LGPD E A AUTORIDADE NCAIONAL DE PROTEÇÃO DE DADOS
Desde que foi criada pela Medida Provisória (MP) nº 869/2018 que modificou a Lei nº 13.709/18, Lei Geral de Proteção de Dados Pessoais, a Autoridade Nacional de Proteção de Dados (ANPD), sofre o primeiro embate, visto que diferenciando-se das agências reguladoras brasileiras, também não se trata de uma autarquia, uma vez que o legislador optou, ao contrário, por integrá-la à pessoa jurídica da União, precisamente à Presidência da República, fazendo assim parte da Administração Pública Direta.
Com isso surgem assim os primeiros desafios da ANPD, e certamente o primeiro e papel é de ser didático para as organizações no tratamento dos dados, visto que na maioria das organizações, os dados pessoais que são utilizados majoritariamente pelos setores de marketing e comercial (mailing list, telemarketing e ações publicitárias diversas), são feitos de forma aleatória e descuidada. Informações sobre os empregados (nome, endereço, férias, salário, licenças médicas e assim por diante) são frequentemente geridas de forma quase artesanal pelo RH. Empresas terceirizadas (de TI, contabilidade, cobrança e marketing, por exemplo) têm acesso livre aos dados pessoais armazenados sem quaisquer cuidados ou medidas físicas ou contratuais que assegurem a sua integridade, seja contratual ou com termos de confidencialidade.
O mesmo cuidado se estende para o setor público, onde a situação é ainda mais complexa, uma vez que a maior parte dos entes públicos brasileiros caracteriza-se pela penúria e despreparo do pessoal responsável pelos dados pessoais que tratam, e em muitos casos o descuido beira quase que a irresponsabilidade, pois são raros os processos indenizatórios que responsabilizam os servidores no tratamento indevido dos dados, ainda que a retroatividade da ação contra o servidor esteja prevista na Magna Carta.
Com isso parece uníssono de que o primeiro desafio da ANPD será o de conscientizar as pessoas sobre o correto tratamento a ser dispensado aos dados pessoais, traçando nitidamente a linha de conduta que espera dos controladores e operadores. Os encarregados pelo tratamento dos dados devem saber claramente o que pensa e espera a autoridade de regulação.
Utilizando-se a Europa como exemplo, onde as primeiras leis sobre o tema datam dos anos 1970. A primeira Diretiva Europeia sobre proteção dos dados pessoais data de 1995, substituída em 2016 pelo Regulamento Geral de Proteção de Dados Pessoais (GDPR), que teve dois anos de vacatio legis antes da sua entrada em vigor em maio de 2018.
Em 23 de novembro de 2018, a Autoridade Francesa de Proteção de Dados Pessoais (CNIL) publicou um relatório constatando que, após seis meses da entrada em vigor do GDPR, as empresas ainda não conseguiram se apropriar totalmente do citado dispositivo legal. Segundo publicação recente da Comissão Europeia, as maiores causas de reclamação registradas desde a entrada em vigor do GDPR são telemarketing, e-mails e vigilância por vídeo (CCTV).
O paralelo com a realidade brasileira é inevitável. Se naquele continente, que dispõe de uma cultura de proteção de dados pessoais e de leis específicas sobre o tema há mais de 20 anos, a aplicação do GDPR está ainda em plena evolução, o que devemos esperar no Brasil, cuja primeira lei sobre a proteção dos dados pessoais só entra em vigor em agosto de 2020? E pasme na América Latina o assunto também já havida sido regulado , na Argentina, Paraguai, e México.
Não são poucos os temas que necessitam de regulamentação, propaganda por e-mail, definições de perfis, uso de cookies, vigilância por vídeo, biometria nas empresas, estocagem na nuvem, regras para subcontratação, uso de dados sensíveis, um elevado número de temas por regular.
Para isso é fundamental o envolvimento de toda sociedade civil organizada, para que possamos ter aquilo que no jargão popular se chama de “a Lei que pega,” como no caso do uso obrigatório do cinto de segurança e de capacete.
Apenas o poder sancionador da ANPD não adianta se a lei não pegar, leia-se o caso de algumas contravenções populares como o jogo do bicho. Seu sucesso depende da divulgação e da valoração da privacidade e intimidade por parte das pessoas, afinal a Lei é endereçada para elas.
Ë de se lembrar que até o presente momento nada foi publicado buscando regulamentar a LGPD, nada nem um cartaz. O quadro preocupa e muito!