Gostaria de oferece uma perspectiva sobre porque que empresas NÃO devem se preocupar, essencialmente, com a data de início das sanções administrativas quando pensam no início da vigência da LGPD. E já posso adiantar que a ideia não é defender uma eventual irrelevância ou falta de aplicabilidade destas sanções – até porque acreditamos justamente no contrário disso.
O grande ponto da “novela” da entrada em vigor da LGPD, é que muitas empresas passaram a focar na data de início das sanções para pautar suas ações de adequação e mitigação de eventuais impactos negativos da lei sobre seus negócios. E esse é um grave erro estratégico.
Retrospectiva
Vamos lá. Fazendo uma breve retrospectiva, quando a LGPD foi promulgada, em 2018, a ideia era que entrasse em vigor (por completo) em fevereiro de 2020. Pouco tempo depois, o prazo foi estendido para agosto de 2020 e, recentemente, uma Medida Provisória (MP 959/2020) adiou tudo para maio de 2021. Acontece que no início de Junho, agora, com a entrada em vigor da Lei que criou o Regime Jurídico Emergencial e Transitório no período da pandemia do coronavírus (Covid-19), foi estabelecido um novo prazo de entrada em vigor especificamente para as sanções administrativas previstas na LGPD. Ou seja, HOJE (18/06/2020), a LGPD entraria em vigor em maio de 2021, mas as sanções seriam aplicáveis apenas três meses depois. Só que a MP 959/2020 ainda não foi convertida em lei, portanto a data de entrada em vigor da LGPD (exceto as sanções) pode voltar a ser Agosto/2020 (caso ela não seja votada no prazo legal, ou seja rejeitada em votação), permanecer em Maio/2021, caso o texto atual da MP seja aprovado, ou ainda vir a ser alterada, na hipótese de serem feitas modificações no texto da MP quando da conversão em Lei.
Análise das mudanças
Toda esta indefinição já nos mostra que a qualquer momento as empresas podem ser pegas de surpresa com a repentina entrada em vigor da Lei (ou mesmo das sanções), sendo altamente recomendável que não esperem isso acontecer para só então buscar a adequação de suas atividades. Mas o principal ponto é: com a falsa impressão de que, após a entrada em vigor da lei, ainda haverá um tempo para adequação antes de sofrerem com as sanções administrativas, muitas empresas (especialmente durante este momento turbulento de pandemia e crise econômica) deixaram de lado sua preocupação com a adequação à LGPD. Só que o tiro pode sair pela culatra, em diferentes aspectos.
Em primeiro lugar, como quem já começou a sua adequação sabe bem (ou mesmo que ainda não começou, mas já leu os artigos que postamos sobre o assunto), a adequação à nova regulamentação não é uma tarefa simples e rápida. Ou seja, mesmo que mantida a situação atual, de entrada em vigor da lei em Maio/2021 e início da aplicação de sanções em Agosto/2021, para uma boa parte das empresas esse tempo de 3 meses não é suficiente para, de forma efetiva, implementar as mudanças necessárias para afastar os riscos de penalidades administrativas. Não podemos deixar de observar, ainda, que ao olharmos para 2021 inevitavelmente estaremos em um momento turbulento de recuperação econômica, não apenas no âmbito de cada negócio, que inevitavelmente foi afetado pela pandemia, mas também em um nível nacional e global. Portanto, mudanças drásticas de estratégia de negócio ou de modo de operação, que algumas vezes são necessárias para a correta adequação à LGPD, podem comprometer todo o planejamento de retomada e até mesmo o futuro da empresa. Sem falar que uma multa de até 50 milhões de reais, neste momento, certamente não vai tornar as coisas mais fáceis.
Mas um segundo ponto, e talvez o mais relevante, é o fato de que o “passivo” que pode surgir com a LGPD não está restrito às sanções administrativas. E talvez elas sejam a menor das preocupações neste sentido. Devemos lembrar que a LGPD formaliza uma série de garantias ao titular dos dados, e, ao mesmo tempo, estabelece diversas responsabilidades e obrigações para as empresas no que diz respeito a este “personagem”. Como em qualquer relação jurídica, a contraposição entre direitos e obrigações gera a possibilidade de discussão judicial caso algum das partes se veja prejudicada. E é aí que reside o grande aspecto de preocupação para as empresas.
É importante deixar claro que a mudança de paradigma com a LGPD não está tanto na criação de novos direitos aos titular, mesmo porque outras leis e a própria Constituição já resguardavam em grande parte os direitos desse cidadão, que agora é o titular de dados. Não é difícil encontrarmos decisões judiciais que condenam empresas que causam danos ao utilizarem indevidamente dados pessoais de terceiros. O que “muda o jogo” é justamente o fato de agora reconhecer estes “terceiros” especificamente como titulares de dados, abordando tecnicamente a matéria e explicitando quais sãos os principais direitos relativamente aos seus dados, ao mesmo tempo em que delimita o que pode ser exigido da parte que os detém ou utiliza.
Essa maior visibilidade facilita não apenas o exercício do direito pelo titular, mas também a aplicação da lei, caso a questão seja levada ao Poder Judiciário. E os reflexos disso, ao mesmo tempo que podem ser assustadores, também são imprevisíveis. Um bom exemplo, que talvez possa ser tomado como parâmetro, é a criação do Código de Defesa do Consumidor (CDC), em 1990. Alguém ainda tem dúvidas sobre o impacto que esta legislação trouxe às relações de consumo? As companhias aéreas, instituições financeiras e empresas de telefonia estão aí para não nos deixarem mentir. E isso não aconteceu porque até então elas não tinham responsabilidades, nem porque os consumidores não existiam ou não tinham direitos, mas sim porque a relação passou a ser vista de forma mais clara, e a aplicação da nova lei se tornou mais ampla e acessível. Exatamente como vai acontecer com a entrada em vigor da LGPD.
Finalmente, enquanto a aplicação de sanções administrativas depende da eficiência, organização e de um órgão da administração pública, é até compreensível que alguns decidam “apostar na sorte”, contando que dificilmente serão fiscalizados ou, se o forem, terão amplas possibilidades de defesa antes de efetivamente terem que desembolsar algum valor. Mas quando estamos falando de algo que vai mexer diretamente com um público extremamente amplo, e que pode se valer das mais diferentes formas de pleitear seu direito. Some-se a isso um cenário de caos econômico e social, no qual qualquer oportunidade de retorno financeiro será procurada com ainda mais apetite, e essa “aposta” fica cada vez mais arriscada.
Sendo realistas, não são pequenas as chances de em um futuro próximo estarmos aqui mais uma vez discutindo a existência de uma “indústria do dano moral”, ou o surgimento do “contencioso de massa” para ações envolvendo proteção/violação de dados. E basta olharmos para os impactos que essa realidade já causou para as empresas que mais se sujeitam ao CDC para percebermos que os impactos podem ser fulminantes para os negócios.
Dito tudo isso, o que é importante que fique claro é: se a adequação da LGPD não está (ou foi retirada) da sua lista de prioridades neste momento, é hora de repensar. Mais do que nunca, prevenir é melhor do que remediar. E quando estamos falando de algo grave a ponto de que talvez nem possa ser remediado, a preocupação é ainda mais séria.
Rafael Simião
Advogado – Trajano Neto e Paciornik Advogados
