Empresários, gestores de grandes empresas, profissionais de TI, banqueiros e advogados têm uma preocupação em comum que, na maioria dos casos, não sabem como responder: "quando precisarei ter meus sistemas adaptados e funcionando para cumprir as novas regras da LGPD?".
Embora aprovada e sancionada desde 14/8/2018, a Lei Geral de Proteção de Dados vem sofrendo sucessivos adiamentos por recorrentes alterações legislativas, a mais recente delas, ainda pendente de sanção do Presidente da República. Inicialmente, a própria Lei já previa uma vacatio legis prolongada, de 18 meses, para permitir a adaptação de sistemas e métodos de trabalho. Teria entrado em vigor há pouco tempo, se o desenho inicial tivesse sido mantido.
Em 27 de dezembro de 2018, a medida provisória 869 altera a Lei, prevendo a criação de uma Autoridade Nacional de Proteção de Dados (cujo formato original contido na LGPD fora vetado por Temer). Mas a MP 869 também jogou para a frente a vigência da LGPD, sob o argumento de que precisaria estruturar a Autoridade e colocá-la em funcionamento antes da vigência da lei inteira. Fazia sentido. As disposições novas, relativas a essa nova entidade, entrariam em vigor imediatamente. O resto da Lei, dois anos após sua publicação, ou seja, seis meses depois do prazo originalmente previsto. Ao votar a MP, o Congresso Nacional modificou-a, especialmente no tocante ao desenho da Autoridade Nacional, mas não mexeu no adiamento proposto pelo Executivo. Ficou para agosto de 2020.
A verdade é que até agora a Autoridade não foi instituída ou estruturada pelo Poder Executivo e muitas questões da lei estão sem resposta por ausência de regulamentação, de modo que a LGPD acabará, provavelmente, entrando em vigor antes da própria criação da Autoridade.
Mais recentemente, em 29 de abril, o Presidente da República editou nova MP, a 959, agora adiando para maio de 2021 a vigência da LGPD. Observadores atentos do Congresso diriam que essa MP 959 corre o risco de caducar ou ser aprovada sem o tal adiamento da LGPD, ou seja, esse adiamento para maio de 2021 perderia seus efeitos juntamente com o prazo de caducidade da MP, e o prazo voltaria, assim, a ser agosto de 2020. Para complicar um pouco mais, projeto de lei recentemente aprovado pelo Congresso (e ainda pendente de sanção até 11 de junho) mantém a vigência para agosto de 2020, ressalvados os dispositivos penais, que vão para 1º de agosto de 2021.
Em meio a esse imbróglio, e antes mesmo da entrada em vigor da LGPD, órgãos como Procon já estão atentos e começaram a fiscalizar a proteção dos dados, com base no Código do Consumidor.
Mas, afinal, quando será "para valer?".
Para os leitores deste jornal, que se preocupam com compliance e proteção de dados, em 15 ou 20 de agosto de 2020, a depender da caducidade da MP 959. É importante ter tudo pronto até lá. Apenas as sanções (que podem ser multas altas e outras consequências graves para a empresa) é que devem começar a valer em 1º de agosto de 2021.
*Luiz Fernando Bandeira de Mello é sócio do Serur Advogados e membro indicado ao Conselho Nacional de Proteção de Dados
*Nairane Farias Rabelo Leitão é sócia do Serur Advogados, responsável pela área de Privacidade e Proteção de Dados do escritório