O Dia D para Lei Geral de Proteção de Dados se aproxima

Termina na próxima terça-feira, 14 de agosto, o prazo final para a sanção da Lei Geral de Proteção de Dados  (LGPD), e a expectativa é grande em relação às possibilidades de veto ao texto aprovado no Congresso após um grande pacto social entre o empresariado e a sociedade civil.

A maioria das pessoas que acompanha de perto o assunto dá como praticamente certo o veto aos artigos que versam sobre a criação da Autoridade Nacional de Proteção de Dados (ANPD), um dos pilares da lei. Em Brasília comenta-se que diante da suspeita de inconstitucionalidade da medida, já que é do Poder Executivo a prerrogativa de órgãos como o ANPD, o Presidente Temer estaria bastante inclinado ao veto e ao envio de uma Medida Provisória (MP) ou de um novo Projeto de Lei (PL) para não deixar a lei no vácuo jurídico. Nesse caso, prevaleceria a tese de que a ANPD deve e será criada, mas isso precisa acontecer da forma certa para evitar insegurança jurídica.

Uma MP teria tramitação mais curta (120 dias), já um PL teria tramitação mais lenta, mesmo que fosse enviado para o Congresso com urgência constitucional. Razão pela qual, sendo o veto inevitável, a torcia da maioria é para que a ANPD seja criada por Medida Provisória. Até por que, uma LGPD sem uma ANPD seria letra morta!

Há ainda componentes que não podem ser descartados no xadrez político. Entre os que preferem a criação da ANPD via PL, como o advogado e professor Thiago Luis Sombra, o argumento mais comum é o de que em período eleitoral, com Congresso vazio e presidente em fim de mandato, as chances do prazo de 120 dias para aprovação da MP transcorrer é grande. Por outro lado, contrários ao PL argumentam que ele estaria sujeito a muitas manobras regimentais, se alguém quisesse atrapalhar a entrada da LGPD em vigor…

Outra torcida grande é para que a MP trate das sanções, junto com a criação da autoridade, de modo a reduzir as preocupações e críticas daqueles que consideram a dosimetria das penalidades aos infratores pouco clara.

Na última semana, uma série de associações de empresas processadoras de dados manifestaram preocupação em relação às multas prevista das LGPD. Duas delas _ a Associação Brasileira de Empresas de Software (Abes) e a Federação das Associações das Empresas Brasileiras de Tecnologia da Informação (Assespro Nacional) chegaram a propor publicamente vetos a artigos do capítulo oitavo da lei, que trata da fiscalização e das sanções administrativas.

"O principal incentivo para que agentes cumpram a lei e adotem medidas para o compliance é a existência de consequências negativas para aqueles que cometem ilícitos. A relevância do artigo 52 da LGPD, que estabelece as sanções em caso de violação à Lei, é a de estimular o cumprimento da lei, uma vez que sem sanções efetivas, a lei poderia ser considerada sem efeito", explica o professor de Direito e consultor do Comitê Gestor da Internet no Brasil (CGI.br), Danilo Doneda.

Na opinião de Doneda, as sanções previstas pela lei são variadas (começando pela advertência), proporcionais e, inclusive, módicas, se comparadas a outras leis do nosso ordenamento jurídico.

"A mera previsão de advertência como sanção administrativa é exemplo da preocupação do legislador com a proporcionalidade, ao prever uma sanção leve e de caráter pedagógico para infrações leves. A advertência não está prevista em sistemas jurídicos próximos, como é o caso do Código de Defesa do Consumidor ou da Lei de Defesa da Concorrência", explica o professor.

Da mesma forma, a multa prevista na LGPD (de 2% do faturamento, excluídos tributos, até um teto máximo de R$ 50 milhões) tem valor módico, segundo o professor, especialmente se se comparada a penalidades da lei de defesa da concorrência, que estabelece multa de até 20% sobre faturamento bruto.

