LGPD em vigor: novidades legais e desafios restantes
Escrito por
Victor Vieira (Ver todos os posts desta autoria)
5 de outubro de 2020
Em 18 de setembro de 2020, a Lei Geral de Proteção de Dados (LGPD) entrou em vigor. Esse acontecimento marcou o fim de um longo período de incertezas que perdurou desde o momento da sanção da lei, em agosto de 2018.
Com a LGPD em vigor, pode-se observar o surgimento de inúmeras repercussões no Direito brasileiro. Contudo, ainda há diversas questões em aberto para o cenário da proteção de dados pessoais no Brasil. Este post busca abordar algumas dessas repercussões e pendências decorrentes do atual estado da LGPD. Confira a seguir!
O percurso da LGPD até hoje
A LGPD teve sua tramitação acelerada consideravelmente em decorrência de uma forte pressão internacional. Isso porque, na primeira metade de 2018, observou-se a aprovação de diversas normas sobre proteção de dados pessoais – notoriamente, o CLOUD Act nos EUA e a GDPR na União Europeia. Essas normativas estrangeiras, dentre diversas outras previsões, impõem a países terceiros a necessidade de maiores salvaguardas a dados pessoais para facilitar a transferência internacional dessas informações.
Na ocasião da aprovação da LGPD, foi inicialmente determinado um período de 2 anos até que ela entrasse efetivamente em vigor. Esse intervalo foi instituído para que as empresas e demais organizações que precisassem se adequar ao novo cenário legal tivessem tempo hábil para tal.
O que ocorreu de fato, contudo, foi muito mais complexo do que o inicialmente previsto. Diversos movimentos legislativos surgiram desde a publicação da lei, buscando postergar sua data de vigência.
Os argumentos utilizados para as tentativas de adiamento foram diversos: desde a suposta falta de tempo para a adequação das entidades às quais a lei se aplicaria até a alegação de ineficácia da regulação, tendo em vista que a Autoridade Nacional de Proteção de Dados (ANPD) – órgão regulador previsto na LGPD – não havia sido sequer criada por um decreto regulamentador. A atual pandemia do COVID-19 também foi mencionada como fator motivante para a necessidade do adiamento, considerando que os entes que precisam estar adequados à lei estariam focando esforços no contingenciamento do coronavírus.
Algumas das tentativas mais relevantes de adiamento da vigência da lei ocorreram em 2020. Pode-se citar, por exemplo, o Projeto de Lei nº 14.010/2020, que, dentre diversas previsões decorrentes da pandemia do COVID-19, postergou para agosto de 2021 os artigos da LGPD que prevêem as sanções administrativas aplicáveis pela ANPD. À época da redação deste texto, esse adiamento ainda estava em vigor: pode-se dizer que a LGPD está apenas “parcialmente” válida.
Além disso, o mais recente foco de discussões sobre um possível adiamento legal foi a Medida Provisória nº 959/2020. Também dentre outras previsões relativas a temas diversos, a MP adiava os demais artigos da LGPD para maio de 2021.
A MP 959 foi submetida a intensos debates no Legislativo, inicialmente tendo previsto o adiamento da LGPD para dezembro de 2020 – ao invés de maio de 2021. Essas tentativas, contudo, foram barradas pelo Senado, que considerou prejudicada a matéria do dispositivo que adiava a vigência da lei e determinou o início de sua vigência para a data originalmente prevista.
Dessa forma, em setembro de 2020, iniciou-se a vigência da LGPD, com exceção das sanções administrativas que foram adiadas para agosto de 2021 pelo PL 14.010. A lei, portanto, está enfim surtindo plenos efeitos jurídicos, que resultam em mudanças profundas para o cenário da proteção de dados pessoais no Brasil.
A vigência da lei e as consequências imediatas
A LGPD, desde o momento de sua entrada em vigor, vem trazendo diversas repercussões concretas para o cenário brasileiro.
Em primeiro lugar, a lei em vigor significa que as organizações que estão sujeitas a ela já podem ser cobradas por consumidores e parceiros quanto às suas atividades de tratamento de dados pessoais. Isso se traduziu, na prática, em uma enxurrada de reclamações em plataformas como o Reclame Aqui: no mesmo dia em que a LGPD entrou em vigor, dezenas de titulares já estavam notificando empresas por esses meios, cobrando informações e transparência nas atividades envolvendo seus dados.
Além disso, as repercussões imediatas da LGPD em vigor não se limitaram às notificações extrajudiciais dos titulares. Em verdade, desde a data de início da validade da lei, já houve a disseminação de diversos casos judicializados envolvendo os dados pessoais de titulares e usando como base argumentativa a nossa “recém-nascida” lei de proteção de dados.
