Proteção de Dados Pessoais, Compliance e pandemia - Selos Consultoria

Por: Euni Santos*

Em 2018 foi sancionada a Lei n° 13.709/2018 , denominada Lei Geral de Proteção de Dados, mais conhecida pela sigla “LGPD”. A nova lei introduziu mudanças à abordagem da privacidade por parte de indivíduos, empresas e entes públicos, definindo os direitos dos titulares de dados e de que maneira empresas e órgãos públicos podem coletar e tratar informações das pessoas e organizações.

Para realizar sua implementação, foi criada a Autoridade Nacional de Proteção de Dados (ANPD), vinculada à Presidência da República. A ANPD será assessorada pelo Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, órgão colegiado composto por 23 agentes públicos e representantes da sociedade civil, instituições científicas, confederações sindicais e empresas.

Ao implementar sua Lei Geral, o Brasil entrará para o rol de mais de 100 países que hoje podem ser considerados adequados para proteger a privacidade e o uso de dados.

Adiamento

Pelo texto original, a LGPD passaria a vigorar em fevereiro de 2020, após um período de 18 meses, a partir da sua publicação no Diário Oficial. Esse intervalo (chamado de vacatio legis) daria tempo às empresas e órgãos públicos para se adaptarem às novas regras.

Entretanto, depois de ter sido adiada para agosto deste ano, sua implementação plena acaba de ser novamente postergada pelo presidente da República, em função da pandemia da COVID-19, e a norma só deverá passar a vigorar a partir de maio de 2021.

O adiamento da vigência da LGPD desalinha o Brasil em relação a outras nações nas quais a GDPR ou leis similares já estão em vigor para regular a troca de informações entre países.

Mas para que serve a LGPD?

A LGPD é, assim como o Regulamento Geral sobre a Proteção de Dados  – norma europeia que entrou em vigor em maio de 2018, também conhecida pelo acrônimo “GDPR” (General Data Protection Regulation) -, uma norma baseada em princípios e, ao regular a proteção dos dados pessoais, garante direitos aos cidadãos e estabelece regras claras sobre as operações de tratamento realizadas por órgãos públicos ou privados.   A LGPD deixa claro que os dados são das pessoas e impõe restrições de uso por parte das empresas, o que permite afirmar que a nova lei é um código de defesa do usuário de serviços digitais.

Na sua essência, a LGPD é um novo conjunto de regras destinadas a dar aos cidadãos mais controle sobre seus dados pessoais; e pretende simplificar o ambiente regulatório para as empresas, de forma que tanto os cidadãos como as empresas possam se beneficiar plenamente da economia digital.

A norma estabelece que dados pessoais são quaisquer informações que possam identificar alguém. Dentro do conceito, criou-se uma categoria denominada “dados sensíveis”, que são informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde ou vida sexual. Registros como esses passarão a ter um nível maior de proteção, para evitar formas de discriminação.

A LGPD define que empresas que infringirem as normas estarão sujeitas a multa diária, publicização da infração, bloqueio e eliminação de dados; mas que será levada em conta, como atenuante na aplicação das sanções, a “adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados”.

Compliance

A vacatio legis destina-se a permitir a adaptação das organizações e do próprio governo às novas regras, e foi aplicada também à LGPD. Todavia, as sucessivas prorrogações desse prazo apontam para a necessidade de mudanças profundas no arcabouço jurídico brasileiro, que, mesmo antes da nova norma, já contava com mais de 40 dispositivos legais relacionados à proteção de dados[1].

A nova prorrogação, em face da pandemia, deixa a descoberto novos desafios: pressionada pela sociedade civil, a Administração Pública tenta implementar, ainda que de forma pouco coordenada, medidas visando mapear a disseminação do coronavírus, por meio do uso de técnicas de georreferenciamento vinculadas à telefonia celular. Ocorre que, nesse processo, utiliza-se uma grande quantidade de dados pessoais sensíveis (que dizem respeito à saúde, faixa etária e etnia), e que podem levar a conclusões inclusive relacionadas ao posicionamento político das pessoas rastreadas, o que contraria as garantias de privacidade previstas na LGPD. A opção do governo, para poder implementar essas medidas de rastreamento sem expor empresas e agentes públicos a riscos de punição por desconformidade, foi por adiar o início da plena vigência da lei.

A partir dessa justificativa, infere-se que o governo brasileiro buscou evitar o paradoxo vivido  por diversos países europeus, que tentam utilizar tecnologia da informação para rastrear a disseminação do novo coronavírus e monitorar as pessoas em quarentena, mas que estão esbarrando nas normas de privacidade, uma vez que é obrigatório  demonstrar o adequado balanceamento entre a vigilância digital e os benefícios para a saúde pública, como previsto no Regulamento Geral da União Europeia.

A Eslováquia, por exemplo, propôs uma legislação temporária que permitiria rastrear movimentos de cidadãos durante toda a pandemia do COVID-19, mas a ministra da Justiça do país disse que “isso representaria uma enorme violação dos direitos humanos e das liberdades individuais”, embora afirmando acreditar que o direito à vida se sobrepõe. O ex-primeiro-ministro Robert Fico criticou a proposta, que considerou uma “lei de espionagem”.

Um projeto do Ministério da Saúde alemão para permitir o rastreamento de smartphones sem ordem judicial foi bloqueada pelo Partido Social-Democrata (SPD), membro da coalizão de governo da chanceler Angela Merkel. “Isso seria uma intrusão ampla nos direitos civis”, disse a ministra da Justiça, Christine Lambrecht, do SPD.

 

Ao suspender a implantação da LGPD, o governo brasileiro abre espaço para adoção da abordagem proativa e, até agora, eficaz, adotada por Taiwan, que acaba de atualizar seu arsenal com uma “cerca eletrônica” com base no telefone celular para manter as pessoas em casa. Aquele país, que tem um dos mais baixos índices de coronavírus da Ásia, exige que todos que cheguem do exterior baixem um questionário e informem sobre o aeroporto de onde vieram, seus últimos 14 dias de viagem e sobre sua saúde. Aqueles avaliados como de baixo risco recebem uma mensagem de texto dizendo que estão livres. Os que são considerados risco para a sociedade devem ficar em isolamento por 14 dias e o cumprimento dessa regra é monitorado usando dados de localização dos smartphones. Essa é uma solução de alto impacto, que balanceia saúde pública e atividade econômica, mas as condições para sua eventual implementação no Brasil são consideravelmente diferentes das existentes em Taiwan (uma ilha menor que o estado do Rio de Janeiro e com uma população equivalente a 10% da brasileira).

Conclui-se que, para evitar risco de não-conformidade, o Brasil decidiu por eliminar a regra; e que, diante da polarização política que prejudica o controle da pandemia, nem mesmo esse recurso, de resto pouco ético, poderá contar com a colaboração de uma parcela significativamente ampla da população do país.

Tanto para combater eficazmente a pandemia como para implementar a LGPD, o Brasil contempla, em seu horizonte, um formidável trabalho de aculturamento, que requer um esforço imediato e sem precedentes, por parte das empresas e do governo, visando acelerar a disseminação dos princípios de Compliance por toda a sociedade brasileira.

 

[1] Incluindo a própria Constituição Federal, o Marco Civil da Internet, o Código de Defesa do Consumidor, a Lei de Acesso à Informação, a Lei do Cadastro Positivo e o Código Civil, entre outros.