IDENTIDADES
A agenda de 2021 da LGPD
A Consumidor Moderno conversou com três especialistas sobre o que podemos esperar da LGPD em 2021. Um dos temas é a judicialização da proteção de dados
Por Ivan Ventura
caminho entre o debate e o início da vigência da Lei Geral de Proteção de Dados Pessoais (LGPD) foi marcado por reviravoltas que mais parecem um desses dramas exibidos em algum streaming de vídeo. Mas quem disse que as polêmicas sobre o tema acabaram? Em 2021, há uma certeza: a saga continua e com a promessa de novos e eletrizantes capítulos.
Para entender o cenário que se avizinha na proteção de dados, a revista Consumidor Moderno conversou com três renomados especialistas em privacidade de dados e pediu que eles projetassem os assuntos que provavelmente estarão na pauta da LGPD no próximo ano. A lista inclui desde a judicialização com base na lei de proteção de dados, a criação de regras para a aplicação de multas pelo descumprimento da norma e até a possibilidade da aprovação de uma proposta que inclui a proteção de dados como direito fundamental na Constituição Federal.
NORMATIZAÇÃO E MULTA
Um dos temas prioritários da LGPD será a criação de regras específicas para a aplicação da LGPD. Sem isso, a lei de dados pessoais dificilmente terá eficácia e pior: ela poderá ser interpretada (e questionada na Justiça) a partir de diferentes pontos de vista. Esse papel caberá à Autoridade Nacional de Proteção de Dados Pessoais (ANPD), que, infelizmente, existe apenas no papel (mais especificamente no Diário Oficial da União). Por ora, existe apenas a definição dos nomes dos diretores e conselheiros (ver box ao lado), porém sequer existe, por exemplo, uma sala de reuniões para discussões.
Além disso, existe a necessidade de a ANPD discutir a chamada dosimetria da pena (a aplicação da punição adequada para cada caso), as regras da autoridade para a aplicação de multa, entre outros procedimentos que aprimorem o uso da lei.
Superadas essas etapas, a autoridade finalmente poderá dar início aos debates sobre as normatizações da lei de dados pessoais. Bruno Bioni, advogado especialista em proteção de dados e fundador do Data Privacy Brasil (instituição voltada ao estudo do tema), cita três assuntos que poderão ser discutidos pela Autoridade no próximo ano. Um dos assuntos é estabelecer uma regulação mais flexível para pequenas e médias empresas.
Uma diretoria formada essencialmente por militares. Este é o perfil da alta cúpula da Autoridade Nacional de Proteção de Dados Pessoais (ANPD). O diretor-presidente será Waldemar Gonçalves Ortunho, coronel reformado e atual presidente da Telebras. Logo abaixo, aparecem outros dois militares: Arthur Pereira Sabbat, especialista em segurança da informação no Gabinete de Segurança Institucional (GSI) e estudioso do tema sobre a proteção de dados, e Joacil Basilio Rael, ex-colega do presidente, Jair Bolsonaro, na Academia Militar das Agulhas Negras.
Os outros dois diretores são civis. Miriam Wimmer é professora de direito e diretora de políticas de telecomunicações no Ministério das Comunicações. Por fim, o quinto e último nome é de Nairane Farias Rabelo, advogada e representante do setor privado no conselho.
“No caso do tratamento diferenciado para pequenas e médias empresas, é preciso entender como o peso da regulação poderá ser flexibilizado e, assim, ter um tratamento diferenciado. O segundo (tema) é o relatório de impacto à produção de dados pessoais. Afinal, quando é que devemos documentar, elaborar e executar esse documento em atividades de alto risco? Por fim, quais são os casos de dispensa da obrigatoriedade da indicação do encarregado, o famoso DPO?”, explica.
Outro assunto que poderá ser tema de debates da autoridade é a portabilidade de dados pessoais. A ideia é bem parecida com outras formas de portabilidades, tais como a transferência de uma dívida entre bancos, a mudança para um plano de telecomunicações mais vantajoso ou a migração para outro plano de saúde.
No caso da portabilidade de dados pessoais, a LGPD garante a possibilidade de um consumidor, por exemplo, pedir a transferência de informações pessoais guardadas em uma empresa para um concorrente. No entanto, existem muitas dúvidas sobre como isso vai ocorrer na prática.
