LGPD em vigor: o que muda?

Qual era o cenário antes da LGPD?

O direito brasileiro carecia de legislação específica e abrangente sobre proteção de dados pessoais, harmonizando e atualizando conceitos (vide infográfico) antes esparsos em inúmeras outras normas setoriais, como o Código de Defesa do Consumidor (CDC), o Marco Civil da Internet, a Lei do Cadastro Positivo.

A Constituição Federal também destaca o direito fundamental à intimidade e à vida privada, previsto em seu artigo 5º, inciso X. Em maio deste ano, com base neste e outros princípios, o STF reconheceu a existência na CF, em julgamento que suspendeu a Medida Provisória 954/20 (previa o compartilhamento de dados pessoais com o IBGE), do direito dos indivíduos à respectiva autodeterminação informativa. O julgamento pode ser considerado um marco na história brasileira de proteção de dados pessoais.

Ademais, há inclusive importante Proposta de Emenda à Constituição (PEC), 17/19, que acrescenta expressamente proteção de dados pessoais no rol de direitos e garantias fundamentais. Essa PEC estabelece, ainda, a competência privativa da União para legislar sobre o tema. Além disso, conforme sugestão de acréscimo oriunda da Câmara dos Deputados, pretende a modificação da natureza jurídica da Autoridade Nacional de Proteção de Dados Pessoais (ANPD), que passaria a ser um órgão independente, integrante da administração pública federal indireta e submetida ao regime autárquico especial.

O que muda agora que a LGPD entrou em vigor?

A LGPD visa trazer maior segurança jurídica, mediante a previsão, em uma norma específica, dos requisitos a serem seguidos pelas organizações para que tratem dados pessoais de forma ética, responsável e segura, elevando a proteção aos direitos individuais e o fomento à economia digital.

Além disso, o Brasil está agora alinhado com as melhores práticas internacionais. A LGPD, que se inspirou no  GDPR, regulamento europeu de proteção de dados considerado referência no mundo inteiro (veja aqui as leis de outras nações correlatas), potencializa a atração de investimentos externos e um fluxo internacional de dados menos burocrático.

Os principais pontos de atenção diante da eficácia da LGPD, são os seguintes: 

• Atendimento dos direitos dos titulares (vide infográfico);
• Maior transparência, garantindo, aos titulares, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento;
• Responsabilidade no tratamento de dados pessoais (vide infográfico de governança e infográfico sobre o DPO); e
• Dever de notificações, em caso de incidentes envolvendo dados pessoais, mesmo que ainda ausentes as suas sanções administrativas, pois órgãos setoriais e o Poder Judiciário poderão fundamentar seus atos com base na LGPD para aplicar medidas administrativas e condenações por responsabilidade civil.

A autodeterminação informativa (vide infográfico), prevista como fundamento no artigo 2º, inciso II, da LGPD, deve servir como norte para as organizações no tratamento de dados pessoais, assim como os seus respectivos princípios (vide infográfico), elencados no seu art. 6º, como:

• Finalidade, com a realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
• Necessidade, com a limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
• Transparência, já mencionada;
• Livre acesso, com a garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
• Segurança, com a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
• Prevenção, com a adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; e
• Responsabilização e prestação de contas, com a demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Vale ressaltar, no entanto, que a LGPD é uma lei com diversos dispositivos que necessitam de regulamentação ou orientação da ANPD, como:

• Prazos para atendimento dos requerimentos dos titulares;
• Padrões para portabilidade de dados;
• Regulamentação do relatório de impacto à proteção de dados pessoais (vide infográfico);
• Clarear as hipóteses de aplicação do Legítimo Interesse (vide infográfico);
• Padrões e técnicas de anonimização de dados pessoais;
• Decisão adequação de outros países e cláusulas-padrão contratuais para facilitar a transferência internacional de dados; e
• Editar orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas, empresas de pequeno porte e startups, possam adequar-se a Lei.

 Sanções administrativas a partir de 1º de agosto de 2021. O que isso significa?

As sanções administrativas previstas na LGPD, de competência exclusiva da ANPD (vide infográfico sobre a Autoridade), só poderão ser aplicadas, em atendimento à Lei 14.010/2020, a partir de 1º de agosto de 2021. Vejamos quais são elas:

• Advertência, com indicação de prazo para adoção de medidas corretivas;
• Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
• Multa diária;
• Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
• Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• Eliminação dos dados pessoais a que se refere a infração;
• Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
• Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;  
• Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. (Incluído pela Lei nº 13.853, de 2019)  

Competirá à ANPD definir, após consulta pública, as metodologias que serão usadas para calcular o valor-base da multa, assegurando a publicação prévia, formas e dosimetria objetivas, bem como a fundamentação detalhada de todos os elementos e critérios para se definir uma sanção.

Também é papel da ANPD, como órgão central de interpretação da LGPD e do estabelecimento de diretrizes para sua implementação, articular-se com outros órgãos e entidades que têm competências sancionatórias e normativas ligadas à proteção de dados pessoais. Sem tal articulação, há risco de aplicação cumulativa de punição administrativa decorrente de um único fato (o chamado bis in idem), especialmente em setores econômicos muito regulados ou sujeitos à proteção consumerista.

O trabalho da Autoridade, que ainda não está em funcionamento, deve priorizar o engajamento construtivo com a iniciativa privada por meio do diálogo, apoio, mútua cooperação, orientação, conscientização e informação, ao invés de sanções, que devem ser a última opção – apenas nos casos de violação dolosa ou práticas exponencialmente negligentes, condutas reiteradas ou muito graves.

No entanto, com a eficácia plena da LGPD a partir de hoje (18/09/20), órgãos setoriais e o Poder Judiciário poderão fundamentar suas decisões com base na LGPD, a fim de aplicar medidas administrativas existentes em normas setoriais e condenações judiciais por responsabilidade civil, o que esperamos não ser o “novo normal” com a LGPD em vigor (vide artigo sobre o tema). 

 O que falta para a ANPD começar, de fato, a funcionar?

Até o momento, a ANPD não saiu do papel. A necessária segurança jurídica ressaltada anteriormente pode estar comprometida até que a Autoridade comece efetivamente a funcionar e regulamentar à Lei.

Vale lembrar que o Decreto 10.474/2020, publicado no último dia 27 de agosto no Diário Oficial da União, aprovou a estrutura regimental da ANPD e do quadro demonstrativo dos cargos em comissão e das funções de confiança.

Esse é, no entanto, somente o passo inicial para que a ANPD tenha condições de iniciar suas operações. Agora, a Presidência da República precisa indicar os membros do Conselho Diretor da ANPD, que ainda serão sabatinados e aprovados pelo Senado Federal, o que deve ocorrer nas próximas semanas. Também deve ser definido o Conselho Nacional de Proteção de Dados e da Privacidade, órgão consultivo ligado à ANPD.

Com a futura ANPD, seu Conselho Consultivo e respectiva regulamentação da LGPD, provavelmente teremos a necessária e almejada segurança jurídica, possibilitando o esplendor de uma lei que é um marco para a evolução de uma vibrante e pujante economia digital do nosso país.