Marechal Prazo terminando
MP que adia Lei Geral de Proteção de Dados precisa ser votada até agosto; assessor jurídico da Acimacar fala sobre o assunto. Confira
Aprovada pelo Congresso Nacional em 2018 e sancionada pelo então presidente da República, Michel Temer, a Lei Geral de Proteção de Dados (LGPD), lei nº 13.709, de 14 de agosto de 2018, refere-se ao tratamento de dados pessoais, inclusive nos meios digitais, por pessoa física ou jurídica de direito público ou privado. A finalidade é proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa. As regras da lei em questão são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e municípios.
Prevista para vigorar a partir de 20 de agosto de 2020, a LGPD foi prorrogada por meio de medida provisória (MP) para maio de 2021. Todavia, a MP deve ser aprovada até o fim de agosto deste ano, caso contrário, passa a vigorar em 14 de agosto, mesmo que de forma retroativa.
Especialista em Lei Geral de Proteção de Dados, em entrevista ao O Presente o assessor jurídico da Associação Comercial e Empresarial de Marechal Cândido Rondon (Acimacar), advogado Flávio Schmidt, explica os objetivos da lei e de que forma ela será implantada. Também detalha sobre as consequências para as empresas e para quem manipula os dados. Confira.
O Presente (OP): Qual o objetivo do governo com a Lei Geral de Proteção de Dados?
Flávio Schmidt (FS): A Lei Geral de Proteção de Dados visa regulamentar uma situação em que não há proteção nenhuma diante da existência, movimentação e do valor que têm os dados no nosso país. É uma legislação trazida da Europa, onde vigora a Lei de Proteção de Dados. A lei europeia prevê praticamente as mesmas situações que a brasileira. Para o Brasil continuar sendo protagonista na economia é necessário se adequar a essa circunstância de proteção de dados. Não significa que a Europa pressionou o Brasil e isso aconteceu. Não! É natural das relações internacionais. O Brasil, para continuar merecendo comércio internacional, precisa estar adequado a essas normativas. Essa lei votada e aprovada em 2018 passou por dez anos de tramitação no Congresso. Então não é uma lei feita de forma rápida para atender interesses internacionais. É uma necessidade de regulação deste mundo que não tem regulação.
OP: A criação da lei no Brasil para proteger dados teria sido motivada por um eventual escândalo de manipulação de dados?
FS: Alguns reflexos desta lei foram por conta de escândalos envolvendo dados, por exemplo, um escândalo na Europa quanto ao “Brexit”, com manipulação de dados através de algoritmos por empresas especializadas e informações difundidas nas redes sociais que influenciaram algumas eleições. Há quem diga que houve influência no “Brexit”, na eleição do (Donald) Trump. Inclusive no Brasil há alguns apontamentos nesse sentido. Como os dados estão circulando e não há nenhum tipo de regulamentação havia essa necessidade de que fossem protegidos e que de alguma forma houvesse resposta do Estado em relação a este valor que os dados têm. Dado é o novo petróleo. A existência desses dados, toda informação que nós disponibilizamos na internet pode se transformar em valor. Informamos nosso RG e CPF recentemente naquele aplicativo do Facebook, informamos nossa localização e fornecemos nossa foto para ver o resultado de como ficaríamos envelhecidos. Então, alguém tem a possibilidade de encontrar a “minha cara” naquele lugar. Não damos o valor para esse detalhe, mas existe algum valor para isso. Tem alguém querendo, interessado neste dado que eu forneço e para isso é necessário regulamentar.
OP: Quando esta lei entra em vigor?
FS: É uma pergunta de um milhão de dólares. A LGPD é a lei que mais teve atrasos na entrada em vigor. Na história recente nenhuma lei brasileira teve tantos adiamentos, dada à importância e complexidade do tema. Como a LGPD envolve ação multidisciplinar de todas as instituições privadas e públicas, vai ter que ser respeitada tanto pela iniciativa privada como pela administração pública, então é bastante complexo e exige preparo. Envolve a área de segurança, a área de informática, jurídica… A lei tem certa resistência. Hoje diria que a vigência dela é 03 de maio de 2021 por conta de uma medida provisória que está por passar o tempo. No dia 30 de agosto termina o prazo. Se caducar, a lei entra em vigor em 14 de agosto. Estamos no período em que ninguém sabe responder quando entra em vigor. Esperamos que a medida provisória seja convertida em lei para que entre em vigor no dia 03 de maio. Uma lei recente disse que as sanções da LGPD vão entrar em vigor somente em agosto de 2021, mas a lei poderia entrar em vigor. Inicialmente seria fevereiro de 2020, aí a MP convertida em lei passou para 14 de agosto. Com a pandemia houve a MP que passou a vigência para 23 de maio, que ainda precisa ser aprovada pelo Congresso. Em não sendo aprovada, ela caduca e daí vai valer uma norma de que ela entra em vigor em 14 de agosto.
OP: Todas as empresas, sejam pequenas, médias e grandes, precisam se enquadrar nesta mesma lei?