Segundo Vitor Morais de Andrade, a portabilidade precisa ser regulamentada. “Afinal, será permitida sem exceção ou é preciso ter um motivo?”, questiona.
Além disso, Morais de Andrade comentou sobre a necessidade de criar uma normatização sobre o chamado consentimento para o tratamento de dados pessoais. Hoje, a lei prevê dez bases legais ou casos para o exercício dessa atividade, sendo uma delas ainda algo de dúvidas entre os juristas: o chamado “legítimo interesse”. Afinal, qual seria o legítimo interesse de uma empresa tratar uma informação de um consumidor?
“O legítimo interesse é uma base legal muito genérica. O que é o legítimo interesse da empresa em tratar um dado? Um dos primeiros temas sobre o qual a autoridade precisará se debruçar é a extensão desse legítimo interesse, ou seja, qual é o limite de informações que eu preciso ter para te dar um serviço adequado?”, disse.
PODER JUDICIÁRIO E O DANO MORAL IN RE IPSA
Outro tema destacado pelos especialistas ouvidos pela Consumidor Moderno é a possibilidade de judicialização com base na LGPD.
Hoje, dos mais de 80 milhões de processos judiciais em tramitação,10% representam as chamadas ações consumeristas. É certo que a LGPD deverá se somar à lista de direitos que protegem os consumidores, mais especificamente quanto ao tratamento de informações pessoais feito pelas empresas.
O risco de uma enxurrada de ações é real. Afinal, já existem ações na Justiça com base na lei sobre dados pessoais. A primeira foi uma ação civil pública movida pelo Ministério Público do Distrito Federal e Territórios (MPDFT), que acusava uma empresa de vender informações de milhões de brasileiros com custo que variavam de R$ 42 a R$ 212,90. No fim, o site foi tirado do ar e a ação foi extinta.
A mesma promotoria do DF, inclusive, possui um longo histórico de procedimentos em defesa dos dados pessoais contra empresas. No ano passado, o órgão pediu a aplicação de uma multa milionária e a suspensão de tratamento de dados feito por uma importante operadora de telecomunicações.
Na avaliação de especialistas, estes e outros casos serão cada vez mais comuns em 2021, resultando em uma judicialização do tema. Dentro desse universo, há um tema que poderá ser prejudicial às empresas e que precisará ser discutido pela ANPD: o dano moral in re ipsa, ou seja, quando não há necessidade de provar o dano diante da comprovação do vazamento de dados.
A julgar pelo cenário atual de casos de vazamentos de dados, o tema preocupa. Segundo um estudo anual da IBM em parceria com o Instituto Ponemon “Cost of a Data Breach”, o Brasil é o quarto País em volume de informação vazada a partir de um incidente de segurança, atrás apenas de países do Oriente Médio, da Índia e dos EUA. Os dados são de 2019.
“A grande questão é como os tribunais vão interpretar isso. Se interpretarem que um simples vazamento ou incidente justifica um dano moral in re ipsa, ou seja, em que não é preciso provar o dano, então, neste caso, o simples vazamento já justificaria uma indenização. É preciso discutir o tema”, explica Morais de Andrade.
Em paralelo ao debate sobre o dano moral, especialistas chamam a atenção para a atuação dos órgãos e das entidades civis de defesa do consumidor na aplicação da LGPD em 2021. A lei,cita nominalmente que Procons poderão fiscalizar o tratamento de dados feito nas empresas.
“A temperatura deve aumentar no próximo ano e o Poder Judiciário vai, inevitavelmente, ser chamado a se pronunciar sobre questões relacionadas à proteção de dados pessoais. Uma vez que a LGPD está vigente, essa carga sobre o Poder Judiciário tende a aumentar a partir da procura por justiça dos titulares dos dados, de entidades representativas, principalmente no campo de defesa do consumidor, as ONGs de defesa do consumidor, de defensorias públicas, ministérios públicos, Procons e outros”, acredita Bioni.
