Finalmente entrou em vigor a LGPD!

Brasil, 1º/8/2021. Finalmente entrou em vigor a LGPD!

O leitor deve estar estranhando a afirmação acima, uma vez que essa lei foi promulgada em 14/8/2018 e, após idas e vindas legislativas, entrou em vigor na sua quase totalidade em 18/9/2020. 

Após três anos, a lição que se pode inferir desse caso é que todos os artigos da LGPD deveriam ter entrado em vigor na data da publicação em 2018. Mesmo com toda essa "benesse" legislativa para que houvesse tempo suficiente para a adequação das atividades de tratamento de dados às novas regras, parte das empresas mal sabe da existência desta lei. Até entre aquelas que conhecem, por terem condições de contarem com departamento jurídico próprio ou por contratarem serviços de escritórios de advocacia, parece que simplesmente fizeram tábula rasa do disposto na lei. Mais grave ainda é ver que há muitos operadores do Direito que desconhecem a LGPD até em suas próprias atividades profissionais.

Por que pouca coisa se alterou desde então? A resposta é simples: não era possível a aplicação dessas sanções administrativas previstas nos artigos 52 a 54 da LGPD. Inexistindo mecanismo de efetivação da aplicação da norma jurídica, deixou-se para o futuro o que já deveria ter sido feito desde 2018. É certo que se previu a responsabilidade civil pelo mau tratamento de dados pessoais nos termos do artigo 42 e seguintes da LGPD, mas estes não acrescentaram nada de novo no ordenamento jurídico brasileiro, a não ser o debate sobre ser subjetiva ou objetiva essa cláusula geral de responsabilidade civil. Tanto que incidentes de vazamentos de dados de grande magnitude vêm acontecendo com maios frequência desde 2020, e as ações judiciais movidas pelos titulares de dados pessoais nem sempre têm sido julgadas procedentes, sob o fundamento de que não houve dano, ou que os dados vazados poderiam ser descobertos de forma lícita, o que não é de todo equivocado de acordo com os fundamentos desse ramo do Direito, entre os quais a inexistência de responsabilidade civil sem dano. 

Por isso, para contornar essas dificuldades inerentes ao sistema de responsabilidade civil, bastaria que houvesse em 2018 uma lei que tivesse estatuído sanções administrativas, tais como aquelas estabelecidas nos artigos 52 e 54 da LGPD, pois o restante, em linhas gerais, já estava garantido pela Constituição Federal e pela legislação vigente, como o Código Civil, o Marco Civil da Internet, e o Código de Defesa do Consumidor, além do Código Penal, que, inclusive, sofreu alterações para previsão de tipo penal de invasão de dispositivo informático em 2012, por meio da Lei Carolina Dieckmann, majorando-se a pena em maio de 2021.

Isso não quer dizer que a maior parte da LGPD é desnecessária, mas evidencia que a solução dos problemas decorrentes de tratamento de dados pessoais está mais na aplicação de sanções administrativas e, menos, nos fundamentos e princípios afirmados na LGPD.

A importância das sanções administrativas é que o bem jurídico tutelado não é o direito da pessoa, ou das pessoas coletivamente consideradas, mas a proteção do sistema de proteção jurídica instituído em lei. Dessa forma, independentemente da ocorrência de dano à pessoa, ou da culpa do agente, aplicam-se multas pela mera infração das regras vigentes, o que impõe um dever geral de cautela mais acentuado na realização da atividade. Basta considerar por analogia o que ocorrem com as leis de trânsito: não importa se trafegar acima da velocidade permitida, fazer ultrapassagens proibidas, passar com o sinal fechado, estacionar em local proibido, ou avançar a faixa de pedestres não tenha causado acidentes ou meros aborrecimentos: são simplesmente proibidas essas condutas, para que se evitem ao máximo a ocorrência desses fatos, o que traz mais segurança a todos pelo reforço do cumprimento da lei.

Quando as sanções administrativas forem devidamente aplicadas pela ANPD pelo mau tratamento de dados pessoais, serão perceptíveis os efeitos desejados pelo legislador quando se elaborou a LGPD. Assim, coletar-se-ão menos dados no preenchimento de formulários e na compra de produtos em estabelecimentos. Será revelada a finalidade da coleta e solicitado consentimento específico para compartilhamento de dados.

Aliás, a ANPD, criada sob desconfiança por conta da sua vinculação com a Presidência da República, em vez de ter sido estruturada na forma de órgão da Administração Pública indireta conforme previsto na LGPD, vem demonstrando muita seriedade, além de empenho e profissionalismo na condução dessas questões, mostrando-se seus diretores surpreendentemente abertos e solícitos para ouvir as contribuições dos diversos setores, entre os quais a academia.

Em atendimento ao disposto no artigo 53 da LGPD, está em discussão na ANPD o regulamento das sanções administrativas, disponível no site desse órgão no portal do governo federal. Ainda falta estabelecerem-se os parâmetros para a fixação das multas, nos termos do já mencionado artigo 53 e também do artigo 54, à semelhança dos regulamentos das agências reguladoras e, em especial, pelo Cade, com o intuito de evitarem-se recursos desnecessários ao Poder Judiciário com vistas à anulação da sanção por desconhecimento dos critérios usados em sua fixação nos casos concretos. Outro aspecto está na forma como se efetivará a fiscalização e aplicação de sanções administrativas a entidades e órgãos públicos. Certamente, essas questões estarão adequadamente solucionadas em breve. 

Acerca dos parâmetros objetivos, econômicos e subjetivos para a elaboração de um regulamento administrativo sobre multas, um deles corresponde ao que se espera de um agente de tratamento de dados: a boa-fé (artigo 6º, caput). Afinal, na aplicação das sanções, deve-se levar em conta, diretamente, a observância ou não da boa-fé (artigo 52, §1º, II). Nesse sentido, deve-se verificar em que medida o agente de tratamento de dados foi contraditório, desrespeitando o princípio da adequação, ou como se violou o princípio da finalidade, ao omitir-se informação relevante ao titular dos dados pessoais em sua política de privacidade, assim como se faltou consideração ou cooperação com o titular de dados pessoais ao ter coletado e armazenado dados desnecessários. No limite, se houvesse observância do principio da boa-fé no tratamento de dados pessoais, talvez nem sequer fosse necessária a LGPD. Mas, infelizmente, as coisas não são bem assim na vida real.