"É módico" também, quando se considera o crescente uso de dados pessoais como motor da economia da informação, justificando a necessidade de que o valor da sanção seja elástico", comenta o professor.

Danilo diz que o conceito de infração previsto no dispositivo referente à multa deve ser interpretado à luz dos outros dispositivos da Lei, em especial ao princípio da mínima intervenção, previsto no parágrafo primeiro do artigo 56 da LGPD, que incide quando da aplicação de sanção em violação à lei.

"Dessa forma, por exemplo, se uma empresa teve vários vazamentos de dados em razão de um incidente de segurança eles formam apenas uma única infração referente à não adoção de medidas de segurança, técnicas e administrativas adequadas, podendo inclusive ser considerada uma infração continua se perdurar no tempo", explica Doneda.

A LGPD também previu que a aplicação das sanções deve seguir o devido processo administrativo com ampla defesa, e uma série de critérios determinados no seu artigo 52 como a gravidade da infração, a boa-fé do infrator, sua condição econômica, sua eventual cooperação, a reincidência, o grau do dano, a adoção de medidas para minimizar o dano, a adoção de medidas corretivas, entre outras.

"A LGPD determinou ainda que sejam estipulados critérios concretos sobre a dosimetria da multa, com a previsão da necessidade da formulação de uma metodologia de cálculo para os valores de multas, de acordo com o artigo 53", completa Doneda.

Portanto, em vez de vetar esses artigos, o governo poderia atribuir à ANPD (que alguns dentro do governo já começaram a chamar da Anadados, em analogia à denominação de alguma agência reguladoras como a Anatel e a Aneel), a tarefa de debater com todo o ecossistema regulado as metodologias e o modus operandi da fiscalização e da aplicação das sanções. Inclusive, a própria natureza da ANPD. A expectativa do setor empresarial e do terceiro setor é a de que a ANPD seja uma autarquia especial, nos molde da ANA — Agência Nacional de Águas, da ANP — Agência Nacional de Petróleo, da ANS — Agência Nacional de Saúde Sumplementar, entre outras.

Gigantes da Internet são favoráveis à LGPD
Gigantes da Internet, como Facebook, Google e outras grandes empresas de nuvem associadas à Brasscom, são favoráveis à sanção da LGPD, sem vetos.

E, ao menos em relação às multas, é fácil entender por que elas preferem o disposto da LGPD. Segundo Doneda, o veto ao dispositivo da multa ou à suspensão de atividades poderia levar à aplicação do artigo 12 do Marco Civil da Internet, que prevê multa de 10% do faturamento bruto do grupo econômico no Brasil (sem o teto de R$ 50 milhões previsto na LGPD) ou à suspensão temporárias das atividades (sem o prazo máximo de 6 meses previsto na LGPD).

Nas semana passada, esse ponto chegou a ser levantado também por Carlos Affonso Souza, diretor do Instituto de Tecnologia e Sociedade (ITS-Rio), durante sua participação no IX Seminário de Proteção à Privacidade e aos Dados Pessoais, promovido pelo Comitê Gestor da Internet no Brasil (CGI.br).

Quanto às empresas do setor financeiro, diante da eventual inexistência da previsão de multa, poderiam ser aplicadas as penalidades do Código de Defesa do Consumidor, conforme dispõe a Lei do Cadastro Positivo (artigo 17 da Lei 12.414, de acordo com Doneda). "Nesse caso, porém, as multas superariam as da LGPD, pois todos os órgãos descentralizados de defesa do consumidor (cerca de 800) poderiam, individualmente, aplicar multa cujo teto está próximo de 10 milhões de reais", explica o professor.

Ou seja, em ambos os casos – tanto para o setor de internet, quanto para o setor de proteção ao crédito – o veto às multas acabaria trazendo uma situação mais prejudicial do que as sanções previstas na própria LGPD.

