Autoridade Nacional de Proteção de Dados foi vetada pelo presidente Michel Temer. Entenda quais são os impactos
Uma das afirmações mais comuns em palestras e conferências de tecnologia é a de que dados são hoje o que o petróleo foi no século passado, considerando sua importância e valor para organizações e governos.
Ronaldo Lemos, advogado especialista em proteção de dados, foi além. “Assim como o petróleo, dados quando vazam também provocam danos ambientais significativos. Por isso a importância da proteção de dados”, disse Lemos, durante participação no Microsoft Summit de Proteção de Dados, evento realizado na última terça-feira (04/12) em São Paulo.
O especialista definiu dados como uma espécie de avatar de cada pessoa no mundo digital. “É como se os dados nos representassem no mundo digital. Eles nos representam e, a partir deles, decisões e medidas regulatórias serão tomadas obre nós. Isso dá conta da importância e necessidade de tratar o tema de forma estruturada.”
Lei de proteção de dados
O tema proteção de dados ganhou atenção durante o ano de 2018, sobretudo após o início da vigência do GDPR (General Data Protection Regulation), a nova regulação de dados da União Europeia. Com ela, empresas que coletam dados sobre cidadãos em países do continente europeu passaram a cumprir novas regras rígidas.
O GDPR tem causado um efeito viral, como destacou Lemos. Após a aprovação da nova regulação, diversos países passaram a discutir o tema, um deles o Brasil, que teve a Lei Geral de Proteção de Dados (LGPD) sancionada pela Presidência da República em agosto. A lei aborda o tratamento de dados pessoais (todas as informações relacionadas à pessoa natural identificada ou identificável), inclusive nos meios digitais, por indivíduos e entidades públicas e privadas.
Para Lemos, o efeito tem sido visto em empresas, que passam a exigir conformidade de seus parceiros e fornecedores. “Se você já passou por esse caminho, certamente vai exigir que a pessoa com quem você trabalha e seus fornecedores façam a mesma coisa. Tem um efeito dominó”, afirmou.
Esse efeito dominó causará uma verdadeira divisão no mercado: as empresas em conformidade e adaptadas à regulamentação e, do outro lado, companhias “marginalizadas”. “É um efeito cascata e todo mundo vai acabar tendo que passar por esse processo de compliance.”
No entanto, a legislação brasileira ainda traz dúvidas e tem desafiado organizações. O prazo inicial para adaptação à lei era de 18 meses, mas 90 dias após a aprovação, o limite já caiu para 15 meses. O não cumprimento dessas obrigações pode acarretar, por exemplo, em multas que chegam até mesmo a R$ 50 milhões por infração.
Quem vai fiscalizar?
As regras da LGPD, chamadas pelos parlamentares de “marco legal de proteção, uso e tratamento de informações”, foram inspiradas no GDPR. No entanto, alguns vetos foram anunciados durante a cerimônia, sendo o principal deles a não criação da Autoridade Nacional de Proteção de Dados (ANPD). Vinculada ao Ministério da Justiça, a autoridade seria responsável pela fiscalização das normas de proteção de dados, bem como aplicação de sansões para quem descumprir a lei.
Temer justificou que houve um “vício de iniciativa” na criação da autoridade e, por isso, a decisão será enviada a um projeto no Congresso Nacional sobre o mesmo tema, desta vez, proposto pelo Executivo.
Lemos lamentou o veto, argumentando que a legislação foi desenhada para ter uma agência nacional de proteção de dados. “Mas essa agência não existe e isso é um problema. Se olharmos para o texto da lei, há 49 menções para a agência de proteção de dados. Como você operacionaliza uma lei dessa sem uma agência operando? Isso implica custos.”
A principal consequência, na visão de Lemos, é que a legislação fica mais complexa, à medida que ela pode ser aplicada de forma diferente por cada juiz, podendo gerar distorções.
Um exemplo disso foi o que aconteceu com o Marco Civil da Internet, que causou interpretações diferentes no judiciário. O caso mais emblemático foi quando um juiz do Sergipe mandou tirar o WhatsApp do ar. “Se deixarmos que a lei seja interpretada só pelo Judiciário, vai levar de quatro a cinco anos para que isso chegue a tribunal superiores. Não ter agência desde agora traz uma série de ônus e custos”, disse.