FS: Sim. A LGPD só não é aplicável nas relações entre particulares. Em todas as relações público e privadas a LGPD se aplica, tanto empresas de grande porte como de pequeno porte, bem como União, Estado e municípios, administração indireta, portanto aplica-se a todos. O único aspecto com tratamento diferenciado é em relação às punições, que podem ser aplicadas gradativamente de acordo com o grau, o tamanho da empresa. Todas as empresas vão precisar se adequar.
OP: Quais são os dados que as empresas precisam proteger?
FS: Existe separação em três níveis: dados pessoais, dados pessoais sensíveis e aquilo que não é dado para a LGPD. Dados pessoais são todas as informações que podem ser identificadas a uma pessoa, como RG, CPF, fotografia, IP do computador. Os sensíveis têm tratamento mais complexo e de cautela, são mais protegidos, pois podem gerar discriminação contendo opção política, sexual, dados de saúde e biométricos. Também separou tratamento de dados pessoais e sensíveis. A lei prevê circunstâncias de atuação desses dados. Os dados sensíveis não são passíveis de tratamento por legítimo interesse. Eu posso tratar um dado que tenho numa ficha antiga? Eu devo olhar se existem dados pessoais ou dados sensíveis. Dependendo do tipo do dado que tenho na minha ficha cadastral antiga, no meu arquivo, terei de verificar se posso continuar tratando da forma que tenho ou se terei de pedir para o titular (do dado) vir ratificar esses dados. Dados que não são protegidos são aqueles em que não há identificação, são os anônimos. Coleto eles para dados estatísticos e não tenho identificação dos titulares. Não são dados pessoais e não estão protegidos pela lei.
Advogado Flávio Schmidt: “A lei prevê desde advertência, advertência com multa, publicização da vulneração, multa de 2% até R$ 50 milhões do faturamento bruto da empresa e eliminação dos dados, então existe uma gradação dessas penalidades” (Foto: Sandro Mesquita/OP)
OP: Trata-se de uma lei pronta para vigorar e, portanto, avançada?
FS: Esta é uma lei muito avançada. Além de trazer regulamentação de como os dados precisam ser tratados, também interfere na opção de adequar-se a ela ou não, diferente da Lei do Código de Defesa do Consumidor. O Código de Defesa também é uma lei muito boa, porém ainda gera conflito na relação entre fornecedor e consumidor. Nós sabemos quanto existe de demanda judicial envolvendo o Código de Defesa do Consumidor. Assim ocorre com a Lei de Responsabilidade Fiscal. Foram leis avançadas, no entanto não prepararam a sociedade para a entrada em vigor. A LGPD não, pois tem índice, glossário onde explica o que significa cada expressão. É uma lei pronta para entrar em vigor e que prepara todos aqueles que vão tratar os dados.
OP: Quem é o responsável pela guarda e manutenção desses dados? Dono, gerente da empresa, funcionário que manipula dados ou todos são responsáveis?
FS: No primeiro momento podemos pensar que é o dono da empresa, chefe da repartição pública, prefeito, governador do Estado e presidente da República que são os responsáveis. Mas todos aqueles que manipulam os dados, ou seja, desde a recepção que coleta os dados via ficha até o call center que recebe informações e repassa para o sistema, todos são (responsáveis) no conjunto e a lei diz que dependendo do nível de participação na vulneração desses dados todos podem ser responsabilizados. O dono da empresa pode deixar de ser o responsável se tomou todas as cautelas de instruir os seus colaboradores, de criar sistema específico dos dados, de proteger num sistema que não seja acessível a todos dependendo do nível de proteção dos dados. Imagine a área da saúde com dados sensíveis sobre a peculiaridade da pessoa. Isso não pode ficar solto, deve ter nível de proteção. Aquele que recebe, manipula e detém, no caso operador e controlador; controlador é o dono do negócio, já operador é quem manipula os dados. Se cada um fizer sua parte um exclui o outro se houver representação. A lei é muito boa nesse sentido. Já diz: “olha operador, faça sua parte que você não vai ser responsabilizado. Controlador faça sua parte que você não vai ser responsabilizado”. É por isso que, na minha opinião, a lei é muito mais bem preparada do que as legislações anteriores que trouxeram transformação muito grande na sociedade. Sempre faço a comparação de que a lei de licitações transformou muito as relações entre o Estado e a sociedade; o Código de Defesa do Consumidor transformou muito as relações entre fornecedor e consumidor; a Lei de Responsabilidade Fiscal também transformou; a mesma transformação com o mesmo nível e impacto vai ter a Lei Geral de Proteção de Dados.
OP: Quais serão as principais penas a que os empresários e os que fraudam os dados estarão sujeitos?
