Bolsonaro sanciona e LGPD entra em vigor nesta sexta-feira. Mas com brechas

Depois de inúmeras discussões, idas e vindas e dúvidas sobre quando ela valeria, a Lei Geral de Proteção de Dados (LGPD) finalmente entrará em vigor. Ela foi sancionada pelo presidente Jair Bolsonaro na última quinta-feira (17) e passa a valer nessa sexta-feira (18). Isso ocorreu a partir de outra sanção presidencial: da Lei 14.058/2020, originada da Medida Provisória (MP) 959/20, que trata da operacionalização do Benefício Emergencial (BEm) pago a trabalhadores com redução de jornada e suspensão de contrato durante a pandemia do novo coronavírus.

No último dia 26 de agosto, ela foi aprovada pelo Senado, sob a forma de Projeto de Lei de Conversão (PLC) 34/2020, que previa que ela passasse a valer 15 dias úteis depois de chegar à Casa Civil e ser sancionada por Bolsonaro. Mas, é importante salientar que as penalidades só começam a ser aplicadas a partir de agosto de 2021, de acordo com a Lei 14.010.

• Perguntas e respostas para você entender a LGPD de forma rápida
• LGPD pode começar a valer hoje, mas sem um "chefe" que controle as regras
• DPO: conheça o "xerife" que cuidará dos dados das empresas na era do LGPD

Em termos práticos, a LGPD exigirá que as empresas tratem os dados de seus usuários em território brasileiro de forma muito mais transparente. E isso vale para a coleta, armazenamento e tratamento dessas informações. De forma prática, será necessário o consentimento do cliente a respeito do uso de seus dados, bem como a possibilidade de solicitar a exclusão dos mesmos caso ele queira. O não-cumprimento dessas regras pode acarretar em multas que atingem até 2% do faturamento das companhias, mas com um teto de até R$ 50 milhões.

"As empresas precisarão definir um série de procedimentos relacionados à comunicação com essas pessoas, permitindo a elas decidir de maneira franca e, mais do que tudo, transparente, sobre até aonde admitem que aqueles dados sejam utilizados", afirmou Gustavo Quedevez, advogado especializado em Direito Digital e Novas Tecnologias e sócio do BVA Advogados, em entrevista recente para o Canaltech. Além disso, o especialista afirma que a lei não será aplicada apenas às Pessoas Jurídicas: "As Pessoas Físicas que realizem o tratamento de dados também estão sujeitas aos mesmos limites definidos para as empresas".

Na questão do consentimento do usuário, há algumas exceções que não exigem a sua autorização da coleta e tratamento dos seus dados. Esses casos envolvem obrigações legais ou obrigatórias, execução de políticas públicas, proteção da vida ou integridade física da pessoa ou terceiro e para fins de saúde pública.

ANPD: a LGPD entra em vigor sem uma entidade que controle as regras

A LGPD entra em vigor nessa sexta-feira (18) sem a presença de uma entidade essencial: a Autoridade Nacional de Proteção de Dados (ANPD). Em um papel semelhante, por exemplo, ao da Anatel ou Anvisa, é ele quem supervisionará e controlará a aplicação das regras da LGPD, além de garantir a segurança jurídica para as empresas operarem - principalmente as micro e pequenas, cuja estrutura não permite profissionais dedicados nesse campo.

Ainda no final de 2018, na gestão do presidente Michel Temer, foi editada a Medida Provisória n. 869/2018, que propôs a criação da entidade. A MP foi aprovada pelo Congresso Nacional com modificações e convertida na Lei n. 13.853, sancionada pelo Presidente Jair Bolsonaro em 9 de julho de 2019.

Para que a ANPD entre em campo, Jair Bolsonaro precisa, inicialmente, escolher o diretor-presidente da entidade e publicar o ato no Diário Oficial da União (DOU). A partir disso, o executivo do órgão poderá criar o quadro de funcionários, bem como as regras de funcionamento. Ainda que o presidente tenha sancionado um decreto com a estrutura da ANPD, ainda se discute a quem a autarquia responderá.

