Pedro Henrique Ramos, sócio do escritório Baptista Luz Advogados. Show Sim, a Lei Geral de Proteção de Dados Pessoais (LGPD) começa agora pra valer. Embora as sanções aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) só comecem a vigorar no ano que vem, os cidadãos já podem exercer seus direitos com base na lei, e juízes podem aplicar multas e sanções a empresas que não cumprirem esses direitos. Em termos de política pública, os objetivos da LGPD são fundamentais. Conscientizar as empresas sobre o uso de dados pessoais e educar os cidadãos sobre o controle que eles podem exercer sobre seus dados é simplesmente incrível. Criar uma cultura de zelo e cuidado sobre a privacidade é o grande acerto da LGPD. Contudo, ainda que uma lei possa ser motivada por uma política pública nobre, isso não a torna automaticamente uma boa lei. DESAFIOS À VISTA: CUSTO DE ADEQUAÇÃO ALTO E FISCALIZAÇÃO DIFÍCIL A lista de críticas à LGPD é longa. Trata-se de uma lei extensa e complicada, com diversas obrigações ambíguas, de difícil interpretação, e um custo regulatório imenso para sua fiscalização e aplicação. Essas complexidades tornam-se um desafio para empresas, sobretudo as pequenas e médias. O custo para se adequar à LGPD é astronômico. Na ausência de pesquisas robustas sobre o tema no Brasil, vale recorrer àquelas que analisaram a adequação à General Data Protection Regulation (GDPR), em vigor na União Europeia desde 2018.
Será que esse custo realmente representou uma mudança na cultura de proteção de dados? Na Europa, quase 70% do valor das multas aplicadas por autoridades nacionais vieram do Reino Unido — que, desde a entrada em vigor da GDPR, aplicou… três multas. Entre as autoridades nacionais dos 28 países da União Europeia, 20 aplicaram dez multas ou menos. Evidentemente, a aplicação de multas não é uma métrica definitiva sobre se uma lei está ou não sendo aplicada. Mas não deixa de ser um indicativo quanto a sua fiscalização (e as dificuldades podem vir exatamente do custo regulatório). Será que teremos esse cenário no Brasil? É sabido que buscamos inspiração na GDPR – e talvez sem o devido viés crítico. COM INCERTEZAS POLÍTICAS E JURÍDICAS, COMEÇAMOS COM O PÉ ESQUERDO A GDPR foi desenhada dentro de um contexto social e político diferente do Brasil, e vem trazendo consequências adversas, como desincentivos à inovação, aumento de poder econômico de incumbentes e burocracias que têm frustrado empresas, governos e cidadãos.
Na Europa, a maioria das autoridades nacionais de proteção de dados possuem recursos escassos e riscos de captura. No Brasil, começamos com o pé esquerdo: a ANPD (cujas atividades irão definir a aplicação de mais de uma dezena de artigos da lei) ainda não está sequer constituída para valer, e o governo não parece indicar orçamento suficiente para custeá-la. Além disso, há outro fator político: nosso modelo de democracia de alianças pode levar a uma captura institucional desse órgão.
Em termos de conscientização, não vejo o Brasil com um projeto real sobre o tema – na verdade, quase nenhum país o tem. Nas próximas semanas, seremos bombardeados por e-mails sobre “mudanças na política de privacidade” e pop-ups avisando que “este site utiliza cookies…”. Talvez reguladores se sintam bem ao ver esse tipo de abordagem (e por isso as empresas a adotam). A realidade, porém, é que esses avisos irritam as pessoas — que ignoram e fecham o navegador ou apenas “clicam ok” sem pensar, para tirar a barra ou caixa chata do caminho e chegar logo ao conteúdo que querem ver. HÁ PONTOS POSITIVOS NA LEI. E TAMBÉM MUITA “ESPUMA” DE AGENTES INTERESSADOS Há bons caminhos em nossa lei, e que precisam ser comemorados. A visão sobre legítimo interesse que a lei traz é muito mais avançada do que a europeia, e pode representar um caminho menos intrusivo e, se bem aplicado, mais coerente em relação ao controle que os usuários podem ter sobre seus dados. Leia também: “Nos pedem nossos dados pessoais e ficamos até constrangidos em perguntar o porquê. É comum passarmos sem discutir” A promoção de aspectos de governança às empresas também é excelente – ainda que seja urgente que a ANPD relativize esses requisitos para pequenas empresas e setores que não utilizam intensamente dados pessoais em seu negócio. Porém, se comemorarmos primeiro e refletirmos depois, corremos risco de nos deixar enganar por um véu de empolgação.
