Quatro anos de LGPD e como estamos?

Nesta semana, a Lei Geral de Proteção de Dados brasileira (nº 13.709/2018), completou quatro anos. Uma publicação sem muito alarde e cercada de desconhecimento e desconfiança, o que é compreensível diante da pouca cultura brasileira no que se refere à "proteção de dados".

Reprodução

Mas por que precisamos de uma cultura de proteção de dados?

A sociedade atual possui amplo e vasto acesso a informações que, em virtude dos avanços tecnológicos chegam rapidamente e por fontes que, nem sempre, permitem averiguação, possibilitando o uso dessas informações para fins diversos e, até mesmo, para manipulação de comportamentos e propagação de desinformações.

Não é segredo que a informação configura, hoje, importante estratégia de negócio, de modo que, quem detém maior conteúdo informativo adquire maior poder de gerenciar o seu próprio apetite de riscos, além do poder de influenciar terceiros.

Toda informação, por sua vez, provém de dados pessoais, e quanto maior o número desses dados, mais assertiva será a informação adquirida. Essa informação, contextualizada e aplicada, gera conhecimento que, devidamente direcionado, para tomada de decisões pontuais, produz sabedoria. Essa é a razão pela qual os dados passaram a ser desejados pelas grandes potências mundiais, na busca pelo controle do poder informacional.

Os dados pessoais passaram a ser o principal combustível de toda economia mundial, no entanto, não se pode olvidar que eles não pertencem às instituições, mas às pessoas à quem eles se referem, e o seu uso inadequado pode impactar, consideravelmente, direitos primordiais para desenvolvimento da personalidade humana, como os direitos à liberdade, à intimidade, à privacidade.

Neste jogo de poder, porém, o uso dos dados pessoais de forma indiscriminada e desavisada se tornou frequente. A privacidade da pessoa foi colocada em segundo plano e as invasões e furtos de dados pessoais, bem como a comercialização ilegal dos mesmos, se transformaram em prática corriqueira.

Neste ponto, importa recordar preciosa lição acerca da teoria tridimensional do direito, difundida pelo professor Miguel Reale[1], segundo a qual, a norma provém da valoração de fatos que se percebem na sociedade.

Isso porque, diversamente do que ensina a lição supramencionada, a lei de proteção de dados brasileira teve, como origem, interesses de cunho geopolítico.

Não houve um período prévio de conscientização a respeito da importância de cuidar dos dados pessoais. Não houve um período prévio de conscientização a respeito dos inúmeros usos abusivos desses dados e dos prejuízos deles decorrentes. Não houve um período de conscientização!

A LGPD foi publicada sem que a sociedade sequer compreendesse, adequadamente, o seu objeto, o que são dados pessoais, porque eles precisavam (e precisam) ser protegidos e quais as consequências do seu mau uso. Essa constatação permite compreender melhor a trajetória da Lei de proteção de dados brasileira, desde a sua publicação até os dias atuais. Quatro anos se passaram, mas como estamos agora?

Importância da LGPD
Conforme já salientado, a informação gera poder. Poder de direcionamento, de escolhas, de tomada de decisões e, até mesmo, de manipulações, em busca de maiores benefícios. A informação é que dá o tom no jogo de poder, existente em todos os negócios nos dias atuais e, este, não é um fator localizado, pelo contrário, com a globalização e a evolução da tecnologia, que pôs fim aos limites temporais e geográficos, as mudanças sociais passaram a ser sentidas em âmbito universal, de modo que os problemas da atualidade precisam ser solucionados de forma cooperada e compartilhada entre as nações.

No que concerne ao uso inadequado de dados pessoais e seu impacto na personalidade humana, os países que compõem a União Europeia já se atentaram há algum tempo, para a necessidade de regulamentação, em um processo que se deu de forma progressivamente lógica: detectaram o fato, identificaram que esse fato pode gerar problemas (emitiram valor) e, a partir daí, buscaram normatizar.

A Alemanha, por exemplo, publicou, em 1970, o "Ato de proteção de dados de Hesse" e Portugal possui, desde 1973, normas referentes à proteção de dados pessoais em sua Constituição da República.

Anos mais tarde, em 1979, outras normatizações com este fim começaram a surgir na Europa, tais como as da França e da Dinamarca e no início da década de 90, pouco depois da criação da União Europeia, surgiu a primeira regulamentação direcionada, especificamente, aos seus países membros: a Diretiva nº 46, de 1995, que estabeleceu princípios e diretrizes para o tratamento de dados pessoais, e funcionou como uma espécie de embrião, para aquele que tem sido reconhecido como a regulamentação mais robusta e completa, dos últimos tempos, em matéria de tratamento de dados pessoais: o Regulamento Geral da União Europeia (RGPD) ou General Data Protection Regulation (GDPR).