O decreto, publicado no último dia 27 de agosto no Diário Oficial da União, ainda remaneja e transforma cargos em comissão e funções de confiança da Secretaria de Gestão da Secretaria Especial de Desburocratização, Gestão e Governo Digital, do Ministério da Economia, para a ANPD. A medida só entra em vigor na data de publicação da nomeação do diretor-presidente da ANPD no DOU.

Antes disso, havia a possibilidade das atribuições da ANPD ficarem a cargo do Conselho de Administrativo de Defesa Econômica (Cade). Em um estudo de 44 páginas, o órgão defende que isso aceleraria o início das operações da ANPD e poderia acontecer já em janeiro de 2021, gerando ainda economia para os cofres públicos, já que o processo exigiria um investimento mínimo.

O custo estimado para a implementação da ANPD fora do Cade seria de R$ 125 milhões. Já sua incorporação ao conselho custaria apenas R$ 17 milhões. O Cade também alega que já está adequado aos padrões do Regulamento Geral sobre Proteção de Dados (GDPR), a lei de proteção à privacidade vigente na Europa, bem como o da Organização para a Cooperação e Desenvolvimento Econômico (OCDE). Além disso, a entidade afirma que já possui um tribunal que julga processos administrativos punitivos e tem expertise em 23 das 24 competências previstas na ANPD.

Entidades intersetoriais protestam contra a ausência da ANPD

Em carta aberta ao Congresso Nacional enviada em agosto, a "Frente Empresarial em Defesa da LGPD e da Segurança Jurídica" - que reúne 70 associações e entidades, como a Associação Brasileira das Empresas de Software (ABES), a Abranet (Associação Brasileira de Internet), a Abinee (Associação Brasileira da Indústria Elétrica e Eletrônica), a BSA - The Software Alliance, e muitas outras - afirma que LGPD é uma lei principiológica, com inúmeros dispositivos que merecem ser alvos de uma regulamentação ou de uma efetiva orientação pela Autoridade competente. Segundo o movimento, o direito digital e a proteção e dados pessoais são disciplinas novas no Brasil, é de grande relevância que a elaboração dessas normas conte com ampla e irrestrita participação de todos os setores da sociedade, em especial os setores da economia brasileira que serão regulados.

Para o presidente da ABES, Rodolfo Fücher, é importante lembrar que a LGPD não detalha como os dados pessoais devem ser tratados, e sim determina que a ANPD será a responsável por regulamentar esse tratamento. Nesse sentido, a Frente Empresarial pleiteou que a entrada em vigor da LGPD ocorresse apenas após a criação da ANPD, como foi previsto em 2018. "Seria o mesmo que dizer que todos podem ter um automóvel, mas o órgão responsável por definir as leis de trânsito não fosse criado", afirmou Fücher. "Imaginem a confusão e os prejuízos que isso causaria. Infelizmente, a sociedade brasileira está prestes a enfrentar esse caos, no que se refere a um dos itens mais importantes da sociedade moderna: o tratamento e privacidade dos dados de sua sociedade".

Já José César da Costa, presidente da Confederação Nacional de Dirigentes Lojistas (CNDL), entidade que também compõe a Frente Empresarial, destaca o cenário de insegurança jurídica que será criado sem a prorrogação da LGPD: "É fundamental que a lei seja complementada pela criação e entrada em operação da ANPD, que será essencial para orientar o processo de adequação e fomentar boas práticas de tratamento de dados pessoais", declarou. "As empresas ainda estão se reorganizando nesse momento de crise causada pela pandemia da Covid-19, se reajustando e priorizando a manutenção dos empregos e a autopreservação. A adequação à nova legislação exige recursos humanos e financeiros especificamente direcionados, além de orientações claras por parte da futura ANPD. A prorrogação é fundamental para que a LGPD seja efetiva".

