proteção de dados já é uma realidade[9], pela qual as empresas mais sofrerão quanto maior for a resistência à implantação de uma nova cultura de proteção de dados. O conjunto de normas já em vigor, que versam sobre a proteção e os direitos do usuário de internet, o trabalhador e o consumidor já autorizam os respectivos órgãos de fiscalização a atuarem na proteção desse direito, tanto na esfera individual, como em ações coletivas. A exemplo disso, alguns Procons, Ministério Público e Poder Judiciário de diversos estados brasileiros já exibem iniciativas sobre o tema, sinalizando a incorporação dessa agenda e o risco de sanções e condenações às empresas por inadequada proteção de dados, insuficiente informação aos usuários e transparência. Essas ações são fortemente embasadas em princípios protetivos, revelando uma tendência já vista, inclusive em outros países, de enquadramento da proteção de dados dentre os direitos constitucionais fundamentais do ser humano[10].
Assim, considerando o número de instâncias administrativas e judiciais nas três esferas da federação brasileira[11], ficamos do lado daqueles que aconselham precaução e ação imediatas. Isso porque a entrada em vigor da LGPD, no frigir dos ovos, não vai fazer tanta diferença para o cenário de exposição em que as empresas já se encontram. A diferença de exposição, ou graus de riscos associados, neste caso, tem mais a ver com o tipo de negócio e processos de dados dentro da empresa do que com a entrada em vigor da LGPD.
#2 A ANPD pode não ser sua maior preocupação
A LGPD determina que a ANPD é o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento daquela norma em todo o território nacional.[12] A partir disso, algumas empresas estão considerando que a demora do governo federal em colocar em operação efetiva a ANPD os beneficiará. Há, pois, uma aposta arriscada no sentido de que a autoridade fiscalizadora não estará, ao menos nos primeiros meses de entrada em vigor da lei, em plenas condições de fiscalizar e autuar as empresas.
Em contraponto, observamos que cada titular de dados, ou seja, cada pessoa física, é titular de um direito subjetivo à obtenção de informações a respeito do tratamento de dados realizado pelas empresas. Disso decorre que as demandas sobre dados, tal como ocorrem nas questões de consumo e trabalhistas, podem ser propostas pelos próprios usuários diretamente nas instâncias competentes.
Como a nossa Constituição Federal não exclui da apreciação do Poder Judiciário a apreciação da ameaça ou lesão a direito[13], não existe nenhuma obrigação ou requisito legal para que o titular dos dados inicie ou esgote a instância administrativa antes de submeter o seu pleito judicialmente. Sendo assim, a atividade da ANPD não deve ter reflexo prático sobre o nível de exposição das empresas ao risco de demandas que versem questões sobre a proteção de dados como causa de pedir.
#3 A inversão do ônus da prova impõe às empresas o dever de se preparar
Segundo a LGPD[14]-[15]-[16], havendo discussão sobre o tratamento dos dados, caberá às empresas, quer ocupem a posição de controlador ou de operador dos dados, provar que não trataram os dados, ou agiram corretamente, ou pelo menos adotaram as medidas suficientes para salvaguarda dos dados pessoais[17]. O paralelo com as normas que tratam de direitos difusos, tais como as de proteção ambiental e do consumidor, é inevitável. Dessa forma, acreditamos que a entrada em vigor da lei brasileira possui importância relativizada, diante da existência de outras leis que podem ser aplicáveis a uma situação de exposição de dados, dependendo do caso concreto.
Ademais, o Código de Processo Civil já estabelece, desde 2016, que sendo extremamente difícil a uma das partes produzir as provas do que alega, o juiz pode inverter dinamicamente o ônus da prova[18].
Na prática, essas outras normas já em vigor evidenciam a necessidade de que as empresas passem a conhecer e ter em registro os seus fluxos de dados (mapeamento). Após um diagnóstico multidisciplinar, será possível avaliar quais medidas razoáveis de proteção precisam ser implementadas ou aperfeiçoadas. Trata-se de um ciclo permanente de revisão e melhoria que se estenderá de forma contínua, tal como já ocorre com as rodadas de auditoria e processos de monitoramento de compliance. Acrescenta-se que tais medidas poderão isentar a empresa de penalidades, ou atenuar sanções aplicadas, possibilitando, ainda, respostas mais rápidas e assertivas às pessoas que requisitarem informações sobre o tratamento dos seus dados.
#4 (Bônus) Uma razão para não se desesperar
O que surpreende, na LGPD, é que a sua aplicação é tão ampla, de forma a impactar todos os segmentos e setores das empresas, que o compliance, num primeiro momento, parece algo quase impossível de se alcançar. Daí surgem as questões de como e o que fazer para cumprir a norma.
Elencadas 3 razões acima para que o assunto seja introduzido na agenda de ações e planejamento estratégico de 2020 e anos seguintes, há pelo menos uma razão para agir sem desespero ou evitar a paralisia que não raro se instala diante de grandes desafios: a adequação suficiente é possível! Noutras palavras, acreditem, ainda dá tempo de atingir um nível satisfatório de conformidade com a normativa de privacidade de dados até agosto de 2020, quer a LGPD esteja, ou não, em vigor.
Sem perder de vista que a transformação cultural da empresa pode ser mais ou menos facilitada, mas sempre é um processo que merece atenção permanente, há alguns passos práticos que podem ser adotados, ou planejados, hoje mesmo.
O primeiro passo é o envolvimento de órgãos de decisão superiores, sensibilizando-os para as principais obrigações previstas na lei.
O segundo passo pode ser a designação de uma equipe multidisciplinar, sob os eixos jurídico, de tecnologia e processos, que ficará responsável, em um primeiro momento, por avaliar os recursos que a empresa tem à disposição para essa empreitada. Não raro, empresas tem descoberto, já com o mapeamento iniciado, que não dispõem de pessoas suficientes para realizar a tarefa. Isso faz com que esse primeiro momento da adequação fique com “pontos cegos”, que somente serão expostos mais adiante. Outro equívoco bastante comum é acreditar que um software mágico vai resolver todos os seus problemas de adequação e que essa tal de LGPD é assunto exclusivo do pessoal da “informática” (Tecnologia da Informação-TI).
O terceiro passo poderia ser a designação de um responsável pelo gerenciamento do projeto e comunicação entre as Partes interessadas. Embora a designação do Encarregado(a) de Dados ou Data Protection Officer somente seja exigida com a entrada em vigor da segunda parte da LGPD, é salutar a definição de profissional com essa atribuição. Diante da necessidade de um bom conhecimento a respeito das pessoas, processos e tecnologia utilizados na empresa para o exercício da função, a definição da pessoa responsável pela comunicação de dados possibilitará que a curva de aprendizagem e gerenciamento do projeto ocorra de forma mais tranquila.
Tomadas tais providências iniciais, é hora de iniciar o mapeamento dos dados. Essa etapa possibilitará não somente a preparação para medidas futuras, mas ajudará a definir, em momento posterior, os níveis de exposição em que a empresa se encontra, permitindo a priorização das medidas mais relevantes. Aqui, alerta-se que a mera tradução das políticas de privacidade da empresa não são suficientes para a proteção dos dados pessoais. Para o estabelecimento de uma orientação de privacidade por padrão (privacy by default) e adequada ao negócio da empresa, de forma que a proteção de dados seja considerada em todos os processos e serviços da empresa, se preciso, redesenhando-os (privacy by design), é preciso realizar o mapeamento dos dados em cada operação.
Em conclusão, considerados, em linhas gerais, aspectos que são importantes nos projetos de LGPD, advertimos que os passos acima mencionados podem não ser aplicáveis a todas as empresas. As medidas pertinentes e convenientes podem ser pormenorizadas e divididas em outras ações, enfim, planejadas de forma mais aderente à cada realidade, conforme cada caso. Como se diz por aí, não há receita de bolo, mas é preciso agir.
São Paulo, fevereiro de 2019.
[1] Lei nº 13.709, de 14 de agosto de 2018.
[2]https://epocanegocios.globo.com/Tecnologia/noticia/2019/11/84-das-empresas-brasileiras-nao-estao-preparadas-para-lgpd.html
[3] LGPD. Art Art. 65. Esta Lei entra em vigor:
I - dia 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B; (Redação dada pela Lei nº 13.853, de 2019)
[4] Atualmente, a ANPD aguarda designação de nomes para o Conselho Diretor.
[5] Art. 65. Esta Lei entra em vigor:
I - dia 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B; e
II - 24 (vinte e quatro) meses após a data de sua publicação, quanto aos demais artigos.
[6] BRUNA, Sergio Varela. A LINDB e a entrada em vigor da Lei de Proteção de Dados
Quando entrará em vigor a LGPD? Disponível em: https://www.jota.info/opiniao-e-analise/artigos/a-lindb-e-a-entrada-em-vigor-da-lei-de-protecao-de-dados-10012019
[7] A proposta está em tramitação na Câmara dos Deputados. Se aprovada, deverá seguir para votação no Senado Federal e, se aprovada, estará sujeita a sanção ou veto do Presidente da República. Disponível em: https://www.camara.leg.br/noticias/626827-proposta-adia-para-2022-a-vigencia-da-lei-geral-de-protecao-de-dados-pessoais/
[8] Enunciados aprovados pelo Plenário do STJ na Sessão de 2 de março de 2016
Enunciado administrativo n. 1: O Plenário do STJ, em sessão administrativa em que se interpretou o art. 1.045 do novo Código de Processo Civil, decidiu, por unanimidade, que o Código de Processo Civil aprovado pela Lei n. 13.105/2015, entrará em vigor no dia 18 de março de 2016.
[9] https://www.instagram.com/explore/locations/234973324/trigueiro-fontes-advogados
[10] A Proposta de Emenda à Constituição 17/19 insere a proteção de dados pessoais, incluindo os digitalizados, na lista de garantias individuais da Constituição Federal de 1988. O texto, que já foi aprovado pelo Senado, atualmente aguarda deliberação da Câmara dos Deputados. https://www.camara.leg.br/noticias/565439-PEC-TRANSFORMA-PROTECAO-DE-DADOS-PESSOAIS-EM-DIREITO-FUNDAMENTAL
[11] O Brasil é uma república federativa formada pela união de 26 estados federados, 5.570 municípios e do Distrito Federal.
[12] LGPD, art. 5º, XIX.
[13] Constituição Federal, art. 5º, inciso XXXV - a lei não excluirá da apreciação do Poder Judiciário lesão ou ameaça a direito.
[14] LGPD, art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular. (...)
[15] LGPD, art. 46. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. (...)
[16] Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:
I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
[17] LGPD, art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
[18] CPC, art. 373. O ônus da prova incumbe:
I - ao autor, quanto ao fato constitutivo de seu direito;
II - ao réu, quanto à existência de fato impeditivo, modificativo ou extintivo do direito do autor.