Publicado em abril de 2016, o RGPD (2016/679-CE), substituiu a Diretiva 95/46-CE e entrou em vigor no dia 25 de maio de 2018, impactando fortemente, todo o mundo.

Em meio a toda essa movimentação, e considerando o interesse do Brasil em ingressar na OCDE (Organização para a Cooperação e Desenvolvimento Econômico), bem como a necessidade de manter um bom relacionamento com os países da União Europeia, a criação de uma lei especifica para o tratamento de dados pessoais passou a ser não só inevitável como urgente.

Importante salientar que o Brasil já possuía leis que tratavam de assuntos relacionados ao tema. A lei de acesso à informação (Lei nº 12.577/11) estabelecendo a necessidade de transparência com relação às informações de posse do Poder Público; a Lei nº 12.737/12 (conhecida por "Lei Carolina Dieckman"), que reconheceu a invasão de aparelhos eletrônicos como um tipo penal e, também, o Marco Civil da Internet (Lei nº 12.965/14) são alguns exemplos. Faltava, no entanto, uma lei que regulamentasse, especificamente, o tratamento dos dados pessoais.

Nestes termos, é claramente perceptível, que a lei de proteção de dados brasileira não surgiu do reconhecimento da importância dos dados pessoais e da valoração a respeito do tratamento adequado dos mesmos, mas de uma necessidade geopolítica: a publicação do RGPD (que determinou a obrigatoriedade de uma lei de proteção de dados eficiente para todos os que pretendessem firmar negócios com os países que compõem a União Europeia) e, ainda, o interesse, do Brasil, em fazer parte da OCDE. Fatos que precisam ser considerados, para que possamos compreender o porquê da LGPD ainda ser tão questionada no país.

Fizemos o percurso inverso!

Ao invés de estabelecer uma cultura de proteção de dados, resultante do reconhecimento da importância da proteção dos dados pessoais, em meio a esse jogo de poder que se descortina, dia a dia, publicamos a lei brasileira, por questões puramente de ordem política e econômica. E agora? Bom, agora, "só" falta conscientizar a população. Essa trajetória invertida gerou consequências sociais importantes.

A LGPD entrou em vigor em plena pandemia e cercada por total desconfiança. Mesmo antes de sua vigência, não era raro ouvir afirmações no sentido de que seria uma lei que "não ia pegar", uma "lei para inglês ver" ou algo similar.

Com forte inspiração no Regulamento Geral da União Europeia (não poderia ser diferente), ela foi publicada em agosto de 2018, com a previsão de 18 meses de vacatio legis, tendo sua vigência, portanto, prevista para iniciar em fevereiro de 2020.

Em decorrência de um veto presidencial, porém, acabou sendo publicada sem uma autoridade fiscalizadora que pudesse lhe conferir maior robustez e confiabilidade, em moldes similares aos das autoridades europeias.

A autorização para criação desta autoridade fiscalizadora só veio em novembro de 2018, através da Medida Provisória nº 869/2019 (convertida posteriormente na Lei nº 13.853/2019) que, por sua vez, postergou o início da vigência da LGPD para agosto de 2020 determinando, ainda, que a ANPD fosse criada como um órgão da administração pública federal, integrante da Presidência da República (artigo 55-A), com a possibilidade de ser transformada, posteriormente, em "entidade da administração pública federal indireta, submetida a regime autárquico especial"[2], em outras palavras, a ANPD brasileira foi criada, mas ainda lhe faltava a autonomia necessária para sua eficiente atuação, o que gerou fortes críticas em todo o mundo.

Como se não bastasse, em junho de 2020, o Projeto de Lei nº 1.179/20 foi sancionado e transformado na Lei nº 14.010/20 que, dentre outras coisas, manteve o início da vigência da LGPD para agosto de 2020, mas suspendeu a aplicabilidade das sanções administrativas até 01 de agosto de 2021. Todavia, finalmente (e em tempo oportuno), em 13 de junho de 2022 foi publicada a Medida Provisória nº 1.124, transformando a Autoridade Nacional de Proteção de Dados brasileira (ANPD) em uma autarquia de natureza especial, conferindo-lhe a autonomia, tão esperada, para exigir o cumprimento do disposto na LGPD.

Toda essa trajetória, de altos e baixos, é importante para destacarmos que: em primeiro lugar, a publicação da LGPD não resultou de conscientização, mas de fortes interesses políticos e econômicos que, por sua vez, requerem a comprovação de sua eficácia, considerando que o Brasil precisa demonstrar, não só que possui uma lei de proteção de dados, mas, também, que essa lei é eficaz.

