A aprovação da Lei Geral de Proteção de Dados (LGPD) trouxe importante avanço no resguardo do direito à privacidade e à inviolabilidade da intimidade, implementando no Brasil um sistema de proteção dos dados pessoais muito similar ao que entrou em vigor no direito comunitário da União Europeia em 2018. Em que pese o prazo de 24 meses, em março surgiram projetos de lei buscando ampliar o período de vacatio legis que terminaria em agosto.
Os fundamentos das proposições legislativas estão relacionados com o avanço da pandemia da COVID-19, tendo em vista o impacto econômico nas finanças das empresas, o que poderia ser agravado pela obrigatoriedade de adequação dos procedimentos internos e externos ao que dispõe a legislação protetiva dos dados pessoais.
Com esse fundamento, o Senado Federal aprovou o projeto de lei nº 1.179/20 alterando a entrada em vigor da Lei 13.709/18 para janeiro de 2021, ressalvando que as sanções e multas somente teriam aplicabilidade a partir de agosto de 2021. Em que pese a sua tramitação na Câmara dos Deputados, o Presidente da República editou Medida Provisória na quarta-feira (29 de abril), postergando a entrada em vigor da LGPD para 03 de maio de 2021.
Por mais que o fundamento utilizado para prorrogação do prazo de vacatio legis seja a crise econômica, na prática verifica-se que a Presidência da República ainda não efetivou, após quase dois anos, a instalação da Agência Nacional de Proteção de Dados (ANPD). O órgão em questão é essencial, visto que será responsável pela elaboração de regulamentos, resoluções e diretrizes que vão nortear a proteção dos dados pessoais, além de ser responsável pela aplicação das sanções estabelecidas legislação. O adiamento do prazo diminui a pressão para regulamentação do órgão, bem como aumenta o período para o Presidente determinar quais serão os membros que vão compor a ANPD.
Outra questão que merece destaque, diz respeito a insegurança no cenário do mercado internacional, tendo em vista que a União Europeia, por meio da General Data Protection Regulation (GDPR) estabeleceu novo padrão para realização de negócios que envolvam a vinculação de dados pessoais com empresas estrangeiras. Com o adiamento da entrada em vigor da LGPD, as empresas e entidades que possuem sede no Brasil podem perder espaço nas relações comerciais internacionais, com eventuais bloqueios de negócios por não dispor de regramentos específicos para o tratamento e compartilhamento de dados pessoais.
Um terceiro ponto tem relação com o processo de adesão do Brasil para ingressar como membro da Organização para a Cooperação e Desenvolvimento Econômico (OCDE), que tem por objetivo aumentar credibilidade do país no âmbito internacional, além de buscar atrair investimentos estrangeiros e proporcionar o desenvolvimento econômico. Ocorre que dentre os requisitos necessários para o ingresso, está a existência de legislação protetiva dos dados pessoais, bem como de órgão independente responsável pela fiscalização.[1] Com a ampliação do prazo de vacatio legis e a demora na estruturação da ANPD, é possível que o Brasil perca espaço para Argentina, país que possui uma legislação protetiva aos dados pessoais desde 2000[2] e que busca sua adesão perante a OCDE.
Além disso, vê-se que o avanço da pandemia da COVID-19 também impôs ao poder público a utilização de mecanismos para gerenciamento das políticas públicas. Para tanto, alguns órgãos governo passaram a utilizar o rastreamento de celulares para analisar o cumprimento das normas de isolamento social e, com isso, verificar as áreas mais propensas à propagação do vírus. Sem a existência de parâmetros legais ou de regulamentos, a utilização causou insegurança, na medida em que não é possível ter um controle sobre quais seriam os dados pessoais que estariam sendo coletados e tratados no procedimento.
No âmbito federal, a Presidência da República editou Medida Provisória regulamento a forma de rastreamento dos aparelhos de telefonia fixa e móvel. A legislação foi questionada no Supremo Tribunal Federal, sendo que em decisão monocrática, a Ministra Rosa Weber suspendeu a MP nº 954/2020, dispondo que o texto colocava em risco a intimidade e o sigilo da vida privada dos usuários dos serviços de telefonia, bem como estaria em oposição aos preceitos estabelecidos pela LGPD.
Além disso, a ampliação do prazo de vacatio legis da LGPD também terá impacto nas eleições municipais, tendo em vista que a Resolução nº 23.610/19 do Tribunal Superior Eleitoral dispôs que a lei protetiva dos dados pessoais deve ser utilizada, no que couber, nas normativas relacionadas com a propaganda eleitoral. Com o adiamento da vigência, haverá maior insegurança na forma como as campanhas eleitorais realizarão a coleta, tratamento e descarte de dados pessoais dos eleitores, além de não existir garantia de que a ANPD estará em funcionamento.
Nesse contexto, os fundamentos elencados demonstram que a edição da Medida Provisória nº 959/2020 poderá impactar nas relações comerciais internacionais, tendo em vista que o regulamento do direito comunitário europeu estabeleceu novo padrão na proteção dos dados. Sem a existência de uma lei – em vigência – que possua fundamentos similares, principalmente no que concerne aos parâmetros de segurança no tratamento e armazenamento dos dados pessoais, é possível que oportunidades sejam fechadas ao Brasil, inclusive com relação às pesquisas que envolvam o compartilhamento de dados sobre o novo coronavírus. Na economia digital em que a competição se amplia para além das fronteiras territoriais, é possível que a medida tenha impacto nas relações comerciais e na própria vinculação de políticas públicas para saúde.
Além disso, é importante destacar a insegurança jurídica envolta na Medida Provisória, tendo em vista que o texto deve tramitar e ser votado pelo Congresso Nacional em 60 dias (prorrogáveis por mais 60 dias). Caso seja rejeitada pelo Congresso Nacional ou não haja votação (com a caducidade da legislação), é possível que o texto da LGPD entre em vigor ainda em agosto.
Essa insegurança pode gerar impactos sobre o setor privado, tendo em vista que pesquisa realizada pela consultoria ICTS Protiviti em 2019 constatou que 84% das companhias brasileiras não estão preparadas para as novas regras de privacidade de dados[3]. Isso sem falar na omissão governamental, que ainda não estruturou a Agência Nacional de Proteção de Dados (ANPD) e o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, inviabilizando a operacionalidade da lei caso o texto da MP seja rejeitada ou caduque.
Diante do exposto, vê-se que a melhor alternativa no contexto da pandemia da COVID-19 seria manter o prazo de vacatio legis estabelecido em 24 meses, alterando a entrada em vigor dos dispositivos que tratam das sanções envoltas na legislação. Isso possibilitaria a estruturação de parâmetros educativos pela ANPD, garantindo também maior estabilidade para as empresas que estão trabalhando na implementação dos parâmetros da LGPD.
[1] Disponível em: < https://www.jota.info/opiniao-e-analise/artigos/por-que-precisamos-de-uma-autoridade-nacional-de-protecao-de-dados-07012020>. Acesso em 29 abril 2020.
[2] BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. 2. ed. Rio de Janeiro: Forense, 2020.
[3] Disponível em: <https://icts.com.br/icts-news/84-das-empresas-brasileiras-nao-estao-preparadas-para-a-lgpd>. Acesso em 30 abril 2020.