Fabricio Mota, Assessor Parlamentar no Senado Federal, lembrou que o primeiro ponto que existia unanimidade na tramitação da lei era justamente a criação dessa autoridade. Mota concorda que a dificuldade para aplicabilidade da lei cresce sem uma agência específica, mas mantém o tom otimista. Ele lembrou a criação da lei aconteceu em meio a um período extremamente conturbado em termos políticos, com denúncias ao governo Temer, além de ter sido enviado pela Dilma Roussef em seu último dia de exercício no mandato de presidente. Agora o momento é de esperar os próximos passos do novo governo que toma posse em janeiro.
Reforço técnico
Além do ponto de vista jurídico, a Autoridade seria essencial para respaldar a lei tecnicamente. É o que aponta Elias Abdala, gerente de políticas públicas e filantropia da Microsoft Brasil, que aponta a importância da agência para, além de fiscalizar, criar uma interpretação em relação ao modelo de negócios e à prática do uso de dados.
“A existência dessa autoridade com características técnica e profissional, que seja participativa e aberta a participação da iniciativa privada e da sociedade civil, é importante para criar interpretação dessa legislação”, afirmou o executivo.
Para ele, a questão cultural é outra barreira para o mercado de modo geral – incluindo o governo – para de fato termos uma proteção de dados no País.
Todos fiscalizam
Vale ressaltar que, mesmo não tendo sido criada na aprovação da lei, ainda existe a chance de criação da agência reguladora específica.
Sem ela – seja temporariamente ou não -, não quer dizer que não haverá uma autoridade pública para fiscalizar. Outras agências, como Anatel, Anvisa e Aneel, também estão de olho para atuação em cada uma das suas especialidades. “Não acho que não teremos alguém para se preocupar. O ideal é que houvesse uma entidade central para fazer a intermediação entre o mercado regulado e o agente regulador”, afirmou Mota. “A lei já pegou e ela regula todos os setores. Todo mundo vai querer um pedaço dela.”
Paulo Brancher, sócio do escritório Mattos Filho Advogados, lembrou da atuação ativa do Ministério Público no tema. O Ministério Público do Distrito Federal e Territórios (MPDFT), por exemplo, já apurou casos de vazamento de dados em empresas como Netshoes e, mais recentemente, sobre a rede de hotéis Marriott.
Desafio positivo
O fato é que a adaptação à nova lei assusta organizações, muitas vezes trazendo custos, mas, para Lemos, a legislação trará diversas oportunidades. “Empresas que fazem o processo de compliance têm oportunidade de criar relação de confiança com fornecedores e clientes. E confiança nesse mundo de hoje é uma mercadoria que está em falta. Tem desafios, mas o recado principal é que é uma oportunidade de criar um laço de confiança sobre tratamento de dados.”
Hora de agir
Mais do que se preocupar, o momento é de agir. Brancher lembra que trata-se de mais um processo de mudança, como se fosse um novo sistema em uma empresa tradicional. “Primeiro tem o choque, depois negação e aí vem o momento de aprender e entender o que é preciso fazer a respeito. Estamos nesse momento, passando do choque para compreensão e entendimento dos mecanismos para se adequar.”
O especialista compara a novidade ao efeito causado pela chegada do Código do Consumidor nos anos 90. “Empresas disseram que isso era um absurdo e que ninguém mais ia vender. Mas elas entenderam (os benefícios para o consumidor). Vai ser doloroso (a adaptação à LGDP), mas vai valer a pena e lá na frente enxergaremos o processo como positivo”, completou.
Para Leandro Netto, sócio do escritório Lima Junior & Domene Advogados, a única saída para que empresas se adaptem à lei é a colaboração entre departamentos, sobretudo TI e Jurídico. “Os departamentos precisarão estar mais alinhados do que nunca porque é um assunto que passa por todos eles”, destacou.
Já Ramon Santos, advogado no escritório Pereira Neto Macedo, alertou para o fator humano, que ainda continua sendo um gargalo para companhias. “Não adianta ter firewall, criptografia etc, se não tiver pessoas preparadas”, alertou. E, com a disseminação de dispositivos conectados por meio do conceito de internet das coisas (IoT), o perigo fica ainda maior.