Diferente da União Europeia que se conscientizou para, depois, regulamentar, no Brasil nós regulamentamos e, independentemente da conscientização, a lei será cobrada, por questões já mencionadas. A conscientização só irá auxiliar o cumprimento da lei que, de uma forma ou de outra, reiteramos, será cobrada, para que o Brasil possa atingir os seus objetivos.

Outro fator que precisa ser ressaltado, também, é que, desde a sua publicação, a LGPD já pode ser (e já vem sendo) cobrada judicialmente. Uma tendência que só tende a aumentar, na mesma proporção em que a conscientização dos titulares vem sendo despertada, se o tratamento dos dados continuar a ser realizado de forma inadequada.

A não adequação à LGPD, portanto, gera não só riscos decorrentes da atuação sancionatória da ANPD como, também, do pagamento de indenizações, provenientes das decisões proferidas nas ações judiciais.

Já se passaram 04 anos da publicação da lei, mas ainda estamos longe de falar em adequação. O que ainda não restou compreendido é que, diante dos inúmeros ataques hackers vivenciados e de toda pressão mundial, ou nos adequamos, ou nos adequamos. Todavia, uma adequação consciente é, sempre, muito mais eficiente e eficaz.

Considerações finais
Diante de todos os pontos apresentados, impende ressaltar que a importância da LGPD não reside na dimensão de suas pesadas sanções (fruto da influência do RGPD) e, tampouco, nas possibilidades de judicializações ou nos impactos que isso pode causar. O cerne da questão reside na necessária promoção de uma cultura de proteção de dados, aqui no Brasil, em prol da proteção dos direitos fundamentais da pessoa.

De nada adianta uma lei forte, uma Autoridade fiscalizadora competente e autônoma, sanções pesadas e, até mesmo, sentenças judiciais concedendo indenizações para os titulares. De nada adianta tudo isso, se não compreendermos o valor por trás do escopo da LGPD. A proteção do nosso direito a liberdade. O respeito por nosso direito à privacidade.

Muito já percorremos até aqui!

Temos uma lei de proteção de dados com sanções administrativas, de fato, pesadas, uma autoridade fiscalizadora autônoma e extremamente atuante, um poder judiciário que não vem medindo esforços para reconhecer os direitos pleiteados com relação ao uso indevido e abusivo de dados pessoais. Mas enquanto não tivermos consciência da importância dos nossos dados e dos impactos que o uso indiscriminado deles pode nos causar, enquanto não compreendermos a dimensão do princípio basilar da LGPD (o princípio da autodeterminação informativa) e não passarmos a exigir transparência e respeito, no tratamento desses dados, que nos pertencem, os problemas só aumentarão.

A ANPD pode (e vai) fiscalizar e aplicar suas sanções, o judiciário pode sentenciar e condenar ao pagamento de inúmeras indenizações, mas o descrédito continuará e as instituições continuarão a buscar um "jeitinho" de usar os dados nos moldes que já vinham utilizando. A consequência disso? Adequações maquiadas e mal formuladas, feitas de qualquer maneira e sem muito compromisso, apenas para dizer que está adequado, sem estar. Instituições optando por "pagar o preço" para ver se, de fato, a lei "vai pegar" e muito mais falta de credibilidade com relação a um assunto de tamanha importância. E quem paga o preço por esse descaso? Nós. Nossa privacidade, nossa autonomia, nossa liberdade.

Precisamos acordar para o fato de que a proteção de dados, neste mundo tecnológico e globalmente conectado, é essencial para proteger direitos considerados fundamentais pela Constituição brasileira e, isso, deve começar por nós! Se quisermos manter um mínimo de privacidade garantida, precisamos nos atentar para quem está fazendo uso dos nossos dados, como está fazendo, por que está utilizando, por quanto tempo e com quem compartilha esses dados. Precisamos nos apoderar daquilo que nos pertence e exercitar nossos direitos como titulares, sem os quais corremos o risco de perder muito mais que nossa privacidade; corremos o risco de perder nossa própria identidade. Adequar é respeitar e, ao mesmo tempo, se proteger. Não podemos esperar mais! Fique atento!

_____________

BRASIL. Lei nº 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais. Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em 16 de agosto de 2022.

BRASIL. Lei nº 13.853 de 08 de julho de 2019. Disponível em http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1. Acesso em 16 de agosto de 2022.

REALE, Miguel. Filosofia do direito. São Paulo: Ed. Saraiva, 2013.