FS: Separamos três tipos de punição. A lei prevê a existência de uma autoridade administrativa, a qual será organizada pelo governo federal e será a Agência Nacional de Proteção de Dados que terá a mesma função de uma agência regulatória, como ANS (Agência Nacional de Saúde), ANTT (Agência Nacional de Transportes Terrestres), ANP (Agência Nacional do Petróleo) e Anvisa (Agência Nacional de Vigilância Sanitária). Vai fixar punições. A lei prevê desde advertência, advertência com multa, publicização da vulneração, multa de 2% até R$ 50 milhões do faturamento bruto da empresa e eliminação dos dados, então existe uma gradação dessas penalidades. Além da penalidade administrativa nós sabemos que em se tratando de um direito fundamental vai haver a consideração do titular dos dados como hipossuficiente, por isso recomendo a todos que detêm os dados para se prepararem. Ou seja, vai haver muita ação judicial e muita indenização por causa disso.
OP: O que é hipossuficiência?
FS: Hipossuficiência é quando a relação é desequilibrada. A relação consumidor x fornecedor é reconhecidamente hipossuficiente, em que o fornecedor é reconhecido como tendo mais estrutura do que o consumidor. Na relação hipossuficiente ainda não existe, mas certamente vai haver inversão do ônus da prova como acontece na relação de consumo. O fornecedor tem que provar que não causou o dano. Diferente nos processos onde as pessoas têm equilíbrio, onde quem entrou com a ação é que prova. Na relação de hipossuficiência o hipossuficiente não precisa provar nada, quem precisa provar é aquele que foi demandado.
OP: Há uma preocupação generalizada hoje na classe empresarial com relação a essa lei, justificada pelos motivos que o senhor explicou, sobre a data de entrada e pelo seu vigor. Qual é a sua recomendação aos empresários que estão correndo atrás de informações e vivendo essa preocupação?
FS: Houve interrupção na preocupação neste momento de pandemia. Venho estudando a Lei Geral de Proteção de Dados e no início não houve nenhum tipo de preocupação em relação a ela, mas a partir do momento que o prazo foi afunilando, desde o fim do ano passado, começou a crescer esta preocupação. A lei é complexa, vai necessitar da atuação multidisciplinar das empresas de qualquer tamanho sobre onde os dados entram, se estão sendo tratados de forma correta, se não há nenhum tipo de vulneração. Onde estão guardados? Esses dados que eu coleto são necessários? Porque a lei cria uma situação de finalidade. Posso até ter os dados, mas qual a finalidade? E aí o titular vai perguntar: por que você tem essa informação minha? Não sei! Então, elimine. A preocupação é por ser um assunto complexo e precisar de transformação da relação entre as pessoas, do titular do dado e das organizações públicas e privadas.
OP: As associações comerciais de modo geral estão preparadas para difundir as informações necessárias aos seus associados?
FS: As associações comerciais estão se preparando porque tenho feito alguns contatos e elas demonstraram preocupação. A Acimacar já realizou treinamento interno com colaboradores por conta da grande quantidade de dados que as associações trabalham dos associados. Também houve treinamento voltado aos associados no mês de março. Muito provavelmente precisaremos retomar estes treinamentos assim que a normalidade voltar e com a proximidade da entrada em vigor da LGPD.
OP: Quem está com dúvidas e não tem associação comercial consegue informações onde?
FS: Por se tratar de lei recomendo consultar um advogado para esclarecer como vai impactar seu negócio. Como é bastante complexo, trata de informação e de dados pode ser necessário aconselhamento com um profissional de segurança na informação e de tecnologia na informação ou mesmo contadores, por conta dos dados que serão tratados. É orientado procurar um profissional com conhecimento nesta área.
OP: Se o Senado não votar esta medida provisória a lei entra em vigor retroativamente dia 14 de agosto? Como aconteceria o processo de implantação da lei retroativamente?
FS: Não consigo imaginar uma situação em que no dia 30 de agosto a MP não entre em vigor, caducou e deveria entrar em vigor no dia 14. Não é o que se espera, muito provavelmente vai haver aprovação dessa medida antes do dia 14 de agosto para que entre em vigor neste dia. Um estudo da Serasa (Centralização de Serviços dos Bancos) mostra que 85% das empresas sequer tomaram consciência da existência desta lei e precisam se adequar, então temos um trabalho muito grande e a confusão legislativa sobre quando entra em vigor não contribuiu em nada. Antes de entrar em vigor é preciso conhecer o sistema de dados que tem na sua empresa para saber se estão vulneráveis ou não. É recomendável mesmo com esta confusão procurar um profissional habilitado sobre como se preparar para quando a lei entrar em vigor. Esse tempo é saudável para que as preparações aconteçam. Depende do porte dos dados das empresas, se há muitos funcionários, os currículos que devem ir a um local mais seguro, das relações comerciais via WhatsApp. Precisamos identificar como os dados são tratados pela empresa.
Assessor jurídico da Acimacar, advogado Flávio Schmidt, foi recebido para entrevista pelo jornalista Arno Kunzler, diretor do Jornal O Presente (Foto: Sandro Mesquita/OP)
CONFIRA A ENTREVISTA EM VÍDEO:
O Presente
