maio, 2020

Em 07/05/2020, o Supremo Tribunal Federal (STF) suspendeu a Medida Provisória que obrigava empresas telefônicas a enviarem dados de clientes ao IBGE. A decisão, de ampla maioria dos Ministros, demonstrou que a Suprema Corte não estaria em sintonia com o Parlamento e o Executivo com relação a proposta de adiar a vigência da Lei 13.709/2018 (Lei Geral de Proteção de Dados ou LGPD), na medida em que prevaleceria o entendimento judicial de tratar a proteção de dados como matéria de direito fundamental relacionado à intimidade e dignidade da pessoa humana.
Muito se tem defendido o adiamento das sanções previstas na LGPD, pois sua aplicação, logo após o impacto da já evidente crise econômica causada pela pandemia de Covid-19, seria negativa. Como o intuito não é o prejudicar a atividade econômica, parece fazer sentido que se busque, no presente momento, evitar a aplicação de sanções, resguardando-se a atuação da Agência Nacional que fiscalizará o setor (ANPD).
Eu não só concordo com isso, como vou além. Muitas vezes é pouco observado o custo de adesão à lei, pois aderir à LGPD não significa somente acrescentar formulários de consentimento e avisos de cookies em todas páginas de uma empresa.
Considerando que a Lei em questão exige que a privacidade seja a regra (privacy by default), e desde o início (privacy by design) de qualquer sistema que trabalhe dados pessoais, isso significa que existe um ônus enorme para as equipes de desenvolvimento de sistemas, que terão que revisar e refazer muitos códigos, trabalho este que não é nada trivial.
Em uma época de aprimoramento de sistemas informáticos para suportar a nova demanda online causada pela estadia das pessoas em casa (home office), mudar a prioridade pode significar desatendimento e desabastecimento em uma economia já combalida pela crise desencadeada pelo novo coronavírus.
Evitar sanções, portanto, parece ser, de fato, a medida adequada ao quadro social atual.
Por outro lado, o adiamento da entrada em vigor da LGPD sinaliza como contraproducente para a criação de uma cultura de compliance. Se não há o caráter normativo cogente, para os destinatários as prioridades serão sempre outras. Assim, sem que a preocupação com a privacidade seja reiterada, tudo parece conspirar para a pouco relevância da construção de ambiente corporativo que valorize a proteção dos dados pessoais.
As questões ora consideradas também afetam ao setor público. Com LGPD, várias questões de tratamento de dados pelas ouvidorias públicas estariam resolvidas, permitindo maior aproximação da resolução dos problemas dos cidadãos frente aos poderes públicos.
Sob outra vertente, em razão da proximidade entre as exigências contidas na LGPD – relativas a relatório de impacto, accountability, mecanismos de controle e governança de dados – e o conteúdo dos programas de compliance – análise de riscos, identificação do compliance officer, delegação de deveres e de responsabilidades, além de boa governança –, aparecem questões relativas à efetividade do enforcement, que parece ficar mais evidente diante da disparidade entre grandes e pequenas empresas, especialmente as chamadas startups. Nesse contexto, nào parece ser sustentável o crescimento das startups sem que elas possam trabalhar com dados em larga escala. Aqui, novamente, pesa negativamente a falta de atuação da ANPD, prevista na LGPD, para ajudar a traçar os limites.
Em síntese, deve-se ponderar a conveniência e oportunidade de se aceitar o adiamento da vigência da LGPD. Independentemente dessa questão, penso que cabe aos profissionais e ao pensamento acadêmico suprir, com os saberes práticos e teóricos, os dilemas relacionados com a questão, de grande relevância na atualidade, da proteção de dados dos nossos cidadãos

Matheus de Alencar e Miranda é doutorando e mestre em Direito Penal pela UERJ, e pesquisador do CPJM. É, também máster y especialista en Cumplimiento Normativo en materia penal pela UCLM (Espanha); Assessor de Compliance da CADG/PGJ/MPRJ; Coordenador adjunto e Professor do Curso de Pós-Graduação lato senso em Compliance Criminal e Responsabilidade Empresarial do CEPED/UERJ.