Adiamento do início da vigência da LGPD e a acelerada transformação digital em tempos de crise
A nova Lei Geral de Proteção de Dados Pessoais do Brasil (13.709/2018), sancionada em agosto de 2018, a princípio deveria entrar em vigor em agosto deste ano. No entanto, o atual cenário em que vivemos é de incerteza, tendo em vista que a Medida Provisória nº. 959/2020, que adiou a entrada em vigor da LGPD de agosto de 2020 para maio de 2021, foi novamente prorrogada pelo Congresso Nacional em 29 de junho, pelo prazo de 60 dias.
O Ministro da Economia justificou a necessidade de prorrogação da entrada em vigor da LGPD em razão de uma possível incapacidade de uma parcela da sociedade de se adequar às novas diretrizes legais, em razão dos impactos econômicos e sociais da crise provocada pela pandemia da COVID-19.
Em paralelo, importante destacar que o Projeto de Lei 1179/2020, sancionado pelo Presidente da República e publicado no diário oficial da União em 12 de junho, foi convertido na Lei 14.010/2020, a qual dispõe sobre o regime jurídico emergencial e transitório das relações jurídicas de direito privado no período da pandemia do coronavírus. Essa lei, em especial, alterou a LGPD e a dividiu em duas etapas: em agosto de 2020 entrará em vigor a legislação, ao passo que as sanções administrativas (arts. 52, 53 e 54) passarão a vigorar somente em agosto de 2021. Entretanto, se a MP 959 for convertida em lei, a LGDP passará a vigorar integralmente em maio de 2021.
Ou seja, nós não temos hoje, ainda, uma definição sobre a entrada em vigor da lei geral de proteção de dados pessoais. Será preciso aguardar até o final de agosto, que é o prazo final da Medida Provisória 959, para verificar se ela será convertida em lei ou se irá caducar. Neste último caso, a LGPD entrará em vigor após o dia 16 de agosto.
Em resumo: a lei poderá entrar em vigor em agosto de 2020 e as sanções administrativas em agosto de 2021, ou em maio de 2021, integralmente.
Pode-se dizer que a pandemia da COVID-19 acelerou ainda mais o processo de inovação, tecnologia e transformação digital, afetando sobremaneira a forma como trocamos informações e nos organizamos socialmente. O home office tornou-se essencial, assim como o uso de plataformas digitais de videoconferência, uso de armazenamento de dados em nuvem, documentos compartilhados etc.
E com essa transformação acelerada, temos a utilização cada vez maior de dados pessoais, em especial de dados pessoais sensíveis, como aqueles referentes à saúde, por exemplo. Atualmente, muitas pessoas estão com seus dados mapeados, ou sendo monitoradas por geolocalização através do celular. Ou seja, mais do que nunca é preciso de uma regulamentação ativa e eficaz, de modo que o direito à privacidade e à proteção de todos esses dados sejam efetivamente garantidos aos indivíduos.
Cumpre destacar alguns dos direitos que o titular dos dados pessoais possui, como por exemplo o direito de acesso, retificação, cancelamento e oposição. Tais conceitos foram importados do regulamento europeu, a General Data Protection Regulation (GPDR), norma que trata da proteção de dados na Europa.
Esses são os direitos mais relevantes, pois acabam sendo os mais corriqueiros. O titular pode solicitar a qualquer empresa o direito de acesso ou confirmação de tratamento de dados em seu nome, lembrando que o termo ‘tratamento’ está previsto na LGPD e diz respeito a todo e qualquer movimento realizado com dados pessoais, como armazenamento, compartilhamento, eliminação, análise, leitura etc. O pedido poderá ser feito de forma simples, e as empresas deverão disponibilizar um canal de atendimento aos solicitantes. Confirmada a titularidade do solicitante, a empresa deverá fornecer o direito de acesso a confirmação de tratamento. Esse, portanto, é um direito que já poderá ser exigido das empresas quando a legislação entrar em vigor, independentemente da data de entrada em vigor das sanções administrativas. Caso os dados solicitados necessitem de alguma alteração, o titular também poderá solicitar a correção das informações e a empresa terá o dever de corrigir tais dados.
Além disso, também há a possibilidade de ter o direito de anonimização dos dados, ou seja, o dado deixará de ser pessoal e passará a ser estatístico (por exemplo, “x pessoas compraram tal produto”, neste caso, é possível saber quantas pessoas efetuaram determinada compra, mas não quem elas são). Esse processo é um pouco mais complexo e deverá ser realizado por um profissional da área de tecnologia e informação. Para tal, a ANPD (Autoridade Nacional de Proteção de Dados) informará os padrões mínimos a respeito da anonimização, e sua atuação se dará em razão da irreversibilidade da medida (um dado anonimizado não poderá ser vinculado novamente ao titular).
Há, também, o direito de eliminação de tais dados pessoais, e caberá às empresas fornecer um documento que comprove que os dados foram de fato excluídos de seus cadastros; bem como o direito a revogação do consentimento (quando, por exemplo, marcamos nos sites que concordamos com algo) que, por sua vez, é uma das bases legais previstas na legislação. Deste modo, as empresas também deverão ter um controlador de dados para auditoria e registros dos consentimentos, de modo a garantir o direito dos titulares de revogá-los.
É preciso salientar que o adiamento da entrada em vigor da lei geral de proteção de dados impacta negativamente os negócios e isola comercialmente o país, pois se o Brasil não estiver adequado às diretrizes da União Europeia, não será possível a realização da transferência internacional de dados.
Há que se falar também na insegurança jurídica à qual a população está submetida. É preciso que se tenha em mente que o mundo não voltará a ser como era antes, daí a importância e urgência da entrada em vigor da lei, pois sem ela inexiste proteção jurídica efetiva para lidar com a acelerada transformação digital.
Thais Pustilnick Doria da Fonseca,
especialista em Direito Constitucional e Mestra em Direito Público.