A prorrogação da entrada em vigor da Lei Geral de Proteção de Dados (LGPD) para maio de 2021 não eliminam as dúvidas sobre pontos de regulamentação e normatização da nova legislação, avaliam especialistas da Trend Micro, empresa de soluções de cibersegurança. De acordo com Adriano Mendes, advogado especializado em direito digital, e Franzvitor Fiorim, diretor de tecnologia da empresa, a alteração da vigência da LGPD via Medida Provisória obriga que o assunto seja revisto pelo Congresso, podendo ainda ser modificado.
Na noite desta quarta-feira, 29, o presidente da República, Jair Bolsonaro, editou a Medida Provisória (MP) 959. O texto da MP adia o início da validade da LGPD. A nova lei passará a vigorar, agora, somente em maio de 2021. Já é o segundo adiamento na aplicação da lei. O texto inicial planejava o início da validade em fevereiro deste ano, mas uma alteração de 2019 postergou o prazo para agosto. A nova alteração prevê que a totalidade dos artigos seja aplicada somente em 3 de maio de 2021.
De acordo com os especialistas da Trend Micro, com a prorrogação teremos mais algum tempo com incertezas, em que as empresas deverão decidir se apostam na prorrogação da lei para 2021 ou se continuam com os preparativos e mapeamentos até o prazo regular. O Congresso Nacional terá 120 dias para colocar em pauta de votação o texto da nova medida. Caso a MP 959 não seja votada neste prazo, ou o artigo 4º. da MP não seja convertido em lei, os efeitos da Medida Provisória perdem sua eficácia jurídica, voltando ao texto da lei original já sancionada. Ou seja, se a prorrogação da vigência não for aceita pelo Congresso, a Lei volta a valer para 16 de agosto deste ano.
Os especialistas da Trend Micro também ressaltam que incertezas ainda pairam sobre os pontos que devem ser regulamentados pela Autoridade Nacional de Proteção de Dados (ANPD), entidade pública que será responsável pela aplicação da lei. Quanto antes houver a normatização de questões abertas, como a desnecessidade da contratação do DPO (profissional que será responsável pelas questões referentes à proteção dos dados da organização), boas práticas setoriais ou dos prazos de respostas, mais tempo as empresas terão para se adaptarem com menor custo e interferência no seu dia-a-dia.
Além disso, eles afirmam que a melhor solução seria também incluir no texto da MP a possibilidade do Presidente da República nomear os primeiros diretores da ANPD sem a necessidade da chancela do Congresso e sabatina do Senado Federal. Por isso ressaltam que, pior do que a prorrogação desta forma, é não terem aproveitado este momento e "chance" para também nomear os 5 diretores da ANPD. O Congresso deve ter a palavra final sobre a vigência da Lei, mas cabe ao Executivo já instituir a ANPD e garantir as bases para que a LGPD seja normatizada e aplicável no tempo existente, destacam os especialistas da Trend Micro.
Outro ponto de atenção é que as prorrogações no prazo não resolvem o problema das empresas que ainda não fizeram a lição de casa e – enquanto isso – são cada vez mais comuns ações e investigações de repercussão pública discutindo o tema e já citando o texto da Lei. Proteção de Dados já é uma realidade ao redor do mundo, gera benefícios aos usuários e mercados que se adequam e deve ser vista como regra para todos os setores como parte da compliance. Segundo os especialistas da Trend Micro, sugerir que devemos prorrogar a vigência da LGPD porque as empresas ainda não estão preparadas ou pela crise é o mesmo que dizer que os restaurantes não precisam seguir as normas da Anvisa na hora de preparar os seus pratos ou cuidar de suas cozinhas.
Especialistas criticam medida provisória
Para Gustavo Artese, sócio do Viseu Advogados e especialista em Direito Digital e Proteção de Dados Pessoais, o governo estava ciente dos projetos em andamento no Congresso quando decidiu editar a medida provisória e isso poderá trazer problemas na relação entre Executivo e Legislativo. "Bolsonaro usou a caneta Bic para aprovar a MP que adia a vigência da LGPD. E o fez ciente da iniciativa do Congresso Nacional em outro sentido, também de adiamento, mas com outra configuração. A ação terá reflexos. Diante do atual estado das relações entre Congresso e Executivo, a tendência é que a MP não sobreviva. A situação gera ainda mais insegurança para o marco legal da proteção de dados brasileiro", alerta Artese.
"Tendo em vista que a MP 959/2020 ainda precisa da apreciação pelo Congresso, a matéria poderá ser aprovada, sofrer alterações ou ainda ser completamente rejeitada, logo, a regra prevista pelo PL 1179/2020, passando pela Câmara, ainda pode prevalecer, de maneira que todas as obrigações previstas na LGPD passarão a ser exigíveis a partir de 1º de janeiro de 2021", explica.