Segundo Fabricio da Mota Alves, outro renomado especialista em proteção de dados e representante do Senado Federal no conselho da Autoridade Nacional de Proteção de Dados Pessoais (ANPD), as empresas devem ficar atentas à possibilidade de judicialização e, sobretudo, precisam de um programa de compliance dedicado à privacidade de dados.
“As ações judiciais que começaram a mencionar a LGPD (antes mesmo de sua entrada em vigor) revelam que a sociedade passou a reatribuir o valor da privacidade como bem jurídico de grande relevância. O assunto agora vai exigir uma nova visão de risco e compliance especificamente dedicada à privacidade e às regulações em proteção de dados pessoais, uma vez que eventuais irregularidades poderão ter consequências financeiras e reputacionais elevadas”, explica.
O estudo “Cost of a Data Breach”, uma parceria entre a IBM e o Instituto Ponemon, mostra que o Brasil é o quarto País em volume de informações vazadas a partir de incidentes de segurança.
Segundo o levantamento, o Brasil registrou 26.523 casos em 2019. Ficamos atrás do conglomerado de países do Oriente Médio (38.800), da Índia (35.636) e dos EUA (32.434). A pesquisa avaliou mais de 500 empresas (35 no Brasil) em 16 regiões e países.
O volume de dados, no entanto, não se reflete em cifras. O levantamento mostra que o Brasil possui o menor prejuízo por incidente entre os países pesquisados. Cada episódio gera, em média, prejuízos de US$ 1,35 milhão para as empresas e uma média de US$ 69 (R$ 260) por registro. Isso pode mudar a partir da LGPD?
MUDANÇAS NA LEI
Outro assunto destacado por especialistas é a possibilidade de surgirem mudanças ou a aprovação de leis indiretamente relacionadas à Lei Geral de Proteção de Dados Pessoais.
Hoje, existem diversos projetos de leis que pedem inclusões na lei. Um deles, por exemplo, quer proibir o tratamento de dados para uma finalidade religiosa. Há também uma proposta que quer obrigar o armazenamento de dados pessoais em data centers físicos e dentro do território nacional – a ideia, segundo o autor, é impedir que essas informações sejam mantidas fora do País, mesmo que na nuvem ou cloud.
Há também outro grupo de projetos que pedem mudanças no atual texto da LGPD. Mota Alves, inclusive, defende alterações pontuais. “Eu não somente acredito como tenho a convicção de que a LGPD necessita ser aprimorada, para atender às várias peculiaridades das estruturas social e jurídica brasileiras. A lei pode ter levado mais de dez anos para ser discutida, mas o debate não foi suficientemente plural. Muitos setores não participaram do processo legislativo – alguns, por negligência mesmo –, que foi público e democrático. Mas, independentemente das razões e dos atores que ativamente participaram, o fato é que a LGPD possui diversos pontos de omissão e regulação equivocada, que repercutem indevida e negativamente para esses setores”, afirma.
Já Bioni discorda da necessidade de mudar a lei em um primeiro momento. “Antes de mais nada, é importante dizer que existe uma quantidade significativa de projetos de lei que altera a nossa LGPD. Esse movimento de alteração já está acontecendo. Agora, saber se vai ou não mudar é uma projeção difícil de se fazer, mas acho que a probabilidade de isso acontecer é baixa. Precisamos esperar um tempo para a lei maturar, entender o impacto e depois fazer um diagnóstico se ela deve ou não ser modificada”, disse.
Por outro lado, o fundador do Data Privacy Brasil é favorável à aprovação de uma medida já em discussão no Congresso Nacional: a PEC (Proposta de Emenda Constitucional) 17/2019. A ideia, também defendida por Mota Alves, é empoderar a LGPD ao incluir a proteção de dados na lista de direitos fundamentais previstos na Constituição Federal. A proposta ainda impede que o tema seja legislado penas no âmbito federal, impedindo o surgimento de normas similares (e até diferentes) nos Estados e Municípios – algo que já existe.
Evidentemente, o cenário político dificulta qualquer projeção de uma possível aprovação da PEC e de outras propostas em Brasília. Aliás, as incertezas causadas pela COVID-19 projetam um futuro nebuloso sobre a lei, tanto no Judiciário quanto na rotina das empresas. De fato, 2021 carrega a esperança de dias melhores e as incertezas do que virá a partir da LGPD.
