Desde que a Lei Geral de Proteção de Dados foi sancionada em agosto de 2018, vem ocorrendo uma série de debates acerca de seu conteúdo, eficácia, natureza do órgão fiscalizador e sua vinculação; debates estes condizentes com o que se espera quando estamos diante de mudança de paradigma tão significativa quanto a que a LGPD promete causar nas relações jurídicas brasileiras.
Essa discussão tende a enriquecer o tema, trazendo à tona pontos de vista dos mais diversos, que se prestam a fortalecer o conhecimento, lubrificar pontos atravancados da lei e até rever definições que tenham sua eficiência colocada em xeque. De toda forma, fato é que existe um nível dessa discussão que é construtivo, mas também existe outro que é morada da tolice.
Ao mesmo tempo que o tema ganha cada vez mais fôlego, tanto com a edição da Medida Provisória 869/2018, quanto com instituição da comissão legislativa para a sua regulamentação, também se vê, em larga escala, uma espécie de ceticismo esperançoso quanto ao efetivo vigor do diploma legal.
Ora, é compreensível que boa parte do empresariado esteja desacreditado na plena vigência da LGPD, ou, mais ainda, esteja torcendo para que isso não ocorra, afinal, trata-se de normativa que, invariavelmente, vai demandar significativo investimento nas operações de dados, tanto a nível de processos quanto de segurança tecnológica, por si só.
Por outro lado, é necessário que se deixe bem claro que a perspectiva de que a LGPD “acabe em pizza”, como muitos vem defendendo por aí, é bem remota, e a razão disso é bem simples, como veremos a seguir.
A LGPD veio pra ficar
É notório que o Brasil não inovou com o advento da Lei Geral de Proteção de Dados, tampouco tomou a decisão de regular a privacidade pessoal por iniciativa própria, e isso é facilmente perceptível por mera leitura do texto da Lei 13.709/2018, que se apresenta como verdadeiro reflexo da legislação europeia (GDPR), com diferenças pontuais mas estrutura espelhada.
Então, se a iniciativa não foi a demanda popular, nem interesses executivos, de onde surgiu a necessidade de aprovação tão veloz de uma legislação revolucionária como a LGPD? A resposta deixa clara a improbabilidade de que a lei “não cole”, como tem se visto defender por aí: Pressão internacional.
Considerações 103 e Seguintes da General Data Protection Regulation
As considerações 103 e seguintes da GDPR estabelecem os critérios que devem ser seguidos para que seja possível o tratamento de dados pessoais de europeus por países terceiros aos signatários, e as determinações são categóricas ao estabelecer que deve haver um mínimo de equivalência entre o regramento local do terceiro e o nível de segurança e proteção provido pela GDPR. Extraindo na literalidade do texto regulamentar, vejamos:
“The third country should offer guarantees ensuring an adequate level of protection essentially equivalent to that ensured within the Union, in particular where personal data are processed in one or several specific sectors. In particular, the third country should ensure effective independent data protection supervision and should provide for cooperation mechanisms with the Member States’ data protection authorities, and the data subjects should be provided with effective and enforceable rights and effective administrative and judicial redress”
[texto original em inglês da consideração 104]
“O país terceiro deverá oferecer garantias que assegurem um nível adequado de proteção essencialmente equivalente ao assegurado na União, em especial quando os dados pessoais forem tratados num ou mais setores específicos. Particularmente, o país terceiro deverá garantir o controle efetivo e independente da proteção dos dados e estabelecer regras de cooperação com as autoridades de proteção de dados dos Estados-Membros, e ainda conferir aos titulares dos dados direitos efetivos e oponíveis e vias efetivas de recurso administrativo e judicial.”
[nossa tradução]
Como isso se horizontaliza no mundo prático? Para que empresas e Estados terceiros à União Europeia possam realizar tratamento de dados pessoais de europeus deve haver pleno compliance às normas da GDPR ou legislação local equivalente, e é aí que entra a necessidade de criação da LGPD.
A Lei Geral de Proteção de Dados é uma necessidade
A Lei Geral de Proteção de Dados não surgiu por demanda legislativa, ou por interesse executivo, nasceu pela absoluta necessidade de que haja legislação equivalente à GDPR em solo brasileiro, de forma que o comercio com a União Europeia não se prejudique. A demanda é ECONÔMICA.
Ao contrário do que geralmente ocorre com a criação de novas legislações no Brasil, a LGPD não surgiu de interesses internos ou transitórios, mas sim de uma demanda internacional inafastável, e que, por portanto, não gera dúvidas de sua validade. A GDPR já corre a todo vapor na Europa, inclusive com um invejável histórico de fiscalização e punição, mesmo para as maiores empresas do mundo, e não tem qualquer perspectiva de ter sua eficiência suspensa tão cedo.
Diante dessa realidade, temos que, por mais paradigmática que possa ser a Lei Geral de Proteção de Dados; por mais complexo que seja o processo de compliance; por mais inovador que seja o seu conteúdo; não há nenhum motivo para crer que sua vigência não será plena, mais cedo ou mais tarde.
O conselho que fica, daqueles que estão inteirados no assunto para aqueles que ainda creem e torcem pela revogação da lei, é que revejam seus cronogramas, não percam mais tempo com a etapa da negação, e partam, o mais rápido possível, para a adequação legal. Isso porque, quando a hora chