Hoje parece improvável que 2020 será algum dia lembrado com saudades. O ano foi marcado no Brasil e no mundo por devastações ambientais, grandes conflitos raciais e ataques à democracia - sem falar, claro, na maior pandemia dos últimos 100 anos e os impactos sociais e econômicos resultantes. Mas uma exceção ao pessimismo que 2020 lança à História talvez seja o avanço da proteção da privacidade e proteção de dados.
No Brasil, após dois anos de incertezas, a Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor em setembro. O órgão responsável por sua regulação e aplicação, a Autoridade Nacional de Proteção de Dados (ANPD), dá sinais de que começará a cumprir seu papel. E no mundo, novas leis e importantes decisões indicam que sim, a proteção da privacidade e de dados pessoais veio para ficar. Esta retrospectiva busca lembrar os avanços desta área em 2020 e sua importância para todos.
Uma alteração fundamental do cenário brasileiro de privacidade e proteção de dados - Não é possível falar sobre a proteção de dados no Brasil sem falar da LGPD, e é difícil exagerar sua importância. Embora o tema já fosse previsto na legislação brasileira - em menor ou maior intensidade - em normas como a Constituição Federal, os códigos Civil, Penal e de Defesa do Consumidor, a lei do Cadastro Positivo e o Marco Civil da Internet, nunca uma lei no Brasil havia tratado a questão da proteção de dados de modo tão abrangente.
A LGPD alterará todo o modo de fazer negócios no Brasil. Se tivermos que resumir sua importância em uma frase, seria que a LGPD altera a titularidade dos dados pessoais. Em outras palavras, dados pessoais deixam de ser um bem que uma empresa "tenha" ou "possua" para ser algo que ela "controla" (daí a pertinência do termo "controlador" previsto pela lei). Vale lembrar que a LGPD não protege somente dados de clientes ou consumidores, mas de qualquer pessoa física que tenha seus dados tratados por uma organização, incluindo de seus colaboradores. Diferentemente de leis similares, como a europeia GDPR (Regulamento Geral de Proteção de Dados Pessoais), a americana CCPA (California Consumer Privacy Act) e a japonesa APPI (Act on Protection of Personal Information), a LGPD é aplicável a empresas independentemente de seu tamanho, atividades ou setor, e também ao setor público.
Embora alguns impactos da LGPD só serão sentidos nos próximos anos, o Poder Judiciário já começou a se movimentar. Ainda em setembro tivemos o primeiro ajuizamento de uma ação civil pública pelo Ministério Público contra uma empresa devido ao alegado uso indevido de dados pessoais. A ação foi indeferida em 1ª instância, mas foi concedida em 2ª instância liminar para suspender parte das operações da empresa (sob pena de multa de R$ 5 mil por cada tratamento de dados realizado em desconformidade com a liminar). E a primeira condenação com base na LGPD ocorreu menos de duas semanas após sua entrada em vigor, quando uma construtora foi condenada a pagar multa de R$ 10 mil por ter compartilhado dados de um cliente com outras empresas (além de multa no valor de R$ 300,00 para cada outro contato compartilhado). A empresa recorreu e o caso será julgado pelo Tribunal de Justiça de São Paulo.
A LGPD entrou em vigor. Agora só falta todo o resto - Nem tudo foram avanços. A própria LGPD entrou em vigor após um arrastado processo que na comparação faz a apuração da eleição americana parecer instantânea. Desde sua sanção em 2018, a entrada em vigor da LGPD foi adiada duas vezes, de fevereiro de 2020 para agosto de 2020 e depois maio de 2021. Nesse período, várias outras datas foram especuladas, incluindo projetos de lei que sugeriam adiá-la para 2022. A triste consequência foi que várias empresas foram surpreendidas quando a lei acabou entrando em vigor, de forma anticlimática, com a perda de eficácia de uma medida provisória. A correria desorganizada de adequação à lei hoje é resultado deste cenário de insegurança criada pelo governo federal.
