385 segundos
Em meio às discussões acerca da entrada em vigor da Lei Geral de Proteção de Dados Pessoais brasileira, o Regulamento Geral de Proteção de Dados europeu comemora 2 (dois) anos de vigência. Veja, neste artigo, as diferenças entre Brasil e Europa que justificam a dificuldade brasileira em se adaptar a uma lei de proteção de dados.
Depois de 04 anos de negociação, o texto do novo Regulamento Geral sobre a Proteção de Dados (“RGPD” ou “GDPR”, na sigla em inglês) foi publicado no Jornal Oficial da União Europeia (“UE”) no dia 4 de maio de 2016. O diploma passou por um período de transição, com entrada em vigor no dia 25 de maio de 2018.
O RGPD foi projetado para fortalecer e unificar a privacidade de dados em toda a Europa, bem como também proporcionar maior proteção e direitos aos indivíduos localizados nos países da UE.
Um dos principais objetivos do RGPD é garantir aos indivíduos um maior controle sobre seus dados pessoais e facilitar o ambiente regulatório para negócios internacionais, unificando a regulamentação na UE e exigindo padrões de proteção para a transferência internacional de dados.
Após 02 (dois) anos da entrada em vigor e aplicação das normas previstas no RGPD, bem como da publicação das diretrizes e decisões do Parlamento Europeu e do Conselho da União Europeia, a legislação apresentou mudanças significativas às regras de proteção de dados.
Com a finalidade de cumprir as disposições do RGPD e as diretrizes dos reguladores, alguns países membros da UE passaram a ter sua própria legislação sobre o tema. Na prática, na maioria dos países foram estabelecidas autoridades ou reguladores nacionais de proteção de dados (Data Protection Authorities – “DPAs”, ou Autoridades de Proteção de Dados) para serem os guardiões da proteção de dados em seu território.
Fazendo o recorte e citando o exemplo do que ocorreu em Portugal, passado mais de um ano da data de aplicação do RGPD, foi publicada, no dia 8 de agosto de 2019, a Lei n.º 58/2019, que assegura a execução do RGPD na ordem jurídica interna portuguesa. A Lei n.º 58/2019 vem, assim, revogar a Lei n.º 67/98, de 26 de outubro (Lei de Proteção de Dados Pessoais – “LPDP”) e republicar a Lei n.º 43/2004, de 18 de agosto, que regula a organização e o funcionamento da Comissão Nacional de Proteção de Dados (“CNPD”) em Portugal.
Em resumo, destacam-se como principais disposições da Lei n.º 58/2019 o (i) âmbito de aplicação; (ii) papel do encarregado de proteção de dados; (iii) acreditação e certificação; (iv) consentimento de menores; (v) titulares falecidos; (vi) videovigilância; (vii) conservação de dados; (viii) entidades públicas; (ix) relações laborais; (x) dados de saúde e dados genéticos; (xi) coimas; (xii) determinação da medida da coima; e (xiii) crimes.
As leis de proteção de dados promulgadas por cada um dos países da UE têm aplicação nacional, mas no ambiente online, por exemplo, os dados e seu processamento não respeitam fronteiras. A cooperação transfronteiriça e os acordos para garantir uma proteção eficaz dos dados são essenciais, principalmente se a UE quiser manter seus valores e defender seus princípios.
Diante da entrada em vigor do RGPD e considerando as premissas previstas em referido regulamento para a transferência internacional de dados pessoais, tornou-se urgente a promulgação de uma lei brasileira que garanta o mesmo grau de proteção aos dados pessoais conferidos pelo RGPD, permitindo, portanto, a continuidade de negócios entre empresas do Brasil com a UE.
Neste cenário, foi publicada no Brasil, em 14 de agosto de 2018, a Lei n.º 13.709, conhecida como Lei Geral de Proteção aos Dados Pessoais (“LGPD”).
Ao contrário da UE, que já tinha a discussão acerca da proteção à intimidade, privacidade e proteção aos dados pessoais desde 1995, com a Diretiva 95/46 do Conselho da UE, a proteção aos dados pessoais não era discutida de forma abrangente e construtiva no Brasil até a publicação da LGPD.
Esclarecemos que a proteção aos dados pessoais já estava prevista de forma esparsa em alguns regulamentos e diante da interpretação de seus artigos. Por exemplo, no Código de Defesa do Consumidor, na própria Constituição Federal e, mais recente, no Marco Civil da Internet e seu decreto regulamentador, dentre outras leis e normas setoriais. No entanto, a proteção aos dados pessoais passou a ser dialogada e abordada amplamente, inclusive entre profissionais do direito, apenas após a publicação da LGPD.
Com isso, temos que as empresas brasileiras, na maioria das vezes, não estão preparadas para implantarem programas de conformidade com as leis de proteção aos dados pessoais, principalmente por não terem essa cultura e por não estarem familiarizadas com o discurso da proteção de dados pessoais, ao contrário das empresas europeias.
A falta de discussão da proteção de dados pessoais no Brasil não afeta apenas as empresas, como também as entidades públicas. Tal fato resta evidente quando verificamos os diversos projetos de lei e medidas provisórias para prorrogação da entrada em vigor da LGPD.
Note que no texto da LGPD publicado em 14 de agosto de 2018, a entrada em vigor da lei seria em 18 (dezoito) meses de sua publicação, ou seja, em janeiro de 2020. Por meio da Medida Provisória nº 869, de 27 de dezembro de 2018, a qual foi convertida na Lei nº 13.853, de 8 de julho de 2019, a entrada em vigor foi prorrogada para 24 (vinte e quatro) meses da publicação da LGPD, ou seja, agosto de 2020.
A entrada em vigor foi novamente alterada por meio da Medida Provisória nº 959, de 29 de abril de 2020, passando para 3 de maio de 2021. Destacamos que a medida deverá ser convertida em lei no prazo de 60 (sessenta) dias, contados da sua publicação, prorrogáveis por mais 60 (sessenta). Existem, ainda, outros projetos de lei em votação para alteração da data de entrada em vigor da LGPD.
Mesmo para a UE, que já tinha a cultura e discussão da proteção de dados pessoais devido às diversas normas e diretrizes publicadas antes do RGPD, foi necessário um lapso temporal de 2 (dois) anos da sua publicação até sua entrada em vigor para que as empresas pudessem se adequar. Ainda assim, são apontadas falhas no RGPD e em sua aplicação, por exemplo, com relação à aplicação das multas pelas autoridades.
Assim, não é de se espantar que seja necessário um prazo semelhante ou maior para que as empresas e autoridades brasileiras possam se adequar aos princípios e diretrizes trazidos pela LGPD. Não estamos discutindo a importância da proteção aos dados pessoais, mas sim a necessidade de prazo e suporte para que as empresas e entidades públicas se adequem de forma satisfatória. Isso porque mais vale que os agentes de tratamento se adequem devidamente, ainda que em um prazo maior, que uma adequação “apenas no papel”.
Na questão de proteção aos dados pessoais, o Brasil está pouco mais de 20 (vinte) anos em atraso nas discussões, em comparação com os países da UE. As empresas, entidades públicas e indivíduos devem se apressar para interiorizar os conceitos e princípios de proteção aos dados, bem como se adaptar às novas leis e regramentos, sejam eles nacionais ou internacionais.
Equipe de Consultoria do Molina Advogados