Outras possibilidades de veto
Dias atrás, durante o IX Seminário de Proteção à Privacidade e aos Dados Pessoais do CGI.br, questionado sobre os pontos que consideraria passíveis de veto pelo Presidente Temer, Thiago Camargo, Secretário de Políticas Digitais do Ministério da Ciência, Tecnologia, Inovações e Comunicações, confirmou aos presentes que o Ministério da Fazenda enviou um parecer de 152 páginas para a equipe do Planalto encarregada de deliberar sobre a LGPD.

"Não sei o que está escrito lá, mas 152 páginas me assustam", comentou o secretário.

Segundo ele, há dentro do governo alguns questionamentos em relação à possibilidade de compartilhamento de dados do setor público com entes privados. E, em uma reunião com os ministérios, chegaram a ser solicitados mais de 40 vetos. "Houve realmente um risco de retalhamento da lei. Mas eu acho que agora, o que está acontecendo, é um debate em torno do veto à criação da autoridade e tudo o que é acessório à autoridade, como as sanções e o conselho consultivo. O Ministro da Justiça já falou abertamente que vai solicitar veto em relação a isso", comentou Thiago.

Segundo o secretário, existem também algumas solicitações de veto em relação ao parágrafo oitavo do artigo 18, porque ao mesmo tempo que se cria uma lei com uma autoridade única, se delega alguma competência a órgãos de defesa do consumidor.

Além disso, como muitos órgãos públicos entraram tardiamente no debate, e as sanções ao setor público são imputadas pelo Sistema U *, ainda há o receito de que o CPF dos gestores públicos envolvidos seja afetado.

"O que eu tenho defendido abertamente é que, nesse momento, se vete a autoridade e se envie uma Media Provisória para criá-la, e que a gente passe 18 meses corrigindo, repensando e discutindo os pontos da lei que ainda geram dúvidas", comenta o secretário. Entre elas, não dar o que o secretário denomina "superpoderes" do governo e cobrar accountability do governo.

Se houver vetos inevitáveis, que sejam mínimos
A essa altura, depois de muitas tentativas de negociação em Brasília,  empresários e membros da sociedade civil favoráveis à sanção integral da LGPD torcem para que os vetos, se inevitáveis, sejam mínimos e técnicos, no sentido de minimizar riscos jurídicos. E que o Planalto dê uma solução para os questionamentos à ANPD.

A campanha pela sanção integral segue firme e forte nas redes sociais, conduzida pela Coalizão Direitos na Rede, identificada pela #NãoVetaTemer.

Já entre empresários e advogados,  há os que defendam que a sanção da LGTD é uma oportunidade ímpar do presidente Michel Temer marcar positivamente a sua passagem pela Presidência da República.

Presentes ao Seminário de Proteção à Privacidade do CGI.br, Bruno Gencarelli (Diretor Geral de Justiça e Consumidores da União Europeia), Bojana Bellamy (Centre for Information Policy Leadership) e Sophie Kwasny (Council of Europe) concordaram que, para o Brasil entrar efetivamente no mapa global de fluxo de dados, sendo considerado por outros países e blocos econômicos como um país de nível de confiabilidade adequado, é necessário promover avanços, não só na infraestrutura legal – com a nova lei –, mas também de maneira institucional, a partir da existência da uma ANPD independente e autônoma.

"Sou muito otimista que teremos a sanção presidencial sem vetos, pois a não existência de uma autoridade garantidora retira a efetividade da lei", afirmou o deputado federal Orlando Silva (PCdoB/SP), relator do PLC 53/2018 na Câmara dos Deputados, durante a abertura do seminário.

OK. A sorte está lançada…

_____

(*) Em tempo:  "Sistema U" é a forma pela qual o mercado se refere ao conjunto de controles integrado pelas fiscalizações conduzidas no âmbito da União pelo Tribunal de Contas da União (TCU), Ministério da Transparência, Fiscalização e Controladoria-Geral da União (MTFCGU) e Ministério supervisor ao qual a empresa estatal esteja vinculada, por intermédio da Advocacia-Geral da União (AGU).