O Ministério Público do Distrito Federal e Territórios, por exemplo, já moveu uma Ação Civil Pública contra uma empresa cujas atividades resumem-se à venda de dados pessoais para fins de marketing. Em um outro processo, tramitando perante o TJ-SP, foi estipulada uma multa de R$10 mil a uma empresa que realizou o compartilhamento de dados pessoais de um cliente, podendo ter seu valor aumentado caso a empresa não cesse os compartilhamentos indevidos. Essa decisão foi embasada nos princípios enunciados tanto pelo Código de Defesa do Consumidor quanto pela LGPD.
Contudo, apesar de os acontecimentos até o presente momento já terem demonstrado sinais positivos quanto à aplicação da Lei Geral de Proteção de Dados pessoais, ainda há preocupações constantes relativas a essa norma, e problemas pendentes de resolução.
Desafios restantes para a LGPD
O primeiro desafio já foi previamente mencionado: trata-se do fato de que a lei ainda não está vigente em sua completude, devido ao adiamento das sanções administrativas previstas para agosto de 2021. Nada impede, por exemplo, que haja tentativas de adiamento desses dispositivos finais por ainda mais tempo, acarretando em prejuízos para a segurança jurídica envolvendo dados pessoais no Brasil.
Mais importante que isso, temos ainda em aberto uma questão de máxima urgência para o cenário brasileiro de proteção de dados: a nossa Autoridade Nacional de Proteção de Dados (ANPD).
A criação da ANPD é um requisito em diversos enunciados da LGPD. Trata-se não apenas da entidade que detém poderes para realizar grande parte das fiscalizações e aplicar as sanções administrativas previstas na lei, mas também do órgão responsável por regular de forma mais específica o regime de proteção de dados no Brasil através de pronunciamentos oficiais.
Contudo, a estruturação da autoridade de proteção de dados brasileira tem ocorrido semelhantemente à da própria LGPD: de maneira incerta e inconstante. A título de exemplo, desde a publicação da lei em 2018, observamos discussões sem fim acerca da natureza jurídica da Autoridade: deve ser vinculada à administração pública direta ou indireta?
Além disso, apenas recentemente pode-se observar a publicação de um decreto regulamentador para a ANPD. Isso se traduz no fato de que a LGPD já está em vigor, mas na prática não há previsão para o início efetivo das atividades de uma entidade essencial para o bom funcionamento do arcabouço de proteção de dados brasileiro. Há também inúmeras críticas direcionadas ao próprio conteúdo desse decreto, relativas a questões como a autonomia da ANPD, a representação civil nessa entidade, entre outros.
Meio caminho andado, mas ainda há muito pela frente
Pode-se perceber, portanto, que ainda há muito a se fazer até que o Brasil possua um ecossistema de proteção de dados pessoais devidamente consolidado, garantindo a segurança jurídica para os titulares de dados. Apesar de a LGPD ter finalmente entrado em vigor, após meses de intensa incerteza permeando a matéria, ainda há diversos desafios pendentes até que o trabalho esteja de fato “finalizado”.
Nesse sentido, é importante ter em mente também que a LGPD representou um passo importante para que o Brasil supere um atraso de décadas quanto a salvaguardas legais aos direitos dos titulares de dados pessoais e à privacidade alheia. É natural, portanto, que haja muito o que ser feito para que o país tenha um arcabouço legal de proteção de dados realmente maduro.
Isso não quer dizer que os acontecimentos dos últimos meses não tenham sido de extrema importância para esse processo como um todo. A proteção de dados sofreu profundas alterações no Brasil no passado recente, e esses eventos – embora não tenham esgotado as pendências com relação à LGPD e à proteção de dados como um todo – representaram um avanço essencial para possibilitar que continuemos observando progressos nessa seara.
Tem interesse sobre temas relativos à LGPD, privacidade e proteção de dados pessoais? Confira mais conteúdo do IRIS sobre o tema clicando aqui!
* Os pontos de vista e opiniões expressos nesta postagem do blog são de responsabilidade do autor. As opiniões e perspectivas retratadas neste artigo pertencem a seu autor e não necessariamente refletem as políticas e posicionamentos oficiais do Instituto de Referência em Internet e Sociedade.
Ilustração por Freepik Stories
Escrito por
Victor Vieira (Ver todos os posts desta autoria)
Victor Vieira é bacharel em Direito pela Universidade Federal de Minas Gerais (UFMG) e pós-graduando em Proteção de Dados Pessoais pela Pontifícia Universidade Católica de Minas Gerais (PUC Minas). É pesquisador e encarregado de proteção de dados pessoais no Instituto de Referência em Internet e Sociedade (IRIS) e advogado. Membro e certificado pela International Assosciation of Privacy Professionals (IAPP) como Certified Information Privacy Professional – Europe (CIPP/E).