Entenda porque as empresas não podem ficar tranquilas com a notícia do adiamento da LGPD
A Lei Geral de Proteção de Dados Pessoais foi aprovada em 15.8.2018, com previsão de iniciar sua vigência apenas 18 (dezoito) meses de sua publicação oficial. Posteriormente, a redação conferida pela Lei nº 13.853, de 2019, oriunda da Medida Provisória nº 869/2018, ampliou o início da vigência da lei para 24 (vinte e quatro) meses, contados da publicação, ou seja, o maior prazo já adotado pelo direito brasileiro para uma lei iniciar sua vigência. Agora foi aprovado no Senado Federal projeto que posterga para janeiro o início da vigência.
Estabelecido esse breve contexto, gostaria de destacar 4 ideias fundamentais, ou 4 motivos pelos quais as empresas não podem ficar tranquilas com a notícia.
Em primeiro, independente de prorrogação da lei, é preciso observar que o projeto de adequação da LGPD é uma atividade de longo prazo. Não adianta querer começar na véspera e o tempo do adiamento deve ser visto como uma oportunidade e não como um tema a ser esquecido. Para quem pretende deixar para ano que vem, basta lembrar que mesmo se houver a prorrogação, a lei estará em vigor poucos meses.
Em segundo, diante de um vacatio legis (intervalo entre a publicação e a vigência da lei) tão grande, perde força o argumento de período de adaptação que as empresas poderiam utilizar no início, ou seja, o trabalho de adequação da LGPD deverá ser mais bem feito.
Em terceiro, pensar que o adiamento da lei atrasa os deveres de privacidade é um enorme erro. Os deveres de proteção de dados estão estabelecidos em inúmeras outras leis vigentes, tais como o Código de Defesa do Consumidor, Marco Civil da Internet e Lei do Cadastro Positivo.
Em outras palavras, vários deveres que a Lei Geral de Proteção de Dados Pessoais prevê, na realidade já são exigíveis seja por força de outras leis, seja pela utilização das normas da própria LGPD como referência na matéria. Para exemplificar, a LGPD foi adotada como fundamento (mesmo não vigente), em decisão contra a Companhia de Metrô de São Paulo, em discussão acerca do uso de reconhecimento facial.[1]
A Lei Geral de Proteção de Dados Pessoais, surge em tal contexto, como um elemento harmonizador[2] e os princípios da lei, na verdade, já estão no direito brasileiro. A finalidade, por exemplo, está totalmente relacionada com a regra constitucional da proporcionalidade, vigente desde 1988. Sua falta, torna mais difícil a interpretação o sistema.
Em quarto, o adiamento coloca as empresas brasileiras em condição perigosa em relação às concorrentes estrangeiras. O cenário atual dificulta as negociações de fluxos internacionais de dados, inclusive atrapalhando data processing agreements. Na Europa, apenas para citar o exemplo mais conhecido, a legislação já está vigente desde 2018, e atinge inclusive que trabalham a partir do Brasil com dados de europeus (RGPD, art. 2º). Além disso, conforme dados das Nações Unidas, United Nations Conference on Trade and Development, atualmente, 64% dos países do mundo possuem legislação sobre o tema[3].
Por fim, não resta dúvida que é fundamental constituir, logo, a Autoridade Nacional de Proteção de Dados, para definir parâmetros para as empresas. A LGPD gera custos dizem alguns, mas o cenário de incerteza, sem definir como a lei deve ser internalizada gera muito mais despesas desnecessárias.
Autor: Gabriel Schulman
[1] Decisão proferida em 12.02.2020 pelo Poder Judiciário de São Paulo.
[1] FRAZÃO, Ana. Objetivos e alcance da Lei Geral de Proteção de Dados. In: TEPEDINO, Gustavo (Org.); FRAZÃO, Ana (Org.); OLIVA, M. D. (Org.). Lei Geral de Proteção de Dados Pessoais e suas repercussões no Direito Brasileiro. 1. ed. São Paulo: Thomson Reuters – Revista dos Tribunais, 2019. p. 104.
[1] United Nations. Data Protection and Privacy Legislation Worldwide. Disponível em: https://unctad.org/en/Pages/DTL/STI_and_ICTs/ICT4D-Legislation/eCom-Data-Protection-Laws.aspx