A aprovação da vigência da Lei Geral de Proteção de Dados (LGPD) nesta semana pode ter sido uma surpresa e tanto para quem acompanha o desenrolar da sua implementação. Mas a criação da Autoridade Nacional de Dados Pessoais (ANPD) não só foi surpreendentemente rápida como também vista como uma iniciativa importante por parte da presidência da República. No entanto, empresas e associações temem o vácuo jurídico-regulatório enquanto a LGPD estiver em vigor mas a Autoridade ainda não estiver em operação para regulamentar e fiscalizar o cumprimento da lei. Para representantes de associações e advogados especializados, a ausência da ANPD neste momento traz insegurança jurídica e a possibilidade de diferentes órgãos e instituições assumirem esse papel já com o intuito de punição e não de educação e advertências, como deveria ser essa primeira fase.
Vitor Magnani, presidente da Associação Brasileira Online to Offline (ABO2O), lembra que o Ministério Público Federal já iniciou alguns inquéritos com propostas de multa pecuniária. “A insegurança existe já hoje de haver, sim, punições sobre o tema que vão além da advertência. Mas acho que seria razoável que o CNJ (Conselho Nacional de Justiça) orientasse o judiciário em como tratar o assunto”.
Para Christian Perrone, pesquisador sênior da área de direito de tecnologia do Instituto de Tecnologia e Sociedade (ITS Rio) e consultor de políticas públicas, pode haver uma “tsunami de casos”. “O que vai acontecer da entrada em vigor da lei até a entrada em vigor das sanções? Será que as pessoas vão entrar na justiça direto?”, questiona-se. Para o pesquisador, a entrada em vigor “instantânea” da legislação pode gerar uma série de discussões e dúvidas sobre questões que exigem ações da ANPD. Um dos exemplos dados é quanto aos bancos de dados pré-existentes. “A meu ver, o medo de um potencial tsunami de ações judicias é cada vez mais real”, afirma Perrone.
Magnani se diz preocupado com o fato de que outras instituições, como Ministério Público, Cade e Procons, atuem até a implementação da autoridade. “Enquanto não temos a criação efetiva da ANPD, com os membros delineados, estamos com bastante preocupação em como as outras instituições públicas que tratam dos mais diversos temas vão se utilizar da LGPD para passar a fiscalizar e punir as empresas com base na lei. O tema é interdisciplinar – temos aspectos consumeristas, há aspectos que o Ministério Público pode levar adiante e vários assuntos podem cair no judiciário, sem que haja o olhar técnico e transversal que a ANPD pode, em tese, oferecer”, resume.
Rafael Pellon, advogado especializado em direito digital e sócio do escritório Pellon de Lima Advogados, concorda com Magnani. “Ainda que não exista a ANPD, existe todo um sistema de monitoramento e controle de questões de defesa do consumidor, concorrência e outros órgãos que monitoram as atividades empresariais no Brasil e que poderão utilizar a lei para fins de punição e investigação das empresas. Como a maioria das empresas não está preparada, não se sabe ainda como isso vai ser endereçado”, comenta.
Rodolfo Fucher, presidente da Associação Brasileira de Software (Abes), comemora o primeiro passo dado, ou seja, a sinalização da criação da ANPD. Porém, mesmo com um decreto imediato por parte do executivo, até a ANPD ter todos os seus conselheiros, será necessário tempo para a definição de estratégias. Será preciso fazer os chamamentos de consultas públicas para regular diferentes setores, por exemplo. “A ANPD vai estar operacional daqui a seis meses, no mínimo, para ela começar a regular o mercado. E esse período é um momento em que o mercado vai ficar descoberto”, calcula.
Pandemia: desculpa ou impedimento?
Uma preocupação de Pellon é a implementação da LGPD em plena pandemia do novo coronavírus. O advogado alega que a decisão, de certa maneira, prejudica as empresas que estão com dificuldade neste momento para fazer a adaptação à lei por conta da crise.
“A lei entra em vigor no momento em que temos o estado de calamidade pública decretado desde fevereiro deste ano pelo congresso. É um estado de força maior, que serve como impeditivo para cumprimento de contratos, e de interrupção de atos jurídicos na vida civil. Em tese, leis não se sujeitam a isso. Mas há espaço para se discutir se, no momento de calamidade pública e com cenário de força maior na vida civil e jurídica brasileira, isso não seria um atenuante para o cumprimento da lei”, argumenta.
Porém, usar a pandemia para não se movimentar e se adequar à LGPD pode ser vista como uma desculpa, afinal, a discussão sobre a implementação da lei acontece há dois anos, tempo suficiente para as empresas se mexerem e adiantarem pontos importantes da regulamentação. É o que acredita Fucher. “A LGPD ia entrar em vigor há muito tempo e ninguém pode usar a pandemia como desculpa”, resumiu em conversa com este noticiário.
Magnani, presidente da Associação Brasileira Online to Offline (ABO2O), pondera e compara a situação brasileira com a europeia, já com a GDPR implementada há dois anos, falando da importância da regulação da proteção de dados em tempos de pandemia. “Precisamos ter a sensibilidade de entender o momento pandêmico. Muitas empresas no Brasil estão pensando em sobreviver antes de contratar um DPO. Por outro lado, a Comissão Europeia soltou uma análise sobre os dois anos de GDPR e um dos pontos é que o GDPR foi positivo no balanço geral inclusive no contexto pandêmico, quando muitas empresas e órgãos públicos precisaram de uma diretriz sobre como tratar dados pessoais de saúde e essas diretrizes vieram das autoridades nacionais de proteção de dados e do Conselho Europeu de Proteção de Dados e de outras entidades supranacionais. Portanto, a pandemia não deveria ser usada como discurso para postergação da LGPD. No Brasil houve argumentação oposta, como se a lei estivesse sendo pensada só agora e como se pandemia fosse razão para postergar”.