LGPD finalmente entra em vigor

Faz pouco mais de dois anos que as empresas brasileiras de quase todos os segmentos e portes convivem com a expectativa da entrada em vigor da Lei Geral de Proteção de Dados (LGPD) — Lei 13.709/18. Depois de vários adiamentos e indefinições, e ainda sem o endereçamento de pontos importantes, a LGPD finalmente passou a vigorar no dia 18 de setembro, com a sanção do presidente da República. A lei, entretanto, tende a gerar muita discussão e incerteza, considerando sua importância e abrangência e a estrutura ainda incompleta para uma efetiva proteção dos dados.

Esse diploma legal, inspirado numa legislação europeia (GDPR), dispõe sobre o “tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”, conforme diz o texto da lei. Como nos dias atuais um sem-número de empresas colhe, armazena e utiliza dados de clientes, a LGPD é uma lei que tem implicações muito amplas e diversas partes interessadas.

A incerteza quanto à data foi bastante prejudicial, na avaliação de Bernardo Freitas, sócio do Freitas Ferraz Capuruço Braichi Riccio Advogados. “Com a indefinição a respeito do início da vigência da lei, houve uma enorme insegurança jurídica no que diz respeito à data a partir da qual esses deveres e obrigações poderiam ser exigidos das empresas e fiscalizados pelas autoridades competentes”, destaca.

Outro ponto problemático, acrescenta Eugênia Siqueira, sócia do Coimbra & Chaves Advogados, é a inexistência da agência oficial responsável pela fiscalização do tratamento de dados pessoais. “A vigência da LGPD sem a efetiva instauração da Autoridade Nacional de Proteção de Dados (ANPD) gerará uma situação de insegurança jurídica na aplicação da lei”, afirma. A ANPD, órgão que ainda precisa ser criado pelo Executivo, também ficará com a responsabilidade de regulamentar partes da lei.

A seguir, Freitas e Siqueira abordam tópicos importantes relacionados à Lei Geral de Proteção de Dados e à adaptação das empresas.

---

Em um processo intrincado, o Legislativo finalmente estabeleceu a vigência da Lei Geral de Proteção de Dados (LGPD) a partir da sanção do presidente da República. Em que medida os percalços para o início da vigência dessa lei afetam as empresas em termos de segurança jurídica?

A LGPD impõe aos agentes manipuladores de dados pessoais uma série de deveres e obrigações. Com a indefinição a respeito do início da vigência da lei, houve uma enorme insegurança jurídica no que diz respeito à data a partir da qual tais deveres e obrigações poderiam ser exigidos das empresas e fiscalizados pelas autoridades competentes.

Como é sabido, a LGPD cria uma série de regras sobre o tratamento de dados pessoais e que deverão ser observadas pelas empresas, sob pena de aplicação de penalidades que podem variar da advertência à proibição do exercício de atividades relacionadas a tratamento de dados.

Além dos entraves na definição da data em que a LGPD entraria em vigor, e que dificultaram a adequação das empresas aos seus dispositivos, especialmente no contexto da pandemia de covid-19, a vigência sem a efetiva instauração da Autoridade Nacional de Proteção de Dados (ANPD) gerará uma situação de insegurança jurídica na aplicação da lei. Isso porque a ANPD será a responsável por zelar pela proteção dos dados pessoais e fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à LGPD. A agência também ficará responsável por elaborar diretrizes para a chamada política nacional de proteção de dados pessoais e da privacidade.

Assim, enquanto a ANPD não for instaurada e organizada, haverá indefinição quanto à efetividade da LGPD.

---

O vaivém de datas prejudicou a adequada preparação das empresas às normas legais de proteção de dados pessoais?

