O impacto da LGPD, o papel do advogado e aprendizados do mercado europeu

Após muitas idas e vindas, em 18 de setembro a Lei Geral de Proteção de Dados (Lei nº 13.709/2018, também conhecida como LGPD) [1] entrou em vigor no Brasil, ressalvadas as sanções administrativas, que passam a ser aplicadas a partir de agosto de 2021.

A lei regulamenta o uso de dados pessoais no Brasil e seu escopo de aplicação está definido no artigo 3º [2]: toda pessoa, natural ou jurídica, que realizar o tratamento de dados pessoais, independentemente se por meio físico ou digital, está sujeito à sua aplicação. Em termos gerais, é difícil mencionar um serviço ou empresa que não deverá seguir tais regras. Não importa se um profissional liberal, se uma pequena padaria no interior, ou uma empresa multinacional, seja no desenvolvimento de novos produtos ou apenas por meio do simples cadastro de clientes. A partir do momento que: 1) o tratamento de dados seja feito no Brasil; 2) o uso dos dados tenha como objetivo oferecer bens ou serviços no Brasil; 3) os dados pertençam à indivíduos localizados no Brasil; ou 4) os dados tenham sido coletados no território brasileiro, a lei se aplica.

O cumprimento da lei, de forma bastante simplificada, resume-se ao agente que fizer uso dos dados (o controlador e/ou operador) atender a todos os princípios definidos no artigo 6º [3], tais como finalidade, necessidade e segurança, e enquadrar tal uso em uma das hipóteses previstas na lei, especialmente no artigo 7º [4], tal como necessidade para execução de um contrato, ou mediante consentimento do titular do dado.

Muitas empresas ainda não se adequaram aos termos da nova lei ou sequer sabem por onde começar. Todo esse processo dependerá, em um primeiro momento, de tais empresas tomarem ciência dos impactos da legislação em suas atividades diárias e, a partir disso, estruturar tais atividades de modo que os requisitos da lei sejam cumpridos. Especialmente porque tais instituições estarão sujeitas à auditorias e, consequentemente, sanções a serem aplicadas pela Autoridade Nacional de Privacidade de Dados — ANPD (artigo 52 [5]). Além disso, em um patamar não menos importante, os titulares de dados estão cada vez mais informados sobre seus direitos e certamente acompanharão de perto o uso de seus dados pelas empresas.

Em meio a tantas incertezas e visando a atender à demanda do mercado, novos modelos de negócio surgiram. A adequação e contínuo cumprimento da lei depende de uma atividade multidisciplinar, em que é necessário garantir não só a execução dos requisitos legais, mas também assegurar tal cumprimento do ponto de vista técnico. Empresas de tecnologia e, especialmente, de TI, expandiram seus negócios de modo a prestar consultoria à empresas no que tange à LGPD, gestão de projetos e medidas técnicas organizacionais (conforme artigo 46 [6]).

O papel do advogado nesse contexto, por sua vez, é de extrema importância. Existem muitos pontos da lei ainda pendentes de efetiva regulamentação, a exemplo de eventuais atribuições adicionais do encarregado de dados, que poderão ser estabelecidas pela ANPD (artigo 41 [7]). Além disso, tratando-se de uma lei recente, a forma de sua interpretação pela Autoridade Nacional e pelo Poder Judiciário ainda é desconhecida.

Com efeito, a entrada em vigência da lei foi seguida rapidamente pela primeira condenação. Trata-se do caso da companhia imobiliária Cyrela, que foi condenada ao pagamento de indenização de R$ 10 mil a um cliente pelo compartilhamento indevido de seus dados com empresas estranhas à relação contratual, conforme decisão da 13ª Vara Cível do Tribunal de Justiça do Estado de São Paulo [8]. No caso, a imobiliária efetuou a venda de unidade em empreendimento imobiliário ao autor da demanda, oportunidade na qual teria lhe informado que os dados seriam usados apenas para fins de cadastro positivo. No entanto, o autor passou a ser assediado por instituições financeiras e empresas de arquitetura, todas oferecendo serviços relacionados à aquisição feita pelo autor.

