Background

Artigo: Lei Geral de Proteção de Dados: (in)segurança na era da informação – Por Ana Paula Ribeiro Serra e Christine Albiani

Nos últimos meses, vivemos a maior crise sanitária da contemporaneidade, desencadeada pela contaminação desenfreada de um vírus denominado Sars-Cov-2, popularmente conhecido como novo Coronavírus, que até o presente momento, já fez mais de 800 mil vítimas fatais em todo o mundo. No entanto, muito embora estejamos vivenciando um momento de crise e redução brusca do faturamento, esse não é o único motivo que vem causando grande preocupação nas entidades empresariais. No dia 26 de agosto deste ano, a Medida Provisória 959/2020 – que trata da operacionalização do Benefício Emergencial – foi votada no Senado, entretanto, retirou-se do texto o dispositivo que abordava o adiamento da vigência da Lei 13.709/2018 – Lei Geral de Proteção de Dados, conhecida como LGPD. Antes de aprofundarmos os aspectos temporais desta lei, precisamos, preliminarmente, entender os aspectos gerais que evidenciam a importância da norma. A partir do crescimento da tecnologia pelo mundo, verificou-se, cada vez mais, a importância de uma regulação que resguardasse a privacidade indivíduo quanto aos seus dados pessoais perante as organizações empresariais e o poder público. Nesse contexto, a regulação acerca da proteção de dados tem como finalidade estabelecer padrões mínimos a serem adotados quando ocorrer o manuseio de um dado pessoal, garantindo a utilização para uma finalidade específica e um ambiente seguro para manutenção desses dados. A aplicação da lei corrobora não somente com a regulação da proteção das informações, mas também com o equilíbrio do poder em torno do dado pessoal, onde se vislumbra, de um lado, o titular dos dados íntimos (ou sensíveis, que revelam a origem racial ou étnica, opiniões políticas e convicções religiosas ou filosóficas, dados genéticos, biométricos ou relacionados à saúde, por exemplo) que deve ter sua privacidade tutelada, e aqueles que os usam e compartilham com ou sem viés lucrativo. Para melhor compreensão do tema, registra-se que a percepção da necessidade de resguardar os dados pessoais ocorreu antes mesmo da confecção da Lei Geral de Proteção de Dados (LGPD) aqui no Brasil. É imprescindível trazer a lume o regulamento firmando na Europa sobre privacidade de dados pessoais, idealizado em 2012 e aprovado em 2016, denominado de Regulamento Geral de Proteção de Dados 2016/679 (GDPR), aplicável a toda população do bloco da União Europeia. No recorte europeu, a proteção de dados pessoais é considerada um direito dos cidadãos, e, por essa razão, todas as entidades empresarias – independente do porte ou do ramo das atividades -, deverão aplicar as regras da legislação específica da proteção das informações íntimas, no momento em que coleta, processa, manuseia, compartilha e trata os dados pessoais. Inclusive, os efeitos da regulação europeia ultrapassam os limites territoriais, a partir do momento em que uma entidade estrangeira possui vínculo com algum cidadão europeu. A título exemplificativo, na hipótese de uma empresa virtual brasileira ter interesse em comercializar produtos para consumidores que estejam no território europeu, ela precisará, inicialmente, se adequar às exigências contidas na regulação europeia (GDPR), para prosseguir com a realização dos serviços em total consonância com a lei. Portanto, seja no contexto internacional ou no Brasil, notamos que ambos possuem a finalidade de mitigar os riscos quanto à má utilização dos dados pessoais, de forma a limitar e regulamentar o tratamento das informações, garantindo os direitos fundamentais no tocante à proteção da liberdade, privacidade e intimidade das pessoas, enaltecendo a importância da transparência e controle na forma de coleta e manuseio dos dados. Superada a breve análise dos aspectos gerais, não se pode perder de vista a importância de tratarmos sobre a vulnerabilidade dos dados, principalmente, no que tange aos dados sensíveis. Ao passo que a tecnologia vem se aperfeiçoando a cada ano, aumenta a acessibilidade das atividades desempenhadas através das plataformas virtuais. Atualmente, é raro encontrarmos indivíduos que