Tendo em vista a relevância e a complexidade (conforme o caso) dos procedimentos necessários à adequação à LGPD, bem como os potenciais custos envolvidos, o “vaivém de datas” pode ter desestimulado algumas empresas a se adequar à LGPD — vislumbrando a possibilidade de adiamento do início de vigência da lei. No entanto, para aquelas empresas que perceberam a adequação à LGPD como uma oportunidade de negócios, por meio do desenvolvimento e do melhoramento de seus processos de tratamento de dados, esse vaivém não foi um impeditivo e o processo de adequação foi concluído ou está encaminhado.

As várias mudanças da data de entrada em vigor da LGPD certamente prejudicaram a preparação das empresas às normais legais de proteção de dados pessoais. É de se imaginar que diversas empresas vinham postergando os gastos envolvidos com essa adequação, principalmente durante o contexto da pandemia de covid-19, com a perspectiva de que a LGPD entraria em vigor apenas em maio de 2021, conforme definido pela Medida Provisória 959. A decisão do Senado de não adiar mais uma vez a entrada em vigor da LGPD pegou muitas empresas de surpresa — agora elas terão que correr contra o tempo para retomar ou mesmo dar início aos processos de adequação.

---

Na sua percepção, qual o estágio atual da preparação da adaptação das empresas ao que estabelece a LGPD? A pandemia prejudicou o processo?

O “vaivém de datas” desestimulou algumas empresas a iniciar o processo de adaptação à LGPD. Acreditamos que esse processo ainda esteja muito incipiente, especialmente em empresas de médio e pequeno portes.

Esse cenário foi piorado com a pandemia. Muitas sociedades sofreram (e ainda sofrem) com perdas financeiras, desligamento de pessoal e corte de gastos. Como a adaptação à LGPD demanda esforços internos, reestruturação da cultura empresarial e dispêndio de recursos financeiros, durante a pandemia o processo pode ter se tornado impraticável pela existência de outras “preocupações” — como a própria sobrevivência do negócio, em alguns casos.

No entanto, com o início de vigência da lei, acreditamos que muitas empresas iniciarão seus processos de adequação e que, em breve, estaremos em um estágio mais evoluído.

A adaptação exigida pela LGPD é complexa e pode ensejar custos consideráveis, principalmente para pequenas e médias e empresas, ao contrário de algumas multinacionais, que já obedecem a diplomas legais semelhantes de outras jurisdições. Nesse contexto, poucas empresas de pequeno e médio portes estarão efetivamente preparadas para a entrada em vigor da LGPD nos próximos dias.

A pandemia de covid-19 certamente prejudicou o processo, na medida em que diversas empresas postergaram as providências de adequação como uma forma de cortar custos. Havia, ainda, probabilidade de a vigência ser novamente adiada, conforme inicialmente proposto pela MP 959.

---

Mesmo antes da instauração da Agência Nacional de Proteção de Dados, prevista na legislação, as empresas podem eventualmente ser fiscalizadas e autuadas por outros órgãos, como o Procon e o Ministério Público?

A Agência Nacional de Proteção de Dados será o órgão primariamente responsável pela fiscalização da adequação das empresas à LGPD e aplicação das sanções administrativas previstas na lei. Entretanto, o Ministério Público continua competente no que diz respeito a questões que venham a interferir ou a prejudicar direitos difusos dos cidadãos (que, conforme o caso, podem ser titulares de dados). O Procon também continua competente para atuar na defesa dos consumidores em geral (que, da mesma forma, também podem ser titulares de dados).

Porém, a interseção entre as competências das três autoridades é assunto que vem causando polêmica no mundo jurídico. Ainda não se sabe qual será a esfera de atuação exata de cada uma das autoridades no que diz respeito à proteção dos titulares de dados. De toda forma, temos observado o Ministério Público e o Procon assumirem posições de fiscalização contra grandes sociedades empresárias que realizam tratamento de dados, mesmo antes do começo da vigência da LGPD.

Antes da efetiva instauração da Autoridade Nacional de Proteção de Dados é esperado que órgãos como o Procon e o Ministério Público tenham papel preponderante na aplicação da LGPD, especialmente considerando a previsão constante de seu art. 42. O artigo dispõe que “o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”.

---

---