Em outras palavras: pode-se estar vendendo uma “lei geral”, quando na verdade trata-se de mais uma lei ordinária, inserida dentro de um sistema jurídico maior e de um contexto social e econômico bem mais amplo. EXERCÍCIO DE FUTUROLOGIA: NOVE PREVISÕES PARA OS PRÓXIMOS ANOS Os próximos dois anos trarão desafios importantes para termos uma visão mais nítida sobre os efeitos da LGPD e sua credibilidade política e jurídica. Fazendo um exercício de futurologia, prevejo que: 1) Surgirá um movimento de “vendedores de tese” no contencioso de massa, com casos de litigância de má-fé, e que impactará de forma mais dura empresas de abrangência nacional; 2) Podemos ter prejuízo à competição em determinados setores, em que as maiores empresas (e com mais dinheiro para pagar consultores e advogados) serão privilegiadas em comparação com startups e PMEs; 3) Determinados atores políticos e do sistema judicial tentarão, com ótimas intenções, levantar a bandeira em defesa da lei. Mas haverá também oportunistas que usarão disso para interesses pessoais (e que vão ajudar a fomentar verdadeiras gráficas para impressão de notificações); 4) Parte dos cargos da ANPD serão ocupados por pessoas técnicas e competentes, mas o componente de indicação política poderá prevalecer, tanto na diretoria da autoridade, quanto no conselho; 5) Haverá um arrefecimento do mercado de escritórios de advocacia, consultorias e cursos LGPD, com poucos bons atores mantendo-se firmes por conta da capacidade de reinvenção e adaptação, e os demais desaparecendo; 6) O papel de DPO (Data Protection Officer) será valorizado nas empresas mais expostas às obrigações da LGPD e ao contencioso de massa (como techs, telecoms, varejo, e-commerce); em outras empresas, esse papel passará por um ajuste de mercado e orçamentos; 7) As grandes multas aplicadas pelo Ministério Público, órgãos de defesa de consumidor e pela ANPD serão focadas em um grupo muito pequeno de empresas (e primordialmente em casos de incidentes de segurança da informação); 8) O atraso no início das operações da ANPD representará uma perda de oportunidade para criação de um movimento consistente de educação e conscientização; dificilmente teremos uma percepção geral da população sobre uma maior proteção de dados nos próximos dois anos; 9) Considerando o momento político do Brasil, é possível que a LGPD seja utilizada para determinações abusivas do Judiciário, que podem afetar a liberdade de expressão de forma ainda mais intensa do que aconteceu com a GDPR. Parece um cenário pessimista? Espero estar errado em todos os itens acima…
Não será diferente com uma lei cercada de tantas expectativas como a LGPD. Pedro Henrique Ramos é Mestre em Direito e Desenvolvimento pela Fundação Getúlio Vargas, sócio do Baptista Luz Advogados e coordenador das áreas de Transações de Tecnologia, Proteção de Dados e Mídia e Publicidade. Foi consultor do Ministério da Justiça na elaboração do decreto 8.771/16, que regulamentou o Marco Civil da Internet, e é membro do Subcomitê “Ambiente Normativo de Startups” do Comitê Interministerial para a Transformação Digital. 6832 Total Views 2 Views Today Quem é o responsável por fiscalizar o cumprimento da LGPD?A ANPD é o órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por regulamentar, implementar e fiscalizar o cumprimento da LGPD no Brasil. 3.2 - Qual é o papel da Autoridade Nacional de Proteção de Dados – ANPD?
De quem é a responsabilidade de aplicar corretamente as medidas de tratamento de dados LGPD?No âmbito da LGPD, o tratamento dos dados pessoais pode ser realizado por dois agentes de tratamento, o controlador e o operador. O controlador é definido pela Lei como a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
De quem é a responsabilidade legal pelo tratamento dos dados pessoais?A responsabilidade civil na LGPD
estão na Seção II do Capítulo VI, intitulado 'Dos Agentes de tratamento de dados pessoais'”. o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”. respeito das práticas a serem tomadas em relação à proteção de dados pessoais”.
O que é o controlador na LGPD?O controlador é quem toma as decisões referentes ao tratamento de dados pessoais e o operador, aquele que realiza o tratamento de dados pessoais em nome do controlador. 4 Art. 5º, IX, da LGPD.
|