não desfrutem dos benefícios trazidos pela tecnologia, seja na realização de pagamento de contas através de aplicativos bancários, ou até mesmo a efetivação de compra por meio de plataforma virtual. Em que pese a utilização de páginas virtuais possuírem o escopo de assegurar conforto e bem-estar, nós, consumidores dessa tecnologia, somos sujeitos de um mundo onde a forma que são tratados os nossos dados pessoais ainda são desconhecidos. Nesta senda, não há como negar a vulnerabilidade dos dados daqueles que consumem os benefícios dos aplicativos promovidos pela tecnologia. Há pouco tempo, os indivíduos sequer eram consultados sobre a permissão do acesso à privacidade, pois ocorria uma verdadeira apropriação de informações, visto que o acesso aos dados era realizado de forma automática. Com base nos riscos provocados pela vulnerabilidade dos dados pessoais, constatou-se a necessidade da criação de uma lei específica sobre o assunto. Outro ponto que merece ser esposado no presente texto, versa sobre os aspectos jurídicos e temporais da regulação no Brasil da Lei Geral de Proteção de Dados (LGPD). Aprovada em agosto de 2018, a vigência da LGPD vem ganhando destaque em virtude, principalmente, da sua mencionada importância na conjuntura atual de utilização de novas tecnologias (sistemas de inteligência artificial que são alimentados por grande quantidade de dados), e o manuseio de dados sensíveis por empresas, hospitais e organizações públicas e privadas. Muito embora seja inquestionável a relevância da sua aplicação pelos operadores do direito, a redação normativa foi contemplada com uma extraordinária vacatio legis de 24 (vinte e quatro) meses, e, por essa razão, começaria a produzir efeitos plenamente a partir de 14 de agosto desse ano. Mesmo com um vasto período para implementação de mudanças visando a conformidade com as novas exigências de proteção, a grande maioria das entidades empresariais optou por postergar as prementes medidas de adequação das suas atividades à nova legislação, deixando de enquadrar não somente os sistemas e softwares, mas também de realizar o treinamento efetivo da equipe perante a nova regulação. Num contexto em que os dados são matéria-prima de grande valor – comumente chamados de “novo petróleo” – e a boa parte dos problemas é solucionada com a ciência de dados e inteligência artificial, é inevitável que o acesso e o tratamento indiscriminado desses commodities virassem uma questão a ser observada com cautela. Nesse ponto, é imprescindível compreender que o atraso na adequação por parte das entidades públicas e privadas, originou a inquietude quanto à data limite da vacatio legis, bem como a evidente preocupação no tratamento dos dados coletados, de forma ainda mais avultosa para conter a disseminação do vírus durante a pandemia. Em razão da pressão, o Congresso Nacional, através do Projeto de Lei de nº 1.179/2020, acordou por determinar a alteração do início da produção de efeitos oriundos da LGPD. Portanto, restou-se aprovado no Senado e seguiu para debate na Câmara, a PL que determinava que a data da entrada em vigor da lei ocorreria no dia 1º de janeiro de 2021, e as sanções atribuídas na norma só começariam a ser aplicadas em agosto do referido ano. O Presidente da República, por sua vez, desrespeitando os debates existentes que já norteavam o tema, por meio da Medida Provisória nº 959/2020 (editada no dia 29/04/2020), no artigo 4º, determinou a postergação da vigência da LGPD para o dia 03 de maio de 2021. Fato é que se instaurou um verdadeiro cenário de incerteza quanto à entrada em vigor da norma, sobretudo, por causa do prazo de vigência da MP (de 60 dias prorrogável por mais 60, conforme art. 62 da CF), que “atropelou” as casas legislativas e acarretou reflexos nocivos à segurança jurídica no momento em que se faz mais necessária a proteção de dados pessoais. A MP que se tornou o PLC (Projeto de Lei de Conversão) 34/2020, estava em trâmite no Congresso Nacional, quando houve uma reviravolta no Senado Federal que, inobstante a aprovação o texto, dia 26/08/2020, considerou prejudicado o aludido art. 4º e, assim, o adiamento nele previsto não mais ocorrerá. Agora o Projeto vai para a sanção do presidente Jair Bolsonaro, que tem até 15 dias úteis, para garantir a vigência plena à lei (nos termos do art. 62, parágrafo 12, da CF). Em sequência, foi publicado, no dia 27/08/2020, o Decreto n. 10.474/20 que traz a estrutura da Autoridade Nacional de Proteção de Dados como órgão vinculado à Presidência da República, que terá como principal incumbência fiscalizar e tornar eficaz o cumprimento da lei, através da sua interpretação, defesa e orientação. Diante de tantas mudanças e incertezas, coloca-se em pauta alguns questionamentos: Tirar a autonomia da Autoridade Nacional de Proteção de Dados (ANPD) e colocá-la submetida à presidência seria mesmo o melhor caminho? Afinal, como será a adequação das atividades empresariais com a plena vigência da LGPD? Como fazer as adequações em tão pouco tempo? Tempo que foi abalado com reviravoltas políticas que trouxeram ainda mais dúvidas, num ambiente de caos ocasionado pela pandemia. Uma certeza é que os setores de Compliance e Cybersegurança nunca foram tão importantes no ambiente empresarial. Essa é uma constatação inequívoca, na medida em que todas as empresas que de alguma forma armazene (fisicamente ou digitalmente) dados pessoais, devem buscar o quanto antes soluções para se adequarem à legislação. Caso as entidades empresariais violem os preceitos da LGPD, poderão incidir em penalidades, que variam de acordo com a gravidade da conduta e podem ir da multa de até R$ 50 milhões de reais até a suspensão total ou parcial do exercício da atividade de tratamento de dados. A LGPD tem como pilares fundamentais a transparência e a privacidade dos titulares dos dados pessoais, e traz exigências que necessitam ser incorporadas nos processos da empresa, através de uma verdadeira mudança de cultura organizacional, com foco na busca do consentimento expresso do usuário e a demonstração da finalidade do uso, pontos centrais de adequação à lei. Nesse panorama, a necessidade de adequação de sistemas e softwares, capacitação de profissionais, adoção de boas práticas, como a elaboração de programa de Governança em Privacidade, risk assessment, gestão de consentimento e de petições abertas por titulares de dados, implementação de técnicas de anonimização, são medidas salutares, tanto para evitar as severas penalidades mencionadas, como também, porque as violações a direitos geradas sob o contexto da LGPD (como todas as outras), estão sujeitas ao acesso à jurisdição. Sem dúvidas isso deve gerar um elevado número de demandas, em razão da inobservância a tais determinações, não só por parte de negócios on-line e aplicativos, mas também, no caso de transações e armazenamento de dados, comuns, atualmente, a todos os segmentos empresariais. Cumpre observar, ainda, que a insegurança jurídica perpetrada pelas reviravoltas políticas vivenciadas nos últimos meses, coloca em evidência a preocupação das empresas quanto à aplicação da lei, a atuação da ANPD e a necessidade de adequação célere às diretrizes estabelecidas, diante das avultosas sanções. De outro lado, esse panorama de incertezas traz um grande desestímulo aos investimentos estrangeiros no país, e, consequentemente, representa um óbice ao desenvolvimento econômico, especialmente, por causa da falta de credibilidade no sistema jurídico vigente, que não se preocupa em garantir a mínima previsibilidade do que o poder político do Estado pode fazer ou não fazer, determinando que o empresário fique à deriva de arbitrariedades e incongruências. Apesar do trajeto tortuoso de “quase” adiamento e “pseudo” preservação da vacacio legis original, a privacidade, valor tão abalado em tempos de sociedade informacional, agradece, gerando alguma segurança ao cidadão, ainda que a jurídica tenha sido esquecida pelo caminho. Só nos resta trabalhar para que as tantas perguntas sejam encontradas com a plena aplicação da lei, a atuação diligente da ANPD, que irá fiscalizar o cumprimento desta, assegurando que as entidades empresariais e governamentais tratem, coletem, manuseiem e armazenem os dados de forma segura e transparente, sendo agente catalizador de mudanças na cultura das empresas e instituições como forma de preservação de direitos fundamentais. Fonte: Estadão