Entra em cena a LGPD
Quem acompanha o desenrolar da política nos corredores do Congresso assistiu, no último mês, a reviravoltas dignas de final de temporada. A Lei Geral de Proteção de Dados (LGPD), que tem aguardado nas coxias pelos últimos dois anos, foi a protagonista do episódio. O que se discutia era a efetiva data de sua entrada em vigor: se em 31 de dezembro deste ano, em maio do ano que vem ou até, retroativamente, no começo de agosto. O recurso a um dispositivo até então esquecido do regimento interno do Senado Federal foi o que sustentou a decisão final: afastou-se a possibilidade de adiamento; após a sanção presidencial, que poderia acontecer em até quinze dias depois que a Presidência recebesse o projeto, a LGPD estaria em vigor.
Com a publicação, sem qualquer menção à vacatio legis, da lei 14.058/2020, em 18 de setembro a LGPD passou a vigorar no Brasil. Virada a página do vai-e-vem legislativo sobre a sua entrada em vigor, olhamos agora adiante: quais serão os efeitos da lei a curto e longo prazo?
Um efeito imediato, que já começamos perceber, é a profusão de confirmações de consentimento para o tratamento de dados. Especialmente para atividades de marketing digital — aqueles e-mails de newsletters e anúncios dos quais recebemos sempre mais do que conseguiríamos ler -, a corrida para encontrar uma base legal sólida para a manutenção dos dados pessoais coletados já está em curso.
A quem contesta: mas as sanções administrativas só passarão a valer em agosto do ano que vem!, cuidado. A lei já entrou em cena e suas ordens já produzem efeito. A LGPD chega ao fim de sua longa espera ainda incompleta, já que dependerá de definições técnicas da Autoridade Nacional de Proteção de Dados. Porém, muito do novo regime de proteção de dados brasileiro tem concretude suficiente para que se exija das organizações que tratam dados pessoais comportamentos específicos.
A partir dos princípios da proteção de dados, por exemplo, derivam-se obrigações no tratamento dos dados pessoais. A atribuição de uma finalidade específica, e anonimização ou eliminação do dado que não esteja associado a uma tal finalidade, é uma medida imediata que controladores de dados deverão tomar. Dar aos titulares de dados pessoais a capacidade de exercer seus direitos — de acesso, portabilidade etc. — é outra obrigação concreta, que caminha lado a lado com a necessidade de informar adequadamente aos titulares todos os aspectos do tratamento que se pretende realizar. Da mesma forma, a fundamentação em uma das bases legais para o tratamento de dados pessoais é requisito sem o qual simplesmente não se poderá seguir em frente.
A lei brasileira tem seu modo de funcionamento fortemente baseado no reconhecimento do risco inerente às atividades de tratamento de dados pessoais. É uma realidade já conhecida: a Internet não esquece, e bastam alguns minutos para uma centena de compartilhamentos tornarem um deslize ou falha de segurança em uma cicatriz profunda e inafastável na biografia de um indivíduo. O reconhecimento desse risco é a raiz dos princípios da segurança, prevenção e prestação de contas, que dão ensejo aos deveres de registro de atividade de tratamento; de registro, notificação e resposta adequada a incidentes; e de realização prévia de Relatórios de Impacto sobre a Proteção de Dados Pessoais.
Além dessas consequências imediatas para os agentes de tratamento de dados, que deverão agora, de uma vez por todas, iniciar o processo de adequação à lei, há algumas considerações importantes sobre o quadro geral da proteção de dados no Brasil a médio e longo prazo. Primeiramente, devemos lembrar que as demandas relacionadas à lei já deverão começar a surgir, de modo que o Poder Judiciário deverá atrair os holofotes no enfrentamento dos desafios interpretativos da LGPD.
A Autoridade, que deveria ser a protagonista em todo esse processo, precisará dividir a cena com diversos atores que hoje já oferecem respostas às demandas criadas pela proteção de dados. Isto representa, de certa forma, uma inversão da dinâmica pretendida pela lei, baseada no papel determinante da ANPD em prover diretrizes sobre a adequação a partir de patamares técnicos elaborados com tranquilidade. A Autoridade, já estruturada, porém ainda não concretizada, chegará atrasada, e isso deverá provocar atrito e insegurança até que os entendimentos sejam pacificados.
A Autoridade, que deveria ser a protagonista em todo esse processo, precisará dividir a cena com diversos atores que hoje já oferecem respostas às demandas criadas pela proteção de dados.
Também devemos observar como a dinâmica da proteção de dados será internalizada em diferentes setores. No Poder Público, já são muitas as iniciativas de adequação à lei. Mesmo antes da sua entrada em vigor, vimos movimentos importantes — o mais recente na cidade de São Paulo, que regulamentou a aplicação da lei na Administração Municipal e nomeou Encarregado pelo tratamento de dados no município. No setor privado, os sinais são controversos: há quem já esteja plenamente preparado para a lei, há quem ainda não tenha nem mesmo começado.
Para o observador perspicaz, já despontam no horizonte as novas demandas e possibilidades de uma sociedade que reconhece o valor dos dados e a importância de controlá-los de perto.
No longo prazo, a proteção de dados é tanto uma oportunidade quanto um desafio relevante. Será preciso, por um lado, passar um pente fino e reestruturar processos arraigados na cultura do capitalismo de vigilância, o que implica trabalho, custos e diálogo democrático. Por outro lado, para o observador perspicaz, já despontam no horizonte as novas demandas e possibilidades de uma sociedade que reconhece o valor dos dados e a importância de controlá-los de perto. Uma coisa é certa: tudo o que pretendamos construir daqui para frente terá a proteção de dados como palco e cenário.
