LGPD: inspiração, vigência e o desafio da eficiência da nova lei

A Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor no último dia 18 de setembro, na sequência de um processo marcado por diversas postergações e por interações tumultuosas entre Executivo e Legislativo. Após o início de sua vigência ser prorrogado uma vez pelo Congresso e outra pela Presidência da República no contexto da pandemia da Covid-19, o Senado Federal decidiu que a lei deveria entrar em vigor já em 2020 e surpreendeu considerável número de entidades, que contavam com o período adicional para fazer frente aos desafios de adaptação. Para além das sucessivas alterações quanto ao momento de sua vigência, a LGPD ainda enfrenta questões diversas relacionadas ao conteúdo normativo de suas provisões, ao nível de tolerância ou de sancionamento esperado da entidade encarregada de promovê-la e, em último grau, da eficácia possível de uma norma transportada do exterior sobre a realidade brasileira.

Ao ser promulgada em agosto de 2018, a LGPD foi altamente celebrada. Na sequência de escândalos como o Cambridge Analytica e a entrada em vigor do Regulamento Geral de Proteção de Dados na União Europeia (GDPR, na sigla em inglês) em 2018, o Brasil se juntou, não sem certo atraso, à onda global de proteção de dados pessoais. A LGPD não é o primeiro esforço nesse sentido — o Marco Civil da Internet e o Decreto nº 8771/2016, que o regulamenta, já haviam introduzido princípios relacionados a neutralidade de redes, privacidade e regras transparentes para proteção de dados. Suas disposições, contudo, se direcionavam primordialmente a provedores de conexão de internet e fornecedores de aplicações online. A LGPD, por sua vez, trouxe proteção de dados pessoais para a ordem do dia em uma gama mais ampla de setores, ao regular de forma mais detalhada o tratamento de dados de pessoas físicas com finalidade econômica por todas as pessoas físicas e jurídicas, inclusive pela Administração Pública.

A influência do GDPR sobre a LGPD é evidente. Os dois dispositivos confluem na limitação de tratamento de dados a hipóteses restritas, na positivação dos direitos de titulares de dados à anonimização e eliminação de seus dados e no enquadramento legal estrito das possibilidades de tratamento. As penalidades decorrentes do tratamento indevido de dados pessoais também evidenciam uma intenção do legislador brasileiro de replicar a severidade europeia em face das entidades que deixarem de observar as novas disposições, em especial a possível multa de até 2% do faturamento da pessoa jurídica no ano anterior. Apesar disso, a norma brasileira é consideravelmente mais lacônica do que a europeia. Enquanto o GDPR se assenta em substancial arcabouço normativo, a lei nacional relega questões centrais à interpretação ainda desconhecida da agência reguladora e do Judiciário, e a previsões infralegais que, até o momento, continuam incógnitas. A definição de interesse legítimo no tratamento de dados pessoais, bem como a especificação das categorias consideradas dados sensíveis (cujo tratamento se sujeita a grau adicional de rigor), por exemplo, vêm desafiando juristas ao longo dos dois últimos anos e ainda carecem de precisão no momento em que a norma entra em vigor. O fato de que a Autoridade Nacional foi criada um ano após a edição da lei, estruturada às pressas no contexto da antecipação da entrada em vigor do diploma e ainda não começou a operar tampouco contribui para segurança jurídica em relação à norma.

Mais do que um ponto de alerta para empresas que pretendem manter conformidade legal, o histórico da entrada em vigor da LGPD e a resposta de mercado às novas obrigações introduzidas levantam uma questão de efetividade. Entre o alarmismo sobre as possíveis penalidades aplicáveis e os questionamentos sobre os desafios da fiscalização digital em um governo de austeridade fiscal com recursos limitados, questiona-se: a nova lei e sua Autoridade Nacional de Proteção de Dados terão a capacidade de tornar a proteção de dados pessoais uma realidade no Brasil?

A União Europeia disciplina proteção de dados pessoais pelo menos desde 1995, quando foi editada a Diretoria 95/45/EC do Parlamento europeu. O legislador brasileiro, por sua vez, não se debruçou especificamente sobre o assunto até 2015. Ao contrário do que ocorre na Europa, a história jurídica brasileira desconhece grandes escândalos relacionados à privacidade nas redes. O cotidiano também revela uma disposição cultural diferente: de demonstrações públicas de afeto à inserção voluntária de informações pessoais em redes sociais, os brasileiros da segunda década do século XXI demonstram consideravelmente menor preocupação em tornar públicas suas informações pessoais do que, por exemplo, cidadãos europeus. Comparados à média mundial, os brasileiros se preocupam menos com a proteção de seus dados e conhecem menos sobre como empresas os utilizam [1].

Os questionamentos se avolumam ao se considerar que, nem mesmo na Europa — berço do individualismo contemporâneo, onde a população em geral goza de elevado nível educacional e de acesso a informação — a proteção de dados alcança plena efetividade. Um estudo da consultoria Deloitte mostra que os europeus ainda prestam pouca atenção a avisos de privacidade e são mais atraídos pelas recompensas decorrentes de compartilhar seus dados do que aos riscos daí decorrentes [2]. O mesmo documento revela que, em 2019, uma em cada cinco organizações sujeitas ao GDPR ainda buscava o menor nível possível de observância às regras do regulamento [3], ao passo que o relatório de progresso preparado pelo escritório de advocacia americano McDermott, Will & Emory indica que apenas 18% das organizações europeias estavam confiantes em sua capacidade de comunicar incidentes de vazamento de dados aos reguladores [4].

O cenário no Brasil é consideravelmente mais grave. As exigências da LGPD não vieram acompanhadas de campanhas de promoção e com pouco ou nenhum direcionamento às organizações privadas. Nesse contexto, a norma pouco convida a desenvolver uma incipiente cultura nacional de proteção de dados pessoais, e não são poucos os stakeholders que a leem como uma ameaça. Do lado dos titulares, não se pode ignorar que no país o analfabetismo e a dificuldade de acesso à Justiça ainda são mazelas persistentes e que a capacidade da população de ler e entender avisos de privacidade ou solicitações de consentimento pode, em si mesma, representar um obstáculo adicional à conformidade à lei. Nesse contexto, a eficácia de uma legislação que replica o GDPR sobre uma sociedade que não tem o mesmo interesse que a europeia pelo interesse jurídico protegido parece, no mínimo, questionável.

Criar uma norma efetiva de proteção de dados no Brasil vai além de incorporar soluções estrangeiras. É necessário refletir sobre o arcabouço social envolvido e desenhar programas de adaptação que criem incentivos progressivos à conformidade, equilibrando tolerância e sancionamento. Faz-se necessário construir soluções em conjunto, mapear a habilidade da população de entender as informações relacionadas ao tratamento e compartilhamento de dados e a matriz de incentivos relacionada ao compartilhamento. Levar o mercado a desenhar ferramentas efetivas de comunicação que observem a realidade social brasileira exige inteligência no desenho de políticas e mais tolerância do que sancionamento, o que, atualmente, não passa de expectativa não garantida de organizações e juristas. Enquanto houver insistência em introduzir de atropelo normas que replicam o rigor do exterior sem guiar a sociedade a incorporá-las, as políticas de conformidade dificilmente conseguirão ir além da gestão de risco.