LGPD (quase) em vigor e as lições para o Brasil após 2 anos de GDPR na Europa

Por Yuri R. Ladeia | 03 de Setembro de 2020 às 10h00
Tripla

A Lei Geral de Proteção de Dados brasileira — LGPD, publicada em 15 de agosto de 2018 —, deveria ter vigorado em 16 de agosto de 2020, o que não se efetivou. Ocorre que o Senado Federal, em 26 de agosto, avançou quanto à vigência da LGPD, isto porque a Medida Provisória – MP 959 teve revogado o seu art. 4º, que tratava da postergação do vigor da norma. Com isso, voltou a valer o prazo da Lei nº 14.010/2020 e, portanto, a LGPD terá sua vigência iniciada a qualquer momento, assim que o Presidente da República sancionar ou vetar o restante dos dispositivos da MP.

Diante da iminência do vigor, muitas empresas e entidades viram-se numa encruzilhada sobre o que fazer, o que esperar sobre a proteção de dados no Brasil e quais os efeitos que isso gerará em suas operações. Sendo esse um tema novo em território nacional, as respostas sobre os efeitos, baseadas em experiência prática, estão na Europa, ao abrigo do Regulamento Geral da Proteção de Dados – RGPD/GDPR.

A fim avançar quanto ao que fazer e expectativas, com base na experiência prática com o GDPR, em Portugal, bem como nas informações divulgadas pelas autoridades europeias sobre a proteção de dados, serão elucidados pontos-chave para minimizar surpresas e estar melhor preparado para o por vir,  após mais de dois anos de GDPR em vigor.

As lições percebidas após dois dias de RGPD/GDPR

Dois anos após sua entrada em aplicação, o GDPR foi um sucesso, atendendo muitas das expectativas, mesmo que várias áreas ainda tenham necessidade de melhorias futuras. Apesar disso, a Comissão Europeia e as autoridades de proteção de dados dos respectivos estados-membros da Europa consideram prematuro tirar conclusões definitivas quanto às propostas para a sua revisão, o que demonstra que o Brasil ainda terá muito o que adaptar após o vigor e efeitos da norma.

Foi observado o aumento da convergência global em torno dos princípios compartilhados pelo GDPR, o que tem permitido oportunidades para facilitar fluxos de dados seguros, para o benefício dos cidadãos e das empresas. Isso demonstra o motivo pelo qual o Brasil tem se apressado em adequar ao padrão europeu no nível de dados pessoais, com a LGPD.

Quais melhorias o GDPR trouxe?

Segundo a comissão europeia (2020), 69% da população com mais de 16 anos na UE já ouviu falar do RGPD, e 71% das pessoas ouviram falar da autoridade nacional de proteção de dados, de acordo com resultados publicados em uma pesquisa da Agência de Direitos Fundamentais da UE. 

Ao nível concorrencial, ao estabelecer um quadro harmonizado para a proteção de dados pessoais, o RGPD garantiu que todas as empresas no mercado interno estão sujeitas às mesmas regras e beneficiam das mesmas oportunidades, independentemente de estarem estabelecidas e onde o tratamento é realizado.

 Além disso, a privacidade tornou-se uma qualidade competitiva que os clientes estão cada vez mais considerando na escolha de seus serviços. Para as PME, a implementação do direito à portabilidade de dados tem o potencial de reduzir as barreiras à entrada de serviços amigáveis ​​à proteção de dados.

Como o GDPR foi aplicado às novas tecnologias durante a pandemia de COVID-19?

O GDPR, baseado no risco e tecnologicamente neutro, tem proporcionado um nível de proteção de dados razoável ao risco de tratamento por tecnologias emergentes. Esse é um desafio para o Brasil, que precisa integrar esses conceitos bem acertados nas operações tecnológicas, de modo que tenha um fluxo e avanço constantes ao nível de desenvolvimento e aprimoramento, com garantias de privacidade e proteção dos dados pessoais ao nível regulatório efetivo.

A abordagem jurídica tecnologicamente neutra do regulamento, também observado na LGPD, quando da pandemia de COVID-19, provou-se adequada, uma vez que, conforme observado acima, as regras baseadas em princípios permitiram o desenvolvimento de ferramentas para combater e monitorar a propagação do vírus, sem ignorar a privacidade e proteção de dados. Apesar disso, ainda há muito a ser ajustado.

Desafios iminentes para o GDPR e LGPD a nível tecnológico regulatório

A abordagem baseada no risco do GDPR será aplicada no futuro quadro da União Europeia para Inteligência Artificial, bem como na implementação da Estratégia Europeia de Dados. Esta buscará promover a disponibilidade de dados e a criação de espaços europeus comuns de dados, inclusive pessoais. 

