A prorrogação das sanções da LGPD e a relevância da ANPD

Em 15 de agosto de 2018, após mais de oito anos de debates na sociedade civil, o Brasil comemorava a sanção do seu mais importante marco normativo em proteção de dados pessoais, a Lei Geral de Proteção de Dados (LGPD).

O período inicial de vacatio legis para a complexa implementação pelas empresas foi de 18 meses, passando posteriormente para 24 meses, mesmo prazo conferido pelo GDPR às empresas da UE. Portanto, 16 de agosto do presente ano.

Porém, conforme sanção parcial do presidente da República ao Projeto de Lei nº 1.179/20, o qual dispõe sobre o Regime Jurídico Emergencial e Transitório das relações jurídicas de Direito Privado no período da pandemia da Covid-19, as sanções administrativas foram postergadas para 1º de agosto de 2021, enquanto que os demais artigos da lei, por força da Medida Provisória 959/20, por enquanto, têm eficácia em 3 de maio do ano que vem.

Todo esse cenário pode ser alterado de acordo com a futura apreciação do Congresso à referida medida provisória, sendo possível que ela também caduque, culminando na entrada em vigor da LGPD em 16 de agosto e das sanções administrativas em 1º de agosto de 2021, o que resultaria em enorme insegurança jurídica nesse lapso temporal de eficácia da lei sem a devida regulamentação pela Autoridade Nacional de Proteção de Dados (ANPD).

Enquanto isso, o tema já é uma realidade em nossos tribunais, inclusive na Suprema Corte, que, recentemente, no julgamento de cinco ações diretas de inconstitucionalidade (ADIns 6.387, 6.388, 6.389 e 6.390), reconheceu o direito constitucional da autodeterminação informativa, suspendendo a eficácia da Medida Provisória (MP) 954/2020, que previa o compartilhamento de dados de usuários de telecomunicações com o IBGE para a produção de estatística oficial durante a pandemia do novo coronavírus.

Não pode se negar que o Brasil e o mundo enfrentam uma crise sem precedentes neste século e que os atuais esforços estão direcionados para a absorção do impacto devastador dessa pandemia e preservação da saúde dos funcionários e seus postos de trabalho, prejudicando capacidade operacional, recursos humanos ou financeiros para cumprir os requisitos legais e técnicos da LGPD.

Porém, a discussão sobre o adiamento da LGPD ou de suas sanções está muito além da crise gerada pela Covid-19. A ausência da ANPD, órgão regulador, fiscalizador e sancionador da lei, é o fator preponderante. E isso porque a LGPD ainda prescinde de regulamentação em dezenas de relevantes temas, como: 

— Padrões de medidas técnicas e administrativas de segurança;

— Padrões e técnicas de anonimização de dados pessoais;

— Prazo para atendimento dos requerimentos dos titulares; 

— Auditoria em decisões automatizadas;

— Decisão adequação de outros países e cláusulas-padrão contratuais para facilitar a transferência internacional de dados;

— Padrões para portabilidade de dados; e

— Normas complementares para definição e as atribuições do Data Protection Officer, inclusive hipóteses de sua indicação.

Mais, a ausência da autoridade enquanto a LGPD estiver em vigor também aumenta o risco de uma perigosa judicialização de demandas em massa que devem e podem ser resolvidas extrajudicialmente, diretamente com as empresas controladoras dos dados ou na esfera administrativa, pois é a ANPD a responsável por:

— Apreciar petições de titular contra controlador após comprovação de não solução de reclamação no prazo estabelecido em regulamentação;

— Implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com a lei; 

— Promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança; 

— Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais; e

— Editar orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a lei.

Assim, é cristalina a necessidade da ANPD e a respectiva regulamentação da LGPD, por ser uma norma geral e abstrata, a qual, quando vigente, se não regulamentada, prejudicará a sua aplicação em casos específicos, gerando insegurança jurídica, que é o oposto do que se pretendia com a lei.

