Adiar a vigência da Lei Geral de Proteção de Dados Pessoais não é solução

Esta semana, com todo mundo supostamente distraído pelas rusgas políticas de Brasília, o óleo nas praias do nordeste, os muitos eventos empresariais em São Paulo, etc e tal, um novo projeto de lei, o de número 5762/2019, apresentado pelo deputado federal Carlos Bezerra (MDB-MT),  deu entrada na Câmara propondo adiar a vigência da Lei Geral de Proteção de Dados (LGPD) em dois anos. Portanto, para 15 de agosto de 2022!

O principal argumento de Bezerra é a falta de tempo das empresas para adequação à lei. Nas suas considerações, o deputado alega que uma pesquisa recente, feita com 143 empresas, a maioria delas de grande porte, indicou que apenas 17% dispõem de iniciativas concretas ou já implementadas de conformidade à lei.  "Se nem mesmo as grandes corporações já estão preparadas para lidar com os desafios introduzidos pela LGPD, para as pequenas empresas o quadro certamente inspira ainda mais preocupação, sobretudo neste momento de grave turbulência econômica que o Brasil atravessa hoje", opinou o deputado.

As críticas não demorara. E foram muitas.

Na opinião de muitos profissionais que acompanham o tema proteção de dados desde a tramitação do PL que culminou na LGPD há mais de um ano, não poderia haver argumento mais contraproducente.

Fazendo um contraponto com o regulamento europeu de proteção de dados, o GDPR, no qual a nossa lei é inspirada, em 25 de maio de 2018,  data no qual ele passou a vigorar, apenas 20% das empresas já haviam atingido a conformidade, conforme relatório realizado pela Trustarc.

Em julho deste ano, quando foi divulgada uma pesquisa realizada pela RSM, esse percentual já havia subido para 70%, restando ainda significativos 30% para a completa conformidade contextual, argumenta a especialista em Proteção de Dados Viviane Nóbrega Maldonado, em artigo publicado no seu LinkedIn. Artigo este no qual ela faz outras considerações sobre a mesma pesquisa usada pelo deputado para fundamentar sua proposta, o estudo Brazil IT Snapshot, da consultoria Logicalis.

Diz Viviane:

"(…)  Do estudo, extrai-se expressamente que a preocupação com o tema da proteção de dados já está em 3o. lugar dentre as empresas pesquisadas (no ano anterior estava na 8a. posição), sendo que 64% das empresas gigantes já estão em processo de implementação de plano integrado de segurança. Além disso, houve aumento de investimento em TI em 2019 para 50% das empresas.

Ora, você não precisa  fazer muito esforço para compreender que, se tal mudança de comportamento decorre das leis de proteção de dados, há óbvia tendência de que esses números se intensifiquem até agosto de 2020 (a pesquisa tomou por base entrevistas entre abril e junho de 2019). Os números revelam claro crescimento nessa direção.

Sendo assim, diferentemente das ilações trazidas pelo PL, os resultados obtidos nessa mesma pesquisa são considerados otimistas e tendentes à conformidade."

Além disso, dados apresentados na plataforma dados.gov, disponibilizada pelo Governo Federal, mostram o aumento da consciência do cidadão sobre seus dados pessoais, segundo o advogado Fabrício da Mota Alves, que foi assessor parlamentar do Senado durante a tramitação do projeto de lei que resultou na LGPD, e um dos que trabalhou pela inclusão da proteção de dados pessoais na lista dos direitos fundamentais previstos na Constituição Federal de 1988.

Segundo Fabrício, o número de reclamações de consumidores junto aos Procons de todo o país envolvendo a utilização de dados pessoais cresceu exponencialmente nos últimos cinco anos, tendo sido verificadas, no ano de 2014, 80 reclamações de consumidores envolvendo dados pessoais, enquanto que, no 1º semestre de 2019, foram verificadas 22.760 queixas acerca da utilização, compartilhamento e/ou consulta não autorizada de dados pessoais. O levantamento é da OAB de Pernambuco.

Números não mentem, jamais! O debate sobre a regulação em proteção de dados já mudou tudo no Brasil.  Mas, se eles não bastam para comprovar o quanto a ideia de prorrogação da vigência da lei é nociva para a sociedade brasileira, social e economicamente falando, há outros pontos ainda mais contundentes.

"Sem regras adequadas, ainda assim as autoridades continuarão a pressionar as empresas para proteger os dados do cidadão, mas com base em leis que não foram pensadas para isso, como o CDC e o Marco Civil da Internet. Já está acontecendo hoje, através dos Ministérios Públicos estaduais, do Procon, do Idec, da Senacon… E isso é péssimo para os negócios", sustenta Fabrício, aludindo à nota pública da OAB de Pernambuco.

Segundo a nota da OAB, além da insegurança jurídica, decorrente de uma nova hermenêutica dessas autoridades sedentas por proteger o novo valor da privacidade,  cada qual fazendo a leitura que convém para chegar ao resultado desejado, sem a LGPD vigente não teremos a sistematização necessária das regras, padrões, metodologias que envolvem a parte técnica do tratamento de dados pessoais.

Tem mais. "A prorrogação do prazo para a entrada da lei em vigor é incompatível com o cenário da economia moderna, pois todas as empresas lidam com dados pessoais e precisam de segurança jurídica para atuar e inovar", complementa a advogada Valeria Reani, especialista em Direto  Digital, Compliance Digital e Privacidade de Dados  e vice-presidente da Comissão Direito Digital OAB Campinas.  "Há grande possibilidade de o adiamento gerar um descrédito para o Brasil diante de  expectativa de investimentos internacionais, impactando no cenário macroeconômico do País.  Sem falar que seria uma mensagem negativa ao mercado, que serviria para desestimula práticas de conformidade e dar a entender que a lei " não vai pegar", comenta.

Marcelo Sousa, presidente da ABRADi, associação que reúne pequenas agências digitais, e diretor-executivo da Marketdata, vai na mesma toada. "Apesar de reconhecer que a maioria das empresas está atrasada e ainda terá muito trabalho para estar em compliance com a lei,  em especial as PMEs que não têm nem o respaldo financeiro necessário nem a experiência importada de seus escritórios europeus que já passaram pela GDPR , entendo que a prorrogação é ruim porque perderemos o timing, o senso de urgência que de alguma forma está nos fazendo correr atrás do prejuízo.  Além disso, a prorrogação pode colocar em risco a própria credibilidade da LGPD", diz ele.

Portanto, apesar de considerarem a prorrogação bem provável, já que há muito se comenta isso em Brasília, especialmente entre alguns poucos setores da sociedade que insistem em defender que a LGPD é uma lei que "não vai pegar", como os dos  bancos e o das startups, que sempre defenderam a tese de que  a proteção de dados inibe a atividade econômica e a inovação, a maioria dos profissionais ligados ao tema considera que essa possibilidade seria nociva para todos.

"Adiamentos relacionados a uma pauta de transparência, governança e segurança nunca são positivos, nem para o mercado nem para a sociedade", sustenta a advogada Patrícia Peck, em postaegem no LinkedIn.

A pressão deveria ser outra

Na opinião de Marcelo Sousa  o mais sensato seria que a futura Agência Nacional de Proteção de Dados  (ANPD)  propusesse um período transitório, em que atuasse mais como um órgão apoiador do que fiscalizador.  E aí está a outra variável fundamental dessa equação na qual a proposta de prorrogação da vigência foi baseada.

"Deveríamos estar defendendo a rápida constituição da ANPD", afirma Fabrício. "Sem ANPD, a regulamentação mitigada às pequenas e médias empresas fica prejudicada. É da ANPD a atribuição para fazer essa dosagem", diz ele.

De fato, cabe à ANPD a edição de normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, assim como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se aos comandos legais.

Então, voltamos ao ponto inicial da urgência da efetivação da ANPD.  Há meses José Antonio Ziebarth, um dos encarregados  dentro do Ministério da Economia de fazer a ANPD sair do papel, diz que a publicação de uma portaria estruturando o funcionamento do órgão sai em poucos dias e… nada. 

Brigar pela rápida instituição da ANPD seria fazer do limão (a defesa da prorrogação) uma limonada.  Já estamos atrasados.  Mesmo que as nomeações saiam agora, muita gente não acredita que ainda dê tempo de o Senado sabatinar os diretores neste ano. Em teoria temos uma meia dúzia de semanas do Congresso funcionando antes do recesso de fim de ano. As atividades só retornariam em fevereiro, mês curto por natureza e com o Carnaval para complicar. Então… sabatina só em março. 

