Por Alex Santos (foto)*
Artigo publicado originalmente no Estadão
Chegaram ao fim os acalorados debates sobre a vigência da Lei Geral de Proteção de Dados Pessoais (LGPD), para o alívio do meio empresarial. Depois de algumas iniciativas legislativas nesse sentido, a questão foi finalmente resolvida pela Medida Provisória 959, publicada em 29 de abril de 2020) em edição extra do Diário Oficial da União, determinando o adiamento de vigência da LGPD para 3 de maio de 2021. Pois bem. Superado esse impasse do adiamento, ainda restam pontos de preocupação durante esse período de inatividade da LGPD.
Esse adiamento certamente será comemorado por muitos. Afinal, a adequação à LGPD exige uma verdadeira revolução tecnológica e cultural no meio empresarial. A concepção de que os dados pessoais do seu banco de dados, na verdade, não são seus, mas de terceiros, ainda causa muita confusão. Atender as restrições de uso dessas informações na forma imposta pela LGPD implica muitas vezes em uma total revisão e reestruturação de processos do negócio. A dinâmica de muitas empresas deverá ser adaptada para adequação à LGPD, e isso custará caro.
Esse adiamento, contudo, não significa que há espaço para repensarmos a LGPD. A proteção dos dados pessoais é uma realidade mundial e tende a se intensificar proporcionalmente à evolução das nossas interações no ambiente digital. Não há dúvidas de que a pandemia do COVID-19 acelerou o processo de transformação digital em muitas empresas. Durante a quarentena, o consumo de bens e serviços migrou majoritariamente para o ambiente digital e essa tendência talvez se manterá após passarmos por esse período de incertezas. Podemos estimar que o digital passará a ser o padrão das relações empresariais, e essa perspectiva implica em assumirmos um abrupto crescimento no fluxo de dados pessoais entre empresas espalhadas por todo mundo.
Nesse contexto, há até uma certa contradição nesse adiamento da LGPD, justamente no momento em que há uma intensificação de fluxo de dados pessoais por conta das restrições impostas pela crise sanitária da COVID-19. Afinal, com o aumento dessas interações digitais, há também um aumento considerável dos casos de fraudes eletrônicas, vazamentos de dados, dentre outras situações que têm sido objeto de fiscalização e autuação por diversas autoridades públicas. A verdade é que o adiamento da LGPD traz mais riscos do que benefícios.
Imagine o cenário em que uma empresa sofra um episódio de vazamento de dados pessoais. Com base na LGPD, ela deveria comunicar a Autoridade Nacional de Proteção de Dados (ANPD) sobre o evento, adotar medidas de mitigação de danos e, eventualmente, sofrer sanções. Com o adiamento da LGPD, a empresa está, em princípio, livre das sanções e das medidas. Apesar disso, esse evento poderá, ainda assim, ser objeto de fiscalização e autuação por diversas autoridades públicas, como Ministério Público (Federal, Distrital e Estaduais), órgãos de defesa do consumidor, agências reguladores e etc, simplesmente por que não temos atualmente uma centralização no controle das questões que envolvem proteção de dados pessoais (o que seria resolvido pela vigência da LGPD). Nesse cenário atual, há inclusive o risco de autuações múltiplas e simultâneas por diversas autoridades em razão de um único evento, o que certamente trará altos custos e muita dor de cabeça.
Desde meados de 2018, há recorrentes notícias sobre vazamento de dados pessoais e atuação de diversas autoridade públicas no Brasil. A ausência, de fato, de uma autoridade nacional (ANPD) no Brasil permite que outras autoridades públicas assumam esse papel e atuem de forma arbitrária, sem um efetivo controle ou orientação. Há, inclusive, notícia de empresas que celebraram termos de ajuste de conduta com fundamento na LGPD, antes mesmo que ela tenha entrado em vigência!
Outro ponto importante é o fato de que o Brasil permanecerá sendo considerado como um ambiente “hostil” devido ao baixo nível de proteção de dados pessoais em comparação ao padrão internacional. Isso significa que empresas situadas no Brasil, ou que realizam operações de tratamento de dados pessoais (ex.: armazenamento, compartilhamento e transferência) no Brasil, terão mais dificuldade em manter e desenvolver relacionamentos com fornecedores e clientes internacionais.
Importante ressaltar que empresas situadas na União Europeia, em algumas regiões dos Estados Unidos da América (“EUA”) e em outros países com nível de proteção de dados pessoais elevado, estão em constante fiscalização e vigilância das respectivas autoridades nacionais de proteção de dados pessoais. A situação corriqueira de troca de informações entre empresas (transferência internacional de dados pessoais) sujeitas à regras desiguais de proteção de dados pessoais pode ser objeto de autuação e aplicação de penalidades pelas autoridades nacionais. Isso significa que empresas situadas nessas regiões com nível elevado de proteção de dados têm maior risco ao interagir com empresas brasileiras, e essa situação certamente será refletida, por exemplo, na alocação de riscos durante a negociação e celebração de contratos, aumentando os custos da transação em desfavor dos brasileiros. O adiamento da vigência da LGPD infelizmente prorrogará essa situação.
Esse período de prorrogação da vigência da LGPD poderá ser bem aproveitado pelas empresas brasileiras para buscarem soluções de adequação à norma, conscientes de que, ao menos por enquanto, estão protegidos das pesadas sanções previstas na LGPD. Ainda assim, eventos de violação de dados pessoais serão mais frequentes em razão da aceleração da transformação digital das empresas e, portanto, o risco de autuação de diversas autoridades públicas aumentará. Uma adequação imediata à LGPD, independentemente do adiamento de sua vigência, trará mais estabilidade e competitividade no relacionamento com empresas situadas na União Europeia e EUA.
*Alex Santos é advogado especialista em Tecnologia do escritório Nascimento e Mourão