Depois de vinte e quatro meses, muitas idas e vindas, projetos de lei e tentativas de adiar sua entrada em vigor, finalmente a LGPD está em vigência – exceto quanto às sanções, só aplicáveis a partir de 1º/8/21. Portanto, o momento é para arregaçar as mangas e trabalhar.
Há quem veja entraves, ou até defenda a “novidade do tema”, como razões que justificam a perplexidade frente à LGPD. No entanto, esse tema nada tem de novo. O que a Lei fez foi institucionalizar, dentro da roupagem do marco legal, a proteção de dados pessoais, mas o assunto já é discutido há décadas.
Quanto aos entraves, eles se explicam, em parte, pelo crônico desinteresse nacional sobre a matéria. Em termos de mundo, faz 25 anos que a questão está na ordem do dia, desde que os avanços no campo da tecnologia da informação mudaram para sempre a face das empresas e negócios.
No Brasil, o Código de Defesa do Consumidor e o Marco Legal da Internet há muito estipularam regras sobre a proteção de dados pessoais, calcadas nos conceitos de privacidade e de intimidade, que, por sua vez, remontam à Constituição de 1988. Mesmo antes dela, dados pessoais eram considerados – no Código Civil de 1916 – propriedade indissociável do ser humano; e até o velho Código Comercial do século XIX se referia às informações do comerciante e à necessidade de sua proteção.
Mas há uma discussão que segue paralela: os riscos de responsabilização penal decorrente de ações de descumprimento da LGPD. Esse assunto é motivo de forte preocupação na Europa – desde que rumorosos casos, como o Cambridge Analytica, tomaram as manchetes –, e o consenso é que a legislação sobre a proteção de dados pessoais de cada país precisa ser harmonizada com as normas penais internas.
Ao estabelecer novos paradigmas de governança de dados pessoais e conformidade, o cenário abriu oportunidade para que condutas como a prestação de informações falsas ao regulador e a reidentificação de dados sem um motivo (base legal) adequado sejam criminalizados.
Tanto que a Diretiva europeia nº 680 determinava, já em 2016, a criação de regras específicas a respeito da prevenção, investigação, detecção e repressão de crimes e infrações e da execução de sanções penais, relacionadas à livre circulação de dados pessoais.
Esse mecanismo, cujo desenho propiciou o surgimento do que se conhece por Law Enforcement Authorities (LEAs), avança rapidamente em grande parte das nações nas quais leis de salvaguarda de dados pessoais são uma realidade. Isso porque a ideia-conceito de proteção de dados é uma incontestável realidade, cabendo às organizações, a partir de agora, também se preocuparem em como não ficar sujeitas à criminalização de seus atos.
Durante muito tempo – especialmente no cenário big data –, dados coletados eram considerados espécie de ativo proprietário de seu coletor, mesmo para finalidades desconhecidas ou não informadas de modo transparente. Isso mudou; ou melhor, se ajustou à realidade.
Dados pessoais pertencem a seu titular! Os tratadores, quaisquer que sejam, são consignatários desses dados; podem usufruir suas vantagens, mas respondem por sua guarda e proteção perante o titular. Talvez por isso hoje se fale mais em small data, uma consequência do princípio da essencialidade, que recomenda tratar somente os dados rigorosamente necessários a certa finalidade.
E o Brasil não passa ao largo dessa tendência. Com a LGPD, condutas de difícil criminalização, muitas vezes por ausência de tipicidade penal definida, são um risco on board que as organizações precisam considerar na criação de seus planos de tratamento e de enfrentamento de sinistros envolvendo dados pessoais.
Embora ainda não haja jurisprudência sobre o tema, isso não significa que, em breve, o Poder Judiciário e outros organismos, como os reguladores, os voltados à proteção de consumidores e os que têm prerrogativa de imposição não possam atuar para obter condenações criminais de violadores da LGPD.
Um exemplo é o Código de Defesa do Consumidor (CDC), que, nos artigos 72 e 73, prevê o tratamento a ser dado a delitos relacionados às informações do consumidor. Assim, a recusa em permitir acesso do titular a seus dados (LGPD, arts. 6º, inc. IV, e 9º), ou a falta imotivada em corrigir dados equivocados ou incompletos (LGPD, art. 18, inc. III), pode caracterizar crime.
Também figuras como a do artigo 307 do Código Penal serão aplicáveis a condutas infratoras das normas de proteção de dados, isso sem falar noutros comportamentos penalmente reprováveis, como a violação de privacidade e de intimidade e a propagação de fake news, atualmente referida no Projeto de Lei nº 2.630/20.
Outra promissora iniciativa é o recente Anteprojeto de Lei de Proteção de Dados para Segurança Pública e Investigação Criminal, que, em quase setenta artigos, busca disciplinar o tratamento penal das condutas infracionais relacionadas à LGPD. O Anteprojeto, contudo, já nasce polêmico, mesmo antes de se tornar projeto, pois apresenta conceitos e sanções a que a sociedade não está habituada, em razão da ausência quase total de assertividade coletiva sobre data protection.
O quadro, conquanto ainda em fase de formação, é irreversível. O que talvez ocorra é que a normatização proposta careça de amadurecimento. Mas isso, somado à transparência de critérios, beneficia a todos os envolvidos – titulares, agentes de tratamento e reguladoras –, gera maior segurança jurídica, estabilidade institucional e mais espaço de uso-tratamento responsável de dados pessoais.
*Japyassú Resende Lima é sócio de corporativo e estratégico (data privacy, LGPD/GDPR, regulatório, transportes, logística, infraestrutura e investimentos) do Lopes Pinto, Nagasse Advogados Associados.
Add new comment