Diante da crise provocada pela Covid-19, o Senado Federal aprovou no último dia 3 a prorrogação do início da vigência da Lei Geral de Proteção de Dados (LGPD) de agosto de 2020 para janeiro de 2021, com exceção das disposições relativas às penalidades em caso de violações à lei, que terão vigência apenas a partir de agosto de 2021. A proposta ainda aguarda apreciação da Câmara dos Deputados, mas, à primeira vista, parece apropriada diante da crise que assola o país. Contudo, a solução “meio termo” proposta pelo Senado, além de ser ilusória e suscetível a provocar insegurança jurídica, ofusca o verdadeiro problema por trás da vigência da LGPD: a ausência da criação da Autoridade Nacional de Proteção de Dados (ANPD).
A proposta em comento é sintomática da abordagem negativa pela qual a LGPD foi apresentada ao mercado por alguns profissionais. “As multas podem chegar a até R$ 50 milhões”, alardeavam em seus materiais promocionais. Essa cultura do medo acabou sendo disseminada em diversos setores, que passaram a ver a LGPD muito mais como um problema do que como uma solução.
A despeito dessa abordagem negativa, a LGPD deveria ter sido apresentada como uma oportunidade para que as organizações pudessem aprimorar suas práticas, seus processos e suas estruturas de governança, de modo a construir relações de confiança com a sociedade civil, especialmente com os titulares dos dados. Essa confiança, baseada em transparência, no uso responsável de dados pessoais e na prestação de contas, faz-se cada vez mais relevante à medida em que os fluxos de informações pessoais são o combustível para o desenvolvimento de novas tecnologias em uma economia quase totalmente orientada em dados.
É nesse contexto que a LGPD traz um potencial enorme para que as empresas busquem maior diferencial competitivo, oferecendo produtos e serviços aderentes a padrões aceitáveis de privacidade, atraindo não apenas mais consumidores, como investidores locais e internacionais. Com a LGPD, a privacidade deixa de ser vista meramente como um custo ou como um ônus, e passa a ser entendida como um investimento necessário a influenciar o valuation das empresas. Não é à toa que, enquanto se discute a prorrogação da LGPD, o próprio mercado já exige das empresas o cumprimento da Lei mesmo antes de sua vigência, fazendo uso da via contratual para normatizar relações jurídicas no que concerne ao tratamento de dados pessoais.
É totalmente ilusória a ideia de postergar as penalidades da LGPD para um período posterior, com vistas a impedir a punição das empresas por eventual infração. O fato de atrasar as suas sanções não impede a atuação do Ministério Público e dos órgãos de defesa do consumidor, que poderão aplicar a LGPD e impor as penalidades já previstas na atual legislação, em especial o Código de Defesa do Consumidor e o Marco Civil da Internet.
Não é segredo que essas autoridades já têm atuado antes mesmo da vigência da LGPD, especialmente em casos de incidentes de segurança que resultem em acessos indevidos a dados pessoais. Vale dizer que com a entrada em vigor dessa lei, mesmo sem as sanções, ninguém poderá impedir a propositura de ações judiciais, individuais ou coletivas pleiteando reparações de danos decorrentes de violações. Como consequência inevitável, teremos uma excessiva judicialização da LGPD e total insegurança jurídica na medida em que os tribunais do país poderão ter entendimentos divergentes sobre a interpretação da lei.
O fato é que o debate em torno da prorrogação da Lei Geral de Proteção de Dados parece desviar o foco do verdadeiro problema: a ausência da ANPD. Embora a LGPD tenha sido sancionada em agosto de 2018 e alterada no início de 2019 para criar a ANPD, até o presente momento essa autoridade não foi efetivamente implementada. Isto é, os membros de seu Conselho Diretor ainda não foram nomeados pelo presidente da República para posterior aprovação pelo Senado, conforme estabelecido pela LGPD.
A criação da ANPD, antes mesmo da entrada em vigor da LGPD, é fundamental para regulamentar os diversos pontos obscuros da Lei, além de orientar sobre os conceitos abstratos, muitos deles importados da legislação europeia (o General Data Protection Regulation — GDPR), resultando em dificuldades e incertezas para que as organizações possam se adequar à LGPD.
Essas dificuldades e incertezas são ainda mais agravadas neste cenário de crise, em que novas medidas de contenção do vírus trazem preocupações com a privacidade e com o tratamento de dados pessoais, especialmente dos dados sensíveis de saúde. São crescentes as preocupações com a possível intensificação de ferramentas de monitoramento e vigilância para combater a disseminação da pandemia. Recentemente foi anunciada uma ação conjunta das operadoras de telecomunicações com o Ministério da Ciência, Tecnologia, Inovações e Comunicações (MCTIC) para a disponibilização de dados de geolocalização dos telefones celulares, ainda que anonimizados, para monitorar aglomerações e conter o vírus.
Diante desse quadro, a atuação da ANPD seria fundamental para elaborar diretrizes e orientar as medidas adotadas pelas diferentes esferas governamentais e entes privados, suscetíveis de impactar a privacidade dos cidadãos. Temos observado uma atuação bastante proativa das autoridades de proteção de dados europeias durante esse período de crise, com a publicação de diretrizes e opiniões voltadas à proteção da privacidade e dos dados pessoais, sem menosprezar a importância das medidas de contenção da Covid-19. A atuação opinativa da ANPD nestes tempos certamente colocaria em segundo plano as discussões sobre a prorrogação da LGPD, já que garantiria um maior nível de segurança jurídica em relação às medidas públicas e privadas implementadas para proteger a vida e a saúde da população.