Ademais, um cuidado que se deve ter é que a futura ANPD, sob pena de ausência de confiança do mercado, priorize um engajamento construtivo com a iniciativa privada, no seguinte sentido:

— Ao invés de inquisição e sanção, dar prioridade a diálogo, apoio, mútua cooperação, orientação, conscientização e informação; 

— Estimular relações abertas e construtivas com negócios que lidem com dados pessoais, primando pela boa-fé das empresas e nos seus esforços em cumprir a lei; 

— Criar ambientes para inovações responsáveis, como Regulatory Sandboxes, nos quais novos projetos são testados de forma controlada visando a avaliar eventuais e futuras necessidades regulatórias, conforme o caso, mas a posteriori; 

— Encorajar empresas que se esforcem em agir de forma responsável a demonstrar seus programas de privacidade, segurança da informação, códigos de conduta e gerenciamento de risco, visando a gerar o reconhecimento do mercado por suas boas práticas, incluindo certificações, entre outros padrões de accountability;

— Editar normas, orientações e procedimentos para que as microempresas e empresas de pequeno porte possam se adequar à lei;

— As sanções devem ser a ultima ratio, principalmente e somente quando houver alguma violação dolosa, ou práticas exponencialmente negligentes, condutas reiteradas ou extremamente graves.

Paralelamente, o que as empresas podem fazer nesse ínterim?

Conforme permissivo legal estampado no seu artigo 50, caput, a LGPD garante autonomia às organizações na adequação das obrigações nela existentes, podendo, individualmente ou por meio de associações, formular regras de boas práticas e de governança, que é justamente o epicentro da jornada de conformidade normativa.

Ou seja, a LGPD estabelece parâmetros gerais de boas práticas e governança para as organizações, como: I) demonstrar o comprometimento em adotar processos e políticas internas que assegurem o cumprimento de normas relativas à proteção de dados pessoais (aplicável a todo o conjunto de dados pessoais e adaptado à estrutura, à escala e ao volume de suas operações); II) ter objetivo de estabelecer relação de confiança com o titular dos dados, por meio de atuação transparente; III) estar integrado à sua estrutura geral de governança; IV) estabelecer mecanismos de supervisão internos e externos; V) contar com planos de resposta a incidentes e remediação; VI) ser atualizado constantemente; e VII) ser efetivo e contar com monitoramento contínuo e avaliações periódicas.

Assim, conforme as especificidades e o universo de cada setor econômico (saúde, comércio eletrônico, financeiro, startups, por exemplo), as regras de boas práticas e de governança podem ser adaptadas, garantindo autonomia às empresas e associações na adequação das obrigações existentes na LGPD, de forma que o próprio agente regulado estabelece as suas regras internas para a devida conformidade.

Referidos procedimentos adotados nesse período de vacatio da LGPD e de ausência da ANPD podem ser testados e estressados de acordo com a necessidade de cada setor, pois assim que a ANPD for devidamente constituída as entidades poderão contribuir com exemplos práticos do mercado em uma verdadeira construção colaborativa, levando os seus frameworks de governança em proteção de dados para o respectivo órgão regulador, que poderá avaliá-los e reconhecê-los como válidos.

É a autorregulação regulada (Enforced Self-Regulation) da LGPD, prevista no seu artigo 50, §3º, em que as regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela ANPD.

Esse modelo de regulação é extremamente benéfico ao conciliar interesses públicos caros ao Estado e à sociedade, com o conhecimento e a prática setorial e a necessidade de constante revisão de conceitos inerente a dinamicidade da sociedade atual. Consequentemente, há maior absorção das incertezas e construção de parâmetros melhores de eficácia na regulação.

Assim, há esperança de que as novas definições acerca dos prazos para a eficácia da LGPD despertem no Executivo um olhar ainda mais cuidadoso para o tema, visando à constituição da ANPD, possibilitando o esplendor de uma lei que é um marco para e evolução da economia digital do nosso país.