A advogada Luiza Sato, sócia responsável pela área de Proteção de Dados, Direito Digital e Propriedade Intelectual do ASBZ Advogados, afirma que, a MP surge com uma série de polêmicas, como a inexistência da urgência que justificasse a prorrogação da LGPD via medida provisória, bem como a falta de justificativa para a data de 3 de maio de 2021. "Medidas Provisórias vigoram por 60 dias renováveis por mais 60 dias. Há uma discussão hoje sobre o Ato Conjunto das mesas da Câmara dos Deputados e do Senado Federal nº 1/2020, que dispõe sobre o prazo de 16 dias para apreciação pelo Congresso de MPs na atual situação de pandemia. Entretanto, tal prazo é instrutivo para as duas Casas, e não se sobrepõe ao prazo constitucional dos 120 dias. Assim, caso a MP nº 959/2020 não seja aprovada pelo Congresso até o fim de agosto, ela caducará e, se não for aprovado qualquer dos projetos de lei hoje em discussão sobre a prorrogação da LGPD, ela entrará em vigor automaticamente", destaca Sato.
Há, no momento, três projetos de lei que prorrogam para diferentes datas a entrada em vigor da LGPD. Uma já aprovada no Senado (PL 1179/2020) adia a nova lei para janeiro de 2021, com penalidades aplicáveis somente em agosto de 2021. Nesta quarta (29/4), a Câmara aprovou a urgência na tramitação desse projeto.
Na Câmara há outro projeto (PL 5762/2019) que adia a entrada em vigor da LGPD para agosto de 2022 e no Senado outra proposta (PL 1027/2020) que adia para fevereiro de 2022.
"Não está fácil entender a atual situação, fazer previsões sobre a efetiva data de eficácia da LGPD e, imagine só, explicar todo esse cenário para os clientes estrangeiros, com pouca noção sobre a confusão legislativa do Brasil", ressalta Luiza Sato.
Na avaliação do advogado Marcelo Augusto Spinel de Souza Cárgano, sócio do escritório Abe Giovanini Advogados, a MP assinada por Bolsonaro reflete a indiferença com que o governo federal trata o assunto. "Embora decepcionante, não chega a ser surpreendente esta nova canetada do presidente Jair Bolsonaro, comprovando a pouca importância que este governo dá à privacidade e à proteção de dados do cidadão. Trata-se do mesmo governo que já atrasava há mais de um ano a criação da Autoridade Nacional de Proteção de Dados, a ANPD, que seria o órgão responsável por regulamentar a LGPD a fiscalizar seu cumprimento e sem a qual a LGPD já estava um pouco 'capenga'. Na verdade, como o argumento mais forte em prol deste adiamento era justamente o atraso na criação da ANPD, o governo atesta sua própria irresponsabilidade com essa MP. O pior é que uma lei que regule o uso de dados pessoais nunca foi tão importante quanto agora, quando o Estado vigia excepcionalmente seus cidadãos por meio de celulares e drones no combate à pandemia", afirma.
A opinião é compartilhada pelo professor da Faculdade de Direito da USP e diretor do Instituto LGPD – Legal Grounds for Privacy Design, Juliano Maranhão. "O adiamento da LGPD causa insegurança jurídica e prejudica o país em um momento delicado no qual dados pessoais são processados para a implementação de políticas públicas de saúde. É uma ilusão considerar que o seu adiamento trará conforto ou benefícios ao mercado ou ao governo", reforça.
Para Rodrigo Nahas, fundador e sócio-diretor do Nahas Sociedade de Advogados, "a postergação do caso era necessária não porque as empresas não vinham se adequando a lei, tanto empresas grandes, quanto startups de menor porte, mas sim, porque existem eventuais falhas nesse processo, e por não ter se criado ainda uma interpretação em nível de jurisprudência e também em nível dos órgãos de controle, já com a norma em vigência poderia ocasionar sansões que viriam a representar grandes injustiças para alguns players do ecossistema da inovação."
"É importante que exista um prazo alongado de adaptação e não meramente um período transitório, como tinha-se inicialmente, pois trata-se de uma mudança de cultura importante, quanto uma mudança de práticas, as quais principalmente startups early stage teriam dificuldade maior para desenvolver metodologias e soluções para adaptação à norma, a qual é uma grande evolução dentro do direito digital brasileiro", completa.
Para João Azeredo, sócio e head de Tecnologia e Inovação do escritório Moraes Pitombo Advogados, "oO adiamento é positivo pois, além de as empresas ainda não estarem preparadas para atender às exigências da LGPD, elas estão enfrentando dificuldades técnicas e econômicas em virtude da pandemia do coronavírus. Além disso, pesa o fato de que a Autoridade Nacional de Proteção de Dados (ANPD), ainda não está em funcionamento, o que afetaria a aplicação das normas e imposição de eventuais sanções, provocando insegurança jurídica".
"A entrada em vigor da LGPD será um marco no desenvolvimento na cultura de proteção de dados pessoais, e exigirá enorme dedicação dos controladores de dados, titulares, autoridades de fiscalização, entre outros, motivo pelo qual a entrada em vigor da lei, sem que lhe seja dado o foco necessário, pode causar efeito deletério no desenvolvimento dessa cultura. Nesse contexto, o adiamento infelizmente foi uma medida necessária neste momento em que a prioridade das diferentes partes interessadas deve ser a saúde pública e contenção do coronavírus e, uma vez superada a crise, dar o foco necessário à LGPD", acrescentou.