O dia 15 de agosto de 2020 pode ser considerado pelos especialistas em direito digital como um marco na história da proteção de dados pessoais no Brasil. A partir dessa data entra em vigor a lei 13.709, conhecida como Lei Geral de Proteção de Dados, a LGPD. A regulamentação é importante não só para o meio legal. Ela vai impactar profundamente os casos de uso de dados de 209 milhões de brasileiros, além das organizações públicas e privadas que coletam, tratam, guardam, processam e comercializam os dados pessoais.
Isso significa que as empresas que incluírem informações dos seus clientes em suas bases terão que seguir os procedimentos previstos na lei. A legislação se fundamenta em valores como o respeito à privacidade, à autodeterminação informativa, liberdade de expressão, de informação, de comunicação e de opinião. E ainda trata de questões como a inviolabilidade da intimidade, da honra e da imagem, cria parâmetros para o desenvolvimento econômico e tecnológico e a inovação, fala da livre iniciativa, livre concorrência e defesa do consumidor e dos direitos humanos - como a liberdade e dignidade dos cidadãos.
A LGPD modifica ainda alguns dos artigos do Marco Civil da Internet, que é uma das primeiras regulamentações sobre o assunto e que entrou em vigor em 2014. Além disso, ela transforma a maneira como empresas e órgãos públicos tratam a privacidade e a segurança das informações de usuários e clientes. Esse tratamento de dados pode ser entendido como qualquer procedimento que utilize dados pessoais como coleta, processamento, armazenamento, utilização, divulgação e compartilhamento, entre outras opções. A LGPD determina que todos os dados pessoais, como nome, idade, estado civil e documentos, por exemplo, só podem ser coletados mediante o consentimento do usuário.
A regulamentação foi aprovada em agosto de 2018. Na época, foi dado um prazo de dois anos para que empresas e instituições se adaptassem às mudanças, o chamado “vacatio legis”.
Para um dos principais especialistas do país em direito digital, Coriolano Camargo, a lei é quase um código. “Ela é complexa, mas traz ao cidadão maior tranquilidade em relação aos seus dados, porque o consumidor passa a ter o controle”, afirma. O especialista hoje é coordenador da pós-graduação em direito digital e compliance do Damásio Educacional e durante 20 anos fez parte do Conselho Nacional de Política Fazendária, o Confaz, onde trabalhou no sistema de Proteção de Dados do Projeto da Nota Fiscal Eletrônica.
Impactos no mundo legal
Para os escritórios de advocacia e o mundo legal, os impactos da LGPD são imensos. A lei também é sinônimo de grandes oportunidades. “Os advogados terão que rever todos os contratos das empresas e o programa de governança corporativa interna. O estatuto social da empresa vai ter que ser mudado para constar que ela preza pelos princípios que estão na LGPD”, explica Santos.
Na análise de consultores jurídicos e especialistas em segurança de dados, todos os departamentos serão afetados num primeiro momento. Isso significa mudar os documentos que tratam de informações, contratos com terceiros, com fornecedores, além da relação com o departamento de recursos humanos, compliance e de vendas.
“É um trabalho de Hércules para a advocacia! A grande maioria das empresas ainda está muito perdida. Nós temos um péssimo hábito de deixar tudo para última hora. Eu entendo que o governo poderia dizer no corpo da lei que a Autoridade Nacional de Proteção de Dados (ANPD) antes de ter um papel fiscalizatório, tem que ter um trabalho educacional”, analisa Camargo.
Alguns setores já se movimentam para prorrogar o prazo de vigência da lei. No Congresso Nacional, um projeto de lei quer prorrogar para agosto de 2022 a vigência da maior parte da LGPD. “Hoje, a poucos meses da entrada em vigor da LGPD, apenas uma pequena parcela das empresas brasileiras iniciou o processo de adaptação ao novo cenário jurídico”, diz o autor da proposta, deputado Carlos Bezerra do MDB de Mato Grosso.
Outro problema é a falta de definição para formar a ANPD, que será responsável pela efetivação e fiscalização da Lei Geral de Proteção de Dados. “Eu acho que o governo tem se esforçado, porque o tema é complexo, não pode ser implementado a galope. Quanto mais seguro o governo fizer essa montagem, melhor. Só não demorar demais, senão o Brasil fica fora de um mercado internacional. Na minha opinião a agenda do governo está indo bem dentro de um tema tão complexo”, afirma Camargo.
Para o especialista em engenharia de software pelo Instituto de Pesquisas Tecnológicas (IPT) de São Paulo, Frederico Bortolato, outra questão importante é a judicialização dos casos de violação de dados pessoais. “Nesse ponto o papel da ANPD é fundamental. A lei não fala nada em relação à judicialização da questão. A Autoridade Nacional precisa criar regras suplementares e aplicar as multas em casos de descumprimento da LGPD”, explica Bortolato.