Esse é um desafio que o Brasil, em breve, terá de enfrentar, uma vez que beneficiará em larga escala o avanço econômico do país, em todos os setores. Logo, se o Brasil quiser participar desta que, em breve, poderá ser uma iniciativa global, terá que avançar regulatoriamente, juntamente à comunidade empresária, para tirar os proveitos desta oportunidade, em conformidade.

Como tem funcionado a cooperação internacional entre autoridades de proteção de dados dentro e fora da Europa?

As autoridades de proteção de dados nacionais de cada estado-membro têm trabalhado muito ativamente, em conjunto como membros do European Data Protection Board - EDPB. Eles já usam intensamente a ferramenta de cooperação de assistência mútua. No que se refere ao mecanismo de consistência, o EDPB adotou diversos pareceres nos últimos dois anos. No entanto, ainda não foram utilizadas as ferramentas de resolução de litígios, nem procedimentos de urgência até o momento.

Isto demonstra que o Brasil, se quiser participar das transferências  transnacionais de dados junto à Europa e conquistar a tão esperada Decisão de adequação do comitê europeu sobre a proteção de dados, terá que provar que a LGPD e a Autoridade Nacional da Proteção  de Dados – ANPD são consistentes e entregam nível de segurança semelhante ao europeu.

As principais questões a serem trabalhadas no sentido das transferências internacionais de dados pessoais são:

  • As diferenças nos procedimentos administrativos nacionais;
  • Interpretações variadas de conceitos relativos ao mecanismo de cooperação abordagens variadas em relação ao início do procedimento de cooperação;
  • O momento e a comunicação de informações.

O EDPB indicou que irá clarificar as etapas processuais para reforçar a cooperação entre a autoridade de proteção de dados principal e as autoridades de proteção de dados em causa.

Que países já têm decisão de adequação com a Europa e como o GDPR contribui para os padrões globais ao nível de proteção de dados?

O GDPR surgiu como um ponto de referência e atuou como um catalisador para muitos países e estados em todo o mundo, considerando como modernizar suas regras de privacidade. Chile, Coreia do Sul, Brasil, Japão, Quênia, Índia, Tunísia, Indonésia, Taiwan e o estado norte-americano da Califórnia são alguns deles.

Assim como a LGPD, outros Instrumentos jurídicos internacionais foram inspirados nos princípios do GDPR, tais como a modernizada “Convenção 108” do Conselho da Europa ou a iniciativa “Data Free Flow with Trust” do Japão. Esta tendência para a convergência global traz novas oportunidades para aumentar a proteção dos europeus e, ao mesmo tempo, facilitar o fluxo de dados e reduzir os custos de transação para os operadores comerciais.

Com quem o Brasil precisa aprender para participar dos fluxos de dados internacionais com a Europa?

Através da decisão de adequação, os países aprovados pela Europa desenvolveram-se como os principais parceiros com vista a alcançar uma conclusão de adequação, e produziram resultados importantes, como a criação entre a União Europeia – UE  e o Japão da maior área mundial de fluxos de dados gratuitos e seguros, externa à Europa. 

O trabalho em andamento também diz respeito a outros mecanismos de transferência, como cláusulas contratuais padrão e certificação, para aproveitar todo o potencial das regras do GDPR sobre transferências internacionais, sendo esse tema de interesse para o Brasil.

Quais são os próximos avanços na Europa e para o Brasil sobre a proteção de dados?

A Comissão Europeia pretende avançar no contexto da prevenção, investigação, detecção e repressão de infrações penais, de modo a evitar a fragmentação ao nível da UE e garantir a total coerência da legislação europeia com o RGPD e os outros instrumentos do quadro de proteção de dados da UE. Isso inclui a Diretiva (UE) 2016/680 — a Diretiva de Aplicação da Lei —, que abrange a proteção de dados nos domínios da polícia e da justiça penal. Estes alinhamentos buscarão garantir uma abordagem consistente e um elevado nível de proteção dos dados pessoais, bem como segurança jurídica e clarificação das questões.

Ao nível Brasil, alguns passos atrás, ainda é preciso:

  1. Garantir a eficicácia da LGPD e atuação efetiva da ANPD (Segurança jurídica);
  2. Atingir nivel de conformidade equivalente à Europa para conquistar a decisão de adequação para poder participar do fluxo de transferência de dados transnacional com União Europeia – UE;
  3. Garantir a coesão com normas que conversam com a proteção de dados, nacionais e internacionais;
  4. Atingir maturidade neste tema, após as experiências e efeitos nacionalmente observados, que no momento, são percebidas apenas na Europa, como forma de adiantamento face à realidade nacional, como é o caso deste artigo.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.