Há quem diga que a letargia do governo flerta com a irresponsabilidade administrativa. E viola o princípio da legalidade. Segundo essas fontes, que preferiram manter o anonimato, não há nada nas propostas de leis orçamentárias do ano que vem sobre ANPD e sobre adequação à proteção de dados pessoais. Então, sair com a ANPD agora seria deixá-la morta no ano que vem, por falta de recursos. 

Isso teria que ser endereçado o quanto antes.

"Acho que tem espaço para ações populares, representação no Ministério Público federal e na Procuradoria Geral da República, Ministérios Públicos Estaduais…", comentou uma dessas fontes.

Há ainda quem defenda, por exemplo, a suspensão inicial de aplicação de multas, com priorização de advertências educativas, no lugar do adiamento da vigência da lei. Algo que o professor Danilo Doneda, do Instituto de Direito Público e membro já nomeado pela Câmara para 0 futuro Conselho Nacional de Proteção de Dados, considera pouco provável.

"Se a lei entra em vigor, as sanções também. Ter a lei sem sanções seria um experimento jurídico tanto inédito quando indesejável. De toda forma a ANPD vai ter que fazer metodologia sancionatória antes de aplicar qualquer escansão, o que deve levar tempo", explica Doneda. "Não vejo motivo para adiar nem a lei nem as sanções. Ainda que a autoridade esteja atrasada, isto somente esticaria a corda da incerteza. Não são pleitos muito racionais", comenta.

Falta de regulamentação

De todo modo, a falta de regulamentação da LGPD preocupa igualmente quem defende e quem não defende o adiamento da vigência da lei.

"Cerca de 30% da LGPD depende de regulamentação", diz Fabrício. "E a ANPD também precisa editar normas interpretativas. O que significa "pessoa natural identificável"? O que são "meios técnicos razoáveis"?", comenta ele.

A rigor, no entanto, as normas que dependem de regulamentação só terão eficácia depois de regulamentadas mesmo. Então, sua aplicação já demoraria, de qualquer forma, tornando o argumento do PL de Bezerra falacioso e tendencioso.

No fundo, a proposta de prorrogação do prazo para a entrada da lei em vigor só protege quem não fez o dever de casa.

"Estão fazendo pouco caso da pequena parcela de empresas sérias e responsáveis que optaram por desenvolver seus projetos para cumprir a lei e passando a mão na cabeça daquelas que procrastinam", diz Enio Klein, CEO da Doxa Advisers, em artigo no LinkeIn.

Além disso, para os atrasados ter mais prazo pode significar começar mais tarde. Quem garante que quem já deixou o trabalho de conformidade para última hora não vai continuar deixando?

"O problema do Brasil é sempre deixar tudo para última hora… Se as empresas realmente seguissem as leis já estariam com boa parte do que se é exigido na LGPD pronto", opina o analista de Segurança da Informação Marcelo Menezes.  "Algo que percebo em relação as empresas é que parece que estão esperando o governo tomar alguma atitude (campanhas publicitárias, informações da lei, etc) para poderem iniciar suas adequações".

E em matéria de adequação e conformidade há muito trabalho a ser feito, independente de como a ANPD vai aplicar a lei, ou regulamentá-la.  Há muito trabalho, em especial, em relação a segurança e governança de dados.

É notório que a maior preocupação das empresa, sobretudo pequenas e médias, é com a possibilidade de sanções. Multas pesadas e a possibilidade de paralização total ou parcial das atividades assustam mesmo. Mas teriam tantas pequenas e médias empresas em desconformidade?!!! Se sim, mais uma razão para a lei entrar em vigor o quanto antes, e disciplinar o mercado.

É claro que as pequenas e médias empresas vão precisar de regras mastigadas e clareza normativa. Que boa parte dessa empresas não têm a mesma gordura das grandes para serem conservadoras na interpretação da lei, ou para arcarem com sanções de desconformidade. Mas também parece claro, até para o governo, que a ANPD não pode chegar em agosto de 2020 fazendo das sanções o seu principal instrumento.

Será preciso encontrar um equilíbrio. Mas, de certo, ele não passa pelo adiamento da vigência da lei.

"Dois anos já é um período extremamente alto para o vacatio legis [período entre a aprovação de uma lei e a sua entrada em vigor]. Quatro anos seria recorde absoluto", afirma o professor Danilo Doneda.  "A extensão proposta é escandalosa, carimbaria o Brasil como país na vanguarda do atraso na matéria e marcaria uma vitória dos setores mais retrógrados contra a parte da indústria que abraça a modernidade e responsabilidade".