Embora a decisão em comento faça expressa menção à LGPD, a condenação foi fundamentada também em outros diplomas legais, em especial o Código de Defesa do Consumidor e a Constituição Federal de 1988. Nessa decisão, é possível lembrar que o direito à privacidade e inviolabilidade da intimidade não são novidades no ordenamento jurídico pátrio e a LGPD, ao tutelar especificamente o uso de dados pessoais, trouxe mais segurança e, principalmente, consciência sobre tais direitos. A interação da LGPD com outras leis certamente será bastante ponderada nos próximos anos, e a consultoria de como tal interação impactará as atividades das empresas é uma função que somente advogados podem exercer.

Diante do exposto, é evidente a existência de novas oportunidades para advogados em todo o Brasil. São milhares de empresas brasileiras buscando suporte no assunto e advogados têm a chance de expandirem seus serviços, a fim de atenderem seus clientes de forma mais completa.

Vale lembrar ainda que, mesmo que pautada por diversas incertezas, a LGPD é apenas mais uma das leis de privacidade de dados surgindo em meio a uma tendência mundial. A lei brasileira foi especialmente inspirada pelo Regulamento Geral de Proteção de Dados Europeu, também conhecido como GDPR. Respeitadas as diferenças entre as leis e atuação dos mercados brasileiro e europeu, a experiência europeia pode nos ensinar muito sobre acertos e erros nos últimos dois anos de aplicação.

No que diz respeito ao processo de consultoria, a experiência mostrou que tecnologia pode ser uma grande aliada. A regulamentação de privacidade de dados é algo a ser aplicada continuamente, de modo que a tendência no mercado europeu foi seguir um modelo flatrate, isto é, cobrança única anual, por exemplo, ao invés de horas trabalhadas. Nesse contexto, tempo revelou-se um fator de extrema importância.

Tendo em vista que, além do conhecimento jurídico, grande parte do trabalho efetuado no processo de adequação e compliance com a lei está relacionado à questões organizacionais e gestão de projetos, a tecnologia auxilia na economia de tempo, garantindo que cada minuto gasto em um projeto seja investido de forma útil e eficiente.

Pesquisas mostraram que apenas 20% do tempo dos consultores era efetivamente direcionado às atividades relacionadas à privacidade de dados, isto é, análise e pareceres. Com efeito, 30% do trabalho consistia na busca por documentos e informação, e 50% era representado apenas por atividades administrativas, tais como e-mails e organização de relatórios, incluindo o constante copia e cola de atividades idênticas. Muitos desistiram dessa empreitada, vez que, no fim do dia, o esforço não era devidamente remunerado. Vale notar ainda que, nesse cenário, não foram consideradas as horas gastas com treinamento e atualização de novos membros de equipe [9].

Softwares se mostraram indispensáveis para alcançar a prestação de um trabalho de qualidade e, ao mesmo tempo, rentável. Como exemplo, o software ECOMPLY.io [10] surgiu com o objetivo único de auxiliar empresas e consultores nesse processo de adequação, compliance e consultoria com a regulamentação de privacidade de dados, oferecendo processos guiados, automatização de relatórios, repositório de documentos, registro de atividades, entre outras funções.

Ainda que a lei brasileira e o regulamento europeu apresentem diferenças entre si, as empresas brasileiras passarão, agora, pelo mesmo processo de adaptação que as empresas europeias passaram há alguns anos. São muitos os outros aprendizados que o Brasil pode obter do velho continente e, sem dúvidas, em um cenário cheio de incertezas, a aplicação da GDPR já serve como referência no Brasil.

Para os advogados e consultores que desejam seguir nesse caminho, o principal aprendizado é o de tornar seu negócio eficiente, de forma a atender a inegável demanda existente no Brasil de forma prática, eficaz e, não menos importante, rentável.

Se você quiser saber como o ECOMPLY.io pode ajudá-lo a implementar a LGPD em seus clientes, acesse aqui.