Para consolidar esse processo três figuras são necessárias no quadro profissional das empresas: o controlador, o operador e o encarregado. O controlador toma as decisões sobre o tratamento dos dados. O operador põe essas diretrizes em prática. Já o encarregado tem a missão de fazer a ligação entre o controlador, o dono dos dados e a agência governamental responsável pela fiscalização.
Num eventual vazamento de dados o cidadão que se sentir lesado tem o direito de acionar o controlador do dado que vazou ou o operador por eventuais danos morais, à imagem e à honra. “A lei vai fazer com que o cidadão entenda um pouco mais dos seus direitos, de que ele é proprietário daquele dado e que qualquer dano ele pode recorrer à justiça. Então deve aumentar significativamente a demanda do judiciário”, afirma Bortolato.
Enquanto a lei não é implementada quem trabalha com coleta e armazenamento de dados explica que o país ainda precisa construir uma cultura da proteção de informações pessoais de clientes. “A empresa agora terá um mecanismo para provar que ela cumpriu tudo que era possível em relação à LGPD. O problema é que a empresa às vezes nem sabe que está sendo atacada, tal o grau de sofisticação dos hackers que existe hoje”, diz Camargo.
Para o cientista político e mestre em gestão de políticas públicas pela Fundação Getúlio Vargas, Daniel Bonatti, a nova legislação vai exigir mais dos escritórios de advocacia. “Eles terão de ser mais protagonistas, mais partícipes do ponto de vista da empresa, porque a gente está mudando uma cultura também dentro das empresas. Hoje muitas pedem dados a mais por conta de um formulário padrão. Muitos gestores não têm ideia dos processos e do tratamento. A informação às vezes é divulgada para toda a empresa, quando na verdade aquele segmento da empresa só precisa de 30% da informação que é captada. Então isso é uma mudança de cultura organizacional”, afirma Bonatti.
Segundo os especialistas entrevistados pela reportagem, a LGPD vai ajudar a consolidar a carreira de em direito digital no país.
“É muito difícil pensar em advogados que não tenham conhecimentos de como é a dinâmica do ordenamento jurídico da lei de acesso à informação, do Marco Civil da Internet, da LGPD. É claro, o pessoal já tem experiência principalmente da área cível. Todos os direitos que estão nessas leis já existiam de maneira mais difusa, mais diretiva na Constituição e no Código Civil. Mas agora o nível de detalhe exigido e alguns conceitos de entendimento que estão na lei exigem um conhecimento um pouco maior de tecnologia. Vai ser preciso uma reciclagem de pessoal”, analisa Bortolato.
Para facilitar o trabalho, o especialista defende a utilização de tecnologia capaz de capturar bases de dados, para fazer a análise automatizada. “Alguns programas conseguem identificar onde estão os riscos: primeiro em relação à segurança e depois onde estão aqueles aqueles dados que podem ser considerados pessoais ou sensíveis. Muitas empresas hoje estão vendendo soluções para auxiliar no atendimento da LGPD. É óbvio que contratar uma solução de tecnologia exclusivamente não resolve nada”, afirma Bortolato.
Essa contratação de tecnologia é suporte para mapear processos, entender se o dado coletado é necessário e se o tratamento que está sendo feito é adequado.
Impactos no Mercosul, América Latina e acordo com a União Européia
Com a implementação da LGPD, o Brasil passa a fazer parte dos países que contam com uma legislação específica para proteção de dados e da privacidade dos seus cidadãos. Outros regulamentos similares à LGPD brasileira são o General Data Protection Regulation (GDPR) na União Europeia, que passou a ser obrigatório em 25 de maio de 2018 e aplicável a todos os países da União Europeia. Um dos fatores que incentivaram a implantação por lá foi o escândalo de compartilhamento de dados sem consentimento dos usuários feito pelo Facebook.
A GPDR serviu inclusive de base para a norma brasileira. E será fundamental dentro o contexto do acordo comercial entre o Mercosul e a União Europeia , fechado no fim de junho do ano passado. A expectativa é de que esse acordo traga R$ 320 bilhões até 2035, segundo a Confederação Nacional do Comércio de Bens, Serviços e Turismo (CNC).
De acordo com os especialistas, a lei brasileira pode inclusive servir de base para outros países da América Latina que ainda não tem uma norma sobre proteção de dados. Até a implementação do acordo com a União Europeia todos os integrantes do Mercosul precisarão implementar uma regulamentação que se adeque à GPDR.
“A lei brasileira é muito bem escrita, muito clara, gera pouca insegurança jurídica. As lacunas são por falta de regulamentação, mas ela deixa claro que é necessário se regulamentar. Então me parece que por conta da sua qualidade ela pode ser paradigma para outros países”, afirma Bortolato.
Para firmar contratos e transações comerciais muitos países exigem que os parceiros tenham leis similares e que atendam às leis locais.
Add new comment