Por Renan Medeiros de Oliveira
A privacidade é considerada direito fundamental no Brasil, sendo protegida no inciso X do art. 5º da Constituição Federal. Apesar disso e das previsões genéricas do Código Civil e do Código de Defesa do Consumidor, por muito tempo faltou no país uma lei específica regulando este direito e seu corolário, a proteção de dados pessoais. Em 2014, o Marco Civil da Internet (MCI) (Lei nº12.965/2014) trouxe previsões sobre a proteção da privacidade na Internet, tendo sido considerada uma lei paradigmática no tema e contribuindo para o cenário regulatório no Brasil. De fato, o MCI foi um avanço de suma importância, mas não supriu todos os aspectos de proteção de dados no mundo globalizado – e sequer tinha essa pretensão, o que fica claro pela previsão do art. 3º, inciso III no sentido de que é um princípio do uso da Internet no Brasil a “proteção dos dados pessoais, na forma da lei”. Por isso, intensificou-se o debate na sociedade e no Poder Legislativo para criar normas de proteção ao indivíduo em um cenário de intensas inovações tecnológicas – debate esse que já em 2010 havia se manifestado na forma de colaboração entre o Ministério da Justiça, o Observatório Brasileiro de Políticas Digitais do Comitê Gestor da Internet no Brasil e a sociedade civil, que resultou em uma versão de projeto de lei sobre proteção de dados pessoais.
Apenas em 14 de agosto de 2018 foi publicada a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), que, fortemente influenciada pela General Data Protection Regulation (GDPR) (Regulamento (UE) 2016/679), a lei de proteção de dados da União Europeia, dispôs sobre o tratamento de dados pessoais no Brasil e objetivou assegurar proteção aos direitos fundamentais, com foco para a liberdade, privacidade e livre desenvolvimento da personalidade. A LGPD contou, desde sua origem como projeto aberto à discussão, com elevada participação da sociedade civil, tendo o processo legislativo sido altamente participativo e de elevado teor colaborativo. Isso permitiu um considerável amadurecimento do tema e conhecimento do projeto por parte da sociedade. Quando de sua promulgação, a lei entrou definitivamente na ordem do dia do país, e, desde então, vem ocupando posição de destaque em inúmeros jornais, sites de notícias, eventos acadêmicos, projetos de empresas privadas e no setor público.
Publicada a lei, previu-se que os seus efeitos seriam produzidos apenas 18 meses após sua publicação, ou seja, em fevereiro de 2020. Pouco tempo depois, a Medida Provisória nº 869, de 27 de dezembro de 2018 – posteriormente convertida na Lei nº 13.853, de 8 de julho de 2019 -, além de ter criado a Agência Nacional de Proteção de Dados (ANPD), ampliou o prazo de vacatio legis para 24 meses contados a partir da publicação da lei, ou seja, a lei entrará em vigor em agosto de 2020. Isso era explicado de um lado, pela necessidade de que a sociedade se adaptasse às novas regras e, de outro, pela indispensabilidade de que a própria ANPD pudesse se estruturar e trabalhar em possíveis regulamentações específicas, já que os artigos relativos à agência tiveram vigência no dia seguinte à publicação da MP. Atualmente, voltou à tona o debate sobre prorrogar mais uma vez o início da produção de efeitos da LGPD.
Com base na ideia de que as empresas do país não estariam prontas para cumprirem as exigências de privacidade e proteção de dados, o Projeto de Lei nº 5.762/2019 tramita na Câmara dos Deputados para prorrogar a entrada em vigor da LGPD para agosto de 2022. Ou seja, a lei poderá ter, ao todo, 4 anos entre sua publicação e o início de produção de efeitos. Na justificativa do PL, o deputado Carlos Bezerra (MDT/MT) aponta que nem grandes corporações e muito menos pequenas empresas estão “preparadas para lidar com os desafios introduzidos pela LGPD (…), sobretudo neste momento de grave turbulência econômica que o Brasil atravessa hoje”. Assim, entende que o novo prazo “será suficiente para que a ANPD seja instalada e as normas necessárias à fiel execução da nova lei sejam devidamente regulamentadas”, bem como que “o Poder Executivo elabore e divulgue campanha pública de conscientização da população sobre a importância da LGPD, permitindo não somente que os cidadãos sejam esclarecidos sobre os direitos conquistados, mas também que as empresas possam se ajustar adequadamente aos princípios e diretrizes estabelecidos pela nova legislação”. No momento em que esse artigo foi finalizado, em fevereiro de 2020, o PL encontrava-se na Comissão de Constituição e Justiça e de Cidadania (CCJC) tendo havido apenas designação de relator (Deputado Eduardo Bismark – PDT/CE).
Não discordamos que a LGPD ainda não é de conhecimento de toda a população e nem que muitas estruturas ainda precisam ser adaptadas. Contudo, muito já se fez desde 2018 com o intuito de se adaptar à lei. Não conseguimos vislumbrar na prorrogação do prazo uma maior mobilização social e, sobretudo, do governo, com o intuito de divulgar e implementar a lei. Essas são medidas que o governo poderia ter feito desde 2018 e ainda tem a possibilidade de fazê-lo, mesmo com a entrada da lei em vigor em agosto de 2020.
O objetivo da nova regulamentação não é criar mecanismos para punir empresas e atrapalhar o avanço econômico, mas, pelo contrário, assegurar proteção efetiva aos indivíduos cujos dados são tratados no Brasil ou no exterior, de modo a proteger de forma eficaz o direito à privacidade. Além disso, também pode ser considerado objetivo da lei, ainda que indireto, estimular o desenvolvimento da economia, colocando as empresas brasileiras em patamar de concorrência com as estrangeiras e dando-lhes a oportunidade de colaboração internacional. Adiar o início da produção de seus efeitos será desrespeitoso com quem tem buscado se adaptar e poderá fazer com que as mudanças a serem implementadas agora pelas empresas, ainda que de forma apressada, também sejam postergadas, além de gerar maior insegurança jurídica.
É importante destacar, mais uma vez, o objetivo principal da lei: proteger os dados e a privacidade dos indivíduos. Enquanto o tempo passa, os dados continuam a ser coletados, usados, tratados e armazenados, mas não necessariamente de forma adequada e com a preocupação de proteção aos dados pessoais e sensíveis dos titulares de dados (estejam os dados ou não em meio digital ou analógico). Notícias de ataques cibernéticos e de vazamento de dados, inclusive dados sensíveis, são frequentes na mídia, como o recente vazamento de informações trabalhistas de uma empresa brasileira e a exposição de 250 milhões de registros de usuários pela Microsoft. Além disso, também tem se tornado comum o uso de dados para influenciar o debate democrático, sobretudo com o recurso à divulgação em massa de fake news, como ocorreu nas eleições de 2018, por meio do escândalo da Cambridge Analytica.
É compreensível que uma lei da dimensão da LGPD tenha um tempo de vacatio legis maior que os habituais 45 dias previstos na Lei de Introdução às Normas do Direito Brasileiro (LINDB). A própria GDPR também teve um prazo de vacância longo: criada em abril de 2016, passou a ser aplicável apenas a partir de maio de 2018, e até hoje há empresas e cidadãos ainda se adaptando a ela. No que tange à LGPD, os dois anos previstos para início da produção de efeitos estão prestes a se encerrar e a lei já está no dia a dia do país. Nos jornais, semanalmente, a tecnologia e a proteção de dados são objetos de análise. Nas universidades, disciplinas e grupos de pesquisa foram criados para estudar os impactos da lei, seu lado tecnológico e entender a relação do mundo jurídico com o mundo da Segurança da Informação. Nas empresas, equipes especializadas foram constituídas para realizar a adaptação dos negócios à LGPD. Cursos e seminários vem sendo promovidos para que juízes aprendam e debatam sobre a lei, já existindo até mesmo sentença proferida com fundamento na norma. A administração pública talvez seja a que mais enfrenta dificuldades para se adaptar às novas exigências, tendo em vista a alta burocratização dos procedimentos e a estrutura obsoleta. Isso, contudo, não a isenta da obrigação de obedecer a lei e não muda o fato de que 2 anos são suficientes para implementar as principais mudanças na estrutura, que precisarão de constante aprimoramento ao longo do tempo.
A LGPD coloca o Brasil entre os poucos países com regulamentação específica sobre a proteção de dados e em consonância com o direito internacional. No país, acadêmicos têm estudado e produzido sobre o assunto, as empresas públicas e privadas estão implementando suas adaptações à nova regulamentação e os juízes estão atentos às mudanças. Apesar disso, continua a se falar em adiamento. Os motivos para adiar, como visto, são legítimos, mas são as mesmas preocupações que motivaram o prazo de vacatio legis de 2 anos quando da publicação da lei e podem se verificar novamente em 2022. Da mesma forma que a realidade muda constantemente e, ainda assim, é preciso estabelecer um marco regulatório, sempre haverá a possibilidade de aprimorar a observância a uma lei, mas é preciso que ela gere seus efeitos previstos. Não se trata de capricho legislativo, mas de urgente necessidade de garantir salvaguarda legal efetiva ao direito à privacidade e à proteção de dados pessoais.
*Renan Medeiros de Oliveira, mestrando em Direito Público e Bacharel em Direito pela Universidade do Estado do Rio de Janeiro (Uerj). Pós-graduando em Direito Público pela Pontifícia Universidade Católica de Minas Gerais (PUC Minas). Fellow do Instituto Nacional de Proteção de Dados (iNPD)
Fonte: O Estado de S.Paulo