Proteção de dados e a ANPD

iStock/Getty Images

No dia 14 de agosto foi publicada a Lei nº 13.709, mais conhecida como Lei de Proteção de Dados Pessoais, ou simplesmente LGPD, que estabeleceu regulamento geral sobre o tratamento de dados pessoais no Brasil.

Como a lei estabelece diversas obrigações às empresas e órgãos públicos, principais usuários dos dados das pessoas naturais (a lei só protege dados de pessoas de carne e osso – naturais, excluindo pessoas jurídicas), seria natural que, a fim de incentivar o cumprimento das referidas obrigações, houvesse o estabelecimento não apenas se sanções, mas também de entidade de fiscalização e punição das violações à lei.

E foi isso o que aconteceu. O legislador não apenas elencou as sanções administrativas, incluindo as regras de dosimetria das mesmas, como também criou a chamada Autoridade Nacional de Proteção de Dados (ANPD).

Há uma parte da lei aplicável e que deve ser observada por empresas e órgãos públicos, mesmo antes da criação da autoridade nacional

Ocorre que o presidente vetou a criação da ANPD, em decorrência da discussão existente sobre a possibilidade ou não de criação de órgão público por lei não específica para este fim. Se não vetasse a criação da ANPD, e se os defensores da inconstitucionalidade da disposição ganhassem a batalha jurídica que certamente seria travada, haveria um atraso grande até a regularização final da questão.

Assim, com o veto, ou se cria a ANPD por medida provisória a ser confirmada por votação do Congresso, ou se aguarda nova iniciativa do Poder Legislativo neste sentido. Ambas as vias parecem mais céleres do que discutir a constitucionalidade da LGPD.

Pois bem. Com o veto, muitas pessoas vieram a público defender que a LGPD não terá força para se fazer cumprir, pois a aplicação das sanções administrativas previstas, que variam de advertência até multa de no máximo 50 milhões de reais, são prerrogativas da ANPD. Obviamente que o cenário poderia ser bem melhor se a ANPD tivesse sido criada se forma adequada, mas o raciocínio de que a LGPD não tem força para se fazer cumprir não está correto.

Primeiro é necessário destacar a natureza das sanções previstas na LGPD e que estão atreladas à ANPD: se tratam de sanções administrativas retributivas, ou seja, são um mal ou "castigo" infringido com finalidade de incentivar a obediência à lei. São como multas de trânsito, pois não pretendem alcançar uma indenização relacionada à violação legal, mas somente fazer com que o infrator tenha mais "motivos" para ser mais diligente.

Sendo assim, as sanções previstas na LGPD não impedem o reconhecimento da responsabilidade civil e não isentam os infratores de indenizarem as pessoas prejudicadas pela não observação da lei. A LPGD, inclusive, previu expressamente em seu artigo 22 que os direitos dos titulares dos dados (pessoas naturais) poderão ser exercidos "em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente, acerca dos instrumentos de tutela individual e coletiva". Em outras palavras, o titular, individualmente, poderá se valer da justiça comum se sentir-se prejudicado, incluindo os Juizados Especiais Cíveis. Por outro lado, a tutela coletiva de direitos, se difusos, poderá ser realizada pelo Ministério Público ou Defensoria Pública, se houver entre os titulares pessoas necessitadas.

Mas não é só. A LGPD previu que a pessoa natural poderá peticionar contra os controladores (entidades públicas e privadas) junto aos órgãos de proteção do consumidor, ou seja, os Procons. Interessante notar que, no artigo 18, parágrafos 1º e 8º, a atuação dos Procons não está relacionada diretamente à uma relação de consumo, o que aumentou indiretamente a abrangência de atuação das referidas entidades.

O segundo ponto importante de se notar sobre a aplicação da LGPD, mesmo sem a criação da ANPD, é que muitos pontos da lei citam a "autoridade nacional", mas sem a obrigatoriedade da atuação da mesma. Utilizemos como exemplo o artigo 41, que dispõe que "o controlador deverá indicar encarregado pelo tratamento de dados pessoais".

Encarregado é a pessoa natural destacada pelo controlador (entidades públicas ou privadas) que servirá de meio de comunicação entre este e os titulares/terceiros interessados. Pois bem, o caput do artigo 41 estabelece a obrigatoriedade, mas o parágrafo 3º dispõe: "A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados".

Em simples leitura, é possível verificar que o cumprimento da obrigação não depende da atuação da ANPD, pois quando o legislador utiliza o verbo "poderá", não está estabelecendo obrigatoriedade da atuação da autoridade nacional. O mesmo ocorre com diversas outras disposições da LGPD.

Sendo assim, há uma parte da LGPD que de fato está prejudicada pela não criação da ANPD, como é o caso da aplicação das sanções administrativas ou o exercício dos direitos previstos no artigo 18, que, para serem exercidos, dependem de regulamento. Contudo, há outra parte da LGPD plenamente aplicável e que deve ser observada pelas empresas e órgãos públicos mesmo antes da criação da autoridade nacional. Podemos destacar, por exemplo, que a coleta de dados abusivos ou desnecessários para a finalidade do uso (tratamento) não poderá ser realizada, ou ainda, a obrigação de eliminação dos dados pessoais após o fim do tratamento, de acordo com o artigo 16.

A LGPD entrará em vigor no dia 15 de agosto de 2020, mas até lá as empresas e órgãos públicos deverão se adaptar às regras da nova lei, com ou sem a criação da autoridade nacional, pois o descumprimento da mesma poderá ensejar a responsabilização do controlador na esfera civil, seja em ações individuais, seja em ações coletivas ou civis públicas.

Márcio Cots e Ricardo Oliveira são, respectivamente, especialista em CyberLaw pela Harvard Law School – EUA. Professor convidado nos MBAs da FIA Business School, consultor convidado pelo Senado para debater pontos técnicos da Lei Geral de Proteção de Dados Pessoais; professor convidado do MBA de Big Data da FIA Business School, sócios de COTS Advogados

Este artigo reflete as opiniões do autor, e não do jornal Valor Econômico. O jornal não se responsabiliza e nem pode ser responsabilizado pelas informações acima ou por prejuízos de qualquer natureza em decorrência do uso dessas informações

Por Márcio Cots e Ricardo Oliveira

Fonte : Valor