Outro avanço com ressalvas neste ano é a criação da ANPD, cujo decreto regulamentador foi publicado somente em setembro e cuja diretoria foi nomeada em outubro, após mais de dois anos de espera. Esta demora gerou uma situação peculiar: a LGPD já é plenamente aplicável pelo Judiciário, mas não está "pronta" ainda, pois mais de uma dezena de artigos dependem ou podem ser alterados por posterior regulação por parte da ANPD[1]. E não há prazo no horizonte para que isto aconteça, pois a edição de tais regulamentos deve ser precedida por consultas e audiência públicas, bem como análises de impacto regulatório. Ou seja: por um bom tempo, empresas e cidadãos ficarão desprovidos de importante orientação e regulação sobre o tema.
Outro destaque são as críticas à alegada falta de independência da ANPD, atualmente vinculada à Presidência. A própria Organização para a Cooperação e Desenvolvimento Econômico (OCDE) apresentou em outubro relatório recomendando que o Brasil garanta a independência da autoridade e revise as condições e procedimentos para nomeações à sua diretoria. Lembra-se que das cinco nomeações feitas pelo governo Bolsonaro ao conselho diretor da ANDP, três são de militares, incluindo para o cargo de diretor-presidente.
Avanços no cenário internacional - O Brasil não está sozinho quando o assunto é privacidade de dados. Além da própria LGPD e da já mencionada CCPA, a nova lei de proteção de dados da Tailândia também entrou em vigor neste ano, enquanto a Índia está nos últimos estágios de aprovar sua lei. Japão e Coreia do Sul alteraram suas legislações já existentes de modo a aumentar as proteções garantidas a seus cidadãos e facilitarem a livre transferência internacional de dados (especialmente com a Europa).
Do ponto de vista internacional - com impactos ao Brasil -, é preciso destacar decisão proferida em julho pelo Tribunal de Justiça da União Europeia no chamado Caso Schrems II. Esta decisão invalidou o acordo chamado Privacy Shield, que autorizava a transferência de dados pessoais entre Estados Unidos e União Europeia. O tribunal europeu entendeu que os programas de vigilância do governo americano violam os direitos pela GDPR e que a legislação americana não garante a proteção adequada a seus cidadãos (os Estados Unidos não têm ainda uma legislação nacional de proteção de dados). A decisão também destacou que antes de transferir dados, empresas devem avaliar se o país de destino não possui leis que possam interferir ou limitar a proteção de dados que garantida pela legislação europeia.
A expansão de tais legislações pelo mundo e a decisão europeia demonstram a importância da implantação de leis de proteção de dados como pressuposto do livre fluxo internacional de dados pessoais. A entrada em vigor da LGPD corrobora esse movimento, facilitando que o Brasil seja visto internacionalmente como um país que dá proteção adequada a dados pessoais; contudo, é importante que a ANPD passe a atuar e dar eficácia à lei.
Otimismo e desafios para 2021 - Para um ano que começou sem uma perspectiva de entrada em vigor da LGPD, o Brasil encerra o ano de 2020 com regras e princípios mais claros sobre o tratamento de dados pessoais. Trata-se de um avanço necessário. O que a LGPD e leis similares buscam é inverter o enfraquecimento da privacidade dos cidadãos devido à vigilância em massa estatal e coleta desenfreada de dados pessoais online. Os riscos destas práticas são conhecidos: classificação dos cidadãos com base em pontuação social (em implantação na China), propagação de informações falsas e manipulação das pessoas por meio de ferramentas preditivas de comportamento, e a implantação do chamado capitalismo de vigilância (recentemente popularizado pelo documentário "O Dilema das Redes"). Além disso, tendências observadas em 2020, como o aumento do trabalho remoto, aumentarão a necessidade por maior segurança com o uso de tais dados.
A privacidade é um direito fundamental (e debate-se a inclusão na Constituição Federal da proteção de dados também como direito fundamental). O grande objetivo para 2021 é que a LGPD aumente a consciência no Brasil da importância dos dados pessoais e ajude a gerar entre governo, empresas e cidadãos uma nova cultura de privacidade no País.
*Marcelo Augusto Spinel de Souza Cárgano, advogado do escritório Abe Giovanini Advogados, com certificação na área de regulação e proteção de dados pessoais e privacidade
[1] Para dar um exemplo, a ANPD poderá estabelecer hipóteses de dispensa de indicação do chamado "encarregado" (ou "DPO"), que, de modo simplificado, é a pessoa responsável pela comunicação com os cidadãos, o governo, e com a própria empresa. Ausente tal regulamentação, na prática todas as empesas precisam indicar tal profissional