Por Isabela Tarma Arbex Pinhata e
Felipe Fernandes Rocha
A Lei n° 13.709/2018, também conhecida como a Lei Geral de Proteção de Dados (“LGPD”), que regula o tratamento de dados pessoais (coleta, uso, etc.) e define o regime sancionatório para violações e abusos relativos as informações pessoais dos brasileiros, entraria em vigor no próximo mês de agosto. Contudo, a Lei n° 14.010, de 10 de junho de 2020 adiou mais uma vez o início de sua vigência plena para agosto de 2021.
A Lei n° 14.010/20, sancionada pela Presidência da República com alguns vetos, é proveniente do substitutivo da Câmara dos Deputados ao Projeto de Lei n° 1.179/20 originário do Senado Federal e mantinha o início da vigência da LGPD para 14 de agosto de 2020, mas postergava o início da aplicação das sanções para 1° de agosto de 2021. Durante os debates sobre o PL 1.179/20, foi publicada a Medida Provisória n° 959, de 29 de abril de 2020, que adiou a entrada em vigor da LGPD para 03 de maio de 2021. Ao fim e ao cabo, o quadro de vigência da LGPD ficou assim:
Datas de vigência da LGPD
Datas de vigência da LGPD
Segundo os defensores do adiamento, a pandemia impôs inúmeros obstáculos à implementação dos programas de compliance com foco em maior segurança dos dados pessoais de clientes e usuários pelas empresas privadas. Além disso, a Autoridade Nacional de Proteção de Dados (“ANPD”), órgão nacional que editará as normas e será responsável pela fiscalização do cumprimento das exigências relativas à proteção de dados pessoais, ainda não está em pleno funcionamento, o que afetaria o enforcement da lei, ou seja, a fiscalização e imposição de eventuais sanções administrativas.
Entendemos, contudo, que a edição da MP 959/20 seria absolutamente dispensável e sua publicação tornou-se fator de insegurança jurídica. As medidas provisórias têm vigência de 60 dias e podem ser prorrogadas apenas uma vez por igual período (por isso, “provisórias”). Caso não venha a ser aprovada pelo Congresso Nacional, a MP perde eficácia. Confirmada essa absoluta dissimetria entre os Poderes, a LGPD entraria em vigor em 14 de agosto de 2020 (24 meses após a data de sua publicação), com exceção dos artigos que tratam das sanções administrativas cuja vigência iniciar-se-á em 03 de maio de 2021.
Sem muito aprofundar, também a questão constitucional quanto à relevância e urgências do adiamento da LGPD como matéria objeto de medida provisória nos termos do art. 62 da Constituição Federal pode suscitar questionamentos na Comissão de Constituição, Justiça e Cidadania do Congresso Nacional e no Supremo Tribunal Federal.
Em termos práticos, a LGPD em um cenário de pandemia poderia auxiliar o Brasil no desenvolvimento de ações conjuntas e na colaboração com países e outros atores internacionais. Além disso, a LGPD já dialoga com a atual conjuntura ao estabelecer regras especiais para o tratamento de dados nos cuidados com a saúde da população e em pesquisas com anonimização de dados. Dados pessoais referentes à saúde são considerados dados sensíveis e seu tratamento recebe uma carga maior de medidas restritivas no arcabouço legal da LGPD. Nesse sentido, manifestou-se o Ministério Público Federal em nota técnica enviada ao Congresso Nacional sobre o adiamento da entrada em vigor da LGPD.
Dado o atual estado de coisas, as empresas devem continuar a promover a compatibilidade de seus procedimentos no tratamento de dados pessoais ao que determina a LGPD. Nas relações contratuais, por exemplo, deverão inserir cláusulas nos instrumentos contratuais que estabeleçam os direitos e obrigações referentes à proteção de dados pelas partes envolvidas, seja em contratos B2B ou B2C. A proteção de dados já tem chamado a atenção de órgãos reguladores que estão, mesmo antes do início da vigência da LGPD, fiscalizando os agentes quanto ao tratamento de dados pessoais e aplicando sanções com base em dispositivos legais que já se encontram em vigor no ordenamento.
Sendo assim, o adiamento da vigência da LGPD proporciona uma oportunidade para as empresas se adaptarem às exigências impostas pela lei, tais como:
- A atribuição das funções de Data Protection Officer (DPO) à pessoa que atuará como canal de comunicação entre a empresa, os titulares dos dados e a ANPD. O DPO é quem auxilia a empresa a adaptar seus processos para estruturar um programa de compliance com foco em maior segurança das informações que estão sob sua tutela;
- A revisão de seus processos de tratamento de dados (coleta, recepção, transmissão, arquivamento, avaliação, eliminação, etc.) atualmente em curso;
- A redação ou inclusão no manual de compliance das regras de boas práticas e de governança do tratamento de dados de acordo com o disposto na LGPD, e
- A inclusão em seus instrumentos contratuais de cláusulas sobre os direitos e obrigações referentes à proteção de dados pelas partes envolvidas, independentemente da condição ou natureza do stakeholder.
O respeito e o uso responsável de dados pessoais dos clientes e parceiros será um diferencial entre as empresas em âmbito nacional e internacional, adicionando valor de mercado àquelas que possuírem processos modernos e transparentes. Caso sua empresa ainda não esteja em conformidade com a LGPD, nós do CSFR Advogados podemos ajudá-lo(a).
Isabela Tarma Arbex Pinhata é advogada de Privacy & Data Protection do Costa da Silva & Fernandes Rocha Advogados
Felipe Fernandes Rocha é sócio do Costa da Silva & Fernandes Rocha Advogados