Risco jurídico

Representante da categoria econômica das empresas que exercem atividades dos serviços de tecnologia da informação, de telecomunicações e informática, a CONTIC (Confederação Nacional da Tecnologia da Informação e Comunicação) também vinha apoiando que a vigência da LGPD fosse prorrogada, defendendo a regulamentação da ANPD como um passo a ser dado antes.

Para Marcos Ferrari, presidente-executivo da CONTIC e também do Sindicato Nacional das Empresas de Telefonia (Sinditelebrasil), o adiamento das sanções na LGPD, previstas na Lei no 14.010, não afasta o ambiente de incertezas e insegurança jurídica que se criará sem a constituição e início das atividades da ANPD: "Os órgãos de Defesa do Consumidor, Ministério Público e Judiciário poderão interpretar e passar a criar precedentes desalinhados e até mesmo conflitantes entre si", afirmou ele. "Não existirá um regramento claro de interpretação da Lei, bem como diretrizes balizadoras, estímulo na adoção de padrões e boas práticas e procedimentos definidos pela ANPD".

O DPO surge na vida das empresas

Com a LGPD em vigor, mesmo sem a ANPD formada, o fato é que outras três letrinhas ganharão importância nesse novo cenário. Trata-se do DPO, sigla para Data Protection Officer. Trata-se de um profissional especializado no âmbito de proteção de dados pessoais e segurança da informação. Ele assegura a conformidade legal e monitoramento dos tratamentos de dados dentro da empresa, sendo o principal canal de comunicação entre a empresa, os titulares dos dados e a autoridade administrativa - no caso a Autoridade Nacional de Proteção de Dados.

As principais atuações do DPO são aceitar reclamações e comunicações dos titulares, receber comunicações da autoridade nacional e adotar providências, bem como orientar funcionários e os contratados da empresa a respeito das práticas necessárias ao tratamento de dados pessoais.

Em outras palavras, o DPO funcionará como uma espécie de "xerife" dos dados de uma empresa. Isso vale tanto para as informações dos clientes de uma empresa, como também os dados de funcionários da mesma, que trafegam, por exemplo, por companhias que processam folhas de pagamento, convênios de saúde, fornecem vale alimentação e/ou refeição, entre outras.

"Como 'guardião' dos dados pessoais dentro de uma empresa, o DPO de uma companhia deve exigir que todos os projetos que são desenvolvidos dentro de uma organização tenham de passar por ele", afirmou ao Canaltech, Simone Santinato, DPO e diretora da Etek NovaRed Brasil, empresa especializada em segurança da informação. "Ele vai olhar para todas as informações que estão dentro destes projetos e deve questionar quais delas fazem sentido para os negócios da empresa, de forma que ela não enfrente problemas futuros nesse manuseio".

Atualmente, não se exige especializações para se tornar um DPO. Logo, tais cargos podem ser exercidos por diversos tipos de profissionais. Hoje, advogados, administradores e profisionais de TI são os que mais têm interesse pela posição e que buscam informações sobre ela. Os salários para o cargo são atrativos: podem variar de R$ 8 mil a R$ 20 mil de acordo com a senioridade do especialista.

No entanto, nem todas as empresas necessitarão de um DPO em seus quadros. A necessidade em ter um profissional do gênero não está tão atrelada ao tamanho da empresa e sim, ao volume de dados que ela processa.

Por exemplo, Uma companhia de grande porte, com milhares de funcionários, pode não necessariamente manipular informações sensíveis da população dentro do seu modelo de negócios.Já uma startup com 10 empregados, mas que tem como produto um aplicativo que trabalha com dados como CPF, número de cartão de crédito, e-mails e endereços físicos, é obrigada a ter um DPO em seus quadros. Ou contratar uma consultoria que presta este serviço.

Com informações da Agência Brasil