LGPD – Uma Lei para ser praticada
Agosto poderá ficar na história do Brasil como o mês da proteção de dados pessoais. Foi em agosto de 2018 que nossa Lei Geral de Proteção de Dados (Lei 13.709/18) – LGPD foi promulgada e também será neste agosto de 2021 que as suas sanções administrativas começarão ser aplicadas.
As sanções, que podem chegar a R$ 50 milhões por infração, serão aplicadas pela Autoridade Nacional de Proteção de Dados – ANPD, órgão criado a menos de um ano, que além de função fiscalizatória também é responsável pela regulamentação da LGPD. A ANPD está fazendo um esforço hercúleo para colocar em vigor as necessárias normas complementares da lei, inclusive aqueles referentes à aplicação das sanções, componente importante para trazer maior segurança jurídica à sociedade, que parece ainda não ter despertado para a importância da regulação de proteção de dados pessoais.
O Brasil não tem a mesma cultura de proteção de dados da União Europeia, onde o assunto se faz presente desde meados do século passado. Essa cultura se instaura, sobretudo, com divulgação, orientação, educação e treinamento. Mesmo na União Europeia, antes da entrada em vigor do Regulamento Geral de Proteção de Dados, conhecido como GDPR (fonte de inspiração da LGPD) houve uma intensa divulgação do assunto, através de campanhas de conscientização sobre o tema. Mas, infelizmente, não tivemos o mesmo timing aqui no Brasil, mesmo com a vacatio legis de quase 3 anos da LGPD. E a pandemia de COVID-19 pode ter contribuído para isso.
O assunto, apesar de interesse geral, parece ser desconhecido da população, inclusive no mundo empresarial. O Brasil conta com um número considerável de pequenas empresas. De acordo com o Ministério da Economia, os microempreendedores representam atualmente 56,7% das empresas em atividade no Brasil e 79,3% das empresas abertas no ano passado. Boa parte dessas empresas tem se utilizado de ferramentas digitais para sobreviver e, dependendo da sua natureza, podem ter um volume de tratamento de dados pessoais bem maior do que uma empresa de grande porte.
Além disso, a LGPD ainda está em fase de regulamentação pela ANPD. Por mais avançadas que estejam em seus processos de adequação, as empresas ainda não os finalizaram completamente. Aliás, como novas tecnologias aparecem diariamente, a adequação será constante. É como dizem – o futuro já chegou, só não foi uniformemente distribuído.
A conformidade é uma estrada de mão única, regulador e regulado, embora em vias separadas, devem seguir para a mesma direção, caso contrário entrarão em rota de colisão. A fiscalização também tem um papel educador e a ANPD poderá utilizar desta premissa para que suas funções fiscalizatórias sejam uma importante ferramenta para se alcançar a conformidade da LGPD. Os regulados não estão totalmente adequados à lei, alguns nem sabem como fazê-lo, ou mesmo a desconhecem. Uma pesquisa realizada recentemente pela empresa de consultoria internacional Deloitte mostrou que apenas 38% dos negócios estão preparados para as normas exigidas pela LGPD, 16% não estão preparados e 46% parcialmente capacitados.
Diante desse cenário, o que se espera é que a ANPD tenha uma atuação fiscalizatória que promova um ambiente regulatório de maior conformidade através de medidas de orientação, conscientização e educação de boas práticas de proteção de dados. Nesse sentido, um caminho saudável a ser trilhado pela ANPD é priorizar o diálogo com os regulados, incentivando a prevenção, deixando a aplicação das sanções para os casos mais extremos, envolvendo condutas dolosas e/ou negligentes.
Prevenir é sempre melhor que remediar. Assim, também se faz necessário garantir que o produto das sanções aplicadas seja destinado para a promoção de eventos educativos para a disseminação da cultura de proteção de dados, quer entre regulador, quer entre regulados.
A orientação contínua como uma das formas de fiscalização ajudará que regulados tenham conhecimento e ferramentas para colocar a LGPD em prática. Que esta seja uma das bandeiras da ANPD e um dos principais critérios a ser adotado pela autoridade. Dessa forma, regulador e regulado estarão andando na mesma direção – criando e promovendo a cultura de proteção de dados. Todos terão a ganhar, pois a privacidade é um valor universal.
A LGPD é uma lei para ser praticada – é uma legislação, para uma nova era – era do Big Data. A ANPD e os regulados têm um papel fundamental nessa história.
Adriana S. L. Esper é coordenadora do Comitê de Proteção de Dados do Conselho de Comércio Eletrônico (CCE) da FecomercioSP, sócia do MSY Advogados e professora de Compliance e Ética Digital da Fundação Instituto de Pesquisas (Fipe).