Ante ao crescimento de uso de ferramentas e plataformas eletrônicas (aplicativos, softwares, big data, etc.), houve uma tendência global em adequar a legislação a fim de que a mesma possua mais aderência a essa realidade digital. É notório o fato de que o fluxo de dados e informações crescem diariamente, sendo imprescindível que exista segurança jurídica para as empresas e governos, bem como ao cidadão relacionado à confiança sobre a forma que seus dados estão sendo utilizados.
A proteção da imagem, honra e privacidade estão presentes no ordenamento Jurídico pátrio em diversos códexà exemplo na Constituição Federal, Código Civil, Código do Consumidor e Marco Civil da Internet (Lei nº 12.965/2014).
Contudo, ante a necessidade de previsões uniformes e pilares mais robustos, neste cenário de adequação às políticas de proteção de dados, foi criada a Lei nº 13.709/2018, conhecida como “Lei Geral de Proteção de Dados Pessoais” ou simplesmente “LGPD”, com início da vigência no dia 18 de setembro.
Cumpre esclarecer, de plano, que o objetivo da LGPD não é impossibilitar o uso de dados (haja vista que isso inviabilizaria por completo a vida em sociedade), mas sim possibilitar o uso em consonância com os direitos e garantias individuais, coforme se observa do art. 2º da LGPD colacionado abaixo:
Art. 2º da Lei nº 13.709/2018: A disciplina da proteção de dados pessoais tem como fundamentos:
I – o respeito à privacidade;
II – a autodeterminação informativa;
III – a liberdade de expressão, de informação, de comunicação e de opinião;
IV – a inviolabilidade da intimidade, da honra e da imagem;
V – o desenvolvimento econômico e tecnológico e a inovação;
VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
A LGPD abrange todas as atividades que envolvem o tratamento de dados pessoais, sendo aplicada a pessoas físicas e jurídicas, de direito público ou privado, no meio analógico ou digital. A mesma se aplica na operação de tratamento realizada no território nacional, não se aplicando a dados pessoais provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que este proporcione grau de proteção de dados pessoais adequados à LGPD.
Esta Lei cria um sistema completo de conformidade e adequação às normas de proteção de dados, o qual viabiliza o tratamento, coleta e uso de informações, bem como assegura direitos, estabelece obrigações e impõe consequências para o descumprimento dessas normas.
Cumpre esclarecer, ainda, que a LGPD possui três termos distintos para a sua entrada em vigor conforme preconiza seu artigo 65. Confira-se:
Art. 65 da Lei nº 13.709/2018: Esta Lei entra em vigor:
I – dia 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B; e (Incluído pela Lei nº 13.853, de 2019)
I-A – dia 1º de agosto de 2021, quanto aos arts. 52, 53 e 54; (Incluído pela Lei nº 14.010, de 2020)
II – 24 (vinte e quatro) meses após a data de sua publicação, quanto aos demais artigos. (Incluído pela Lei nº 13.853, de 2019)
Pela leitura do artigo acima, é possível identificar os termos iniciais de vigência da LGPD, a saber:
- para os dispositivos relativos à Autoridade Nacional de Proteção de Dados – ANPD (órgão central do sistema de proteção de dados e privacidade no Governo Federal), a entrada em vigor ocorreu em 28 de dezembro de 2018 (inciso I do art. 65 da LGPD);
- para as sanções administrativas previstas nos artigos 52 , 53 e 54 da LGPD, o início de vigência será apenas em 1º de agosto de 2021 (inciso I-A do art. 65 da LGPD);
- para os demais artigos (e após intensa discussão legislativa sobre o início da vigência) restou definido que a mesma seria mantida no prazo de 24 (vinte e quatro) meses após a data da publicação da Lei, ou seja, em 14 de agosto de 2020, conforme dispõe o inciso II artigo 65 da LGPD.
Cumpre frisar que a Autoridade Nacional de Proteção de Dados (ANPD), em que pese a previsão de criação ter a vigência desde 28/12/2018, apenas foi criada em 2020, por meio do Decreto nº 10.474, de 26 de agosto de 2020 (que aprovou a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da ANPD). Tal decreto entra em vigor na data de publicação da nomeação do Diretor-Presidente da ANPD no Diário Oficial da União.
Entre outras tarefas, a ANPD tem a função de zelar pela proteção de dados pessoais em âmbito nacional, elaborar diretrizes para a Política Nacional de Proteção de Dados, editar regulamentos sobre proteção de dados pessoais, editar normas e orientações simplificadas para empresas de pequeno porte, bem como trabalhar, articuladamente, com Agências Reguladoras, a fim de estabelecer normas para políticas de proteção de dados em setores regulados, entre outras atribuições.
É a ANPD é que irá fiscalizar o cumprimento da LGPD e aplicar as sanções administrativas nas empresas que não cumprirem a Lei (lembrando que as punições, porém, só começarão a ser colocadas em prática no dia 1º de agosto de 2021, conforme previsto no inciso I-A do art. 65 da LGPD).
Entretanto, mesmo antes do prazo previsto acima, o Ministério Público do Distrito Federal propôs nesta semana a primeira ação civil pública (Processo nº 0730600-90.2020.8.07.0001) baseada na Lei Geral de Proteção de Dados.
A empresa envolvida no processo foi acusada de realizar a venda de banco de dados para o envio de publicidade digital.
Em 22/09/2020 a ação foi julgada extinta, sob a fundamentação de que:
“… através de consulta realizada, nesta data, à rede mundial de computadores, este Juízo constatou que o sítio intitulado “lembrete digital”, com domínio “lojainfortexto.com.br”, está em manutenção.
Esse fato, provavelmente, decorre da circunstância de que, com o recente início de Vigência da Lei 13.709/18, ocorrido em 18/09/2020, os responsáveis pelo sobredito sítio devem estar buscando adequar os serviços …”
Vale ressaltar que atualmente o Ministério Público possui uma Unidade Especial de Proteção de Dados e Inteligência Artificial (Espec), e caso verifique condutas antijurídicas poderá acionar os envolvidos judicialmente como no caso citado acima. Este é só um exemplo do que está por vir. Será necessária uma mudança nas políticas internas das empresas, bem como na postura de cada indivíduo nos ambientes digitais.
Por fim, oportuno esclarecer que implementar uma política de proteção de dados na empresa deve ser visto como um investimento e não como um gasto, esses custos serão revertidos em termos de facilidade de comércio com empresas estrangeiras, bem como a proteção de sua empresa de eventuais sanções aplicadas pela ANPD em vista da inobservância da LGPD e demais dispositivos legais conexos. Em suma, recomendamos a leitura da LGPD e aplicação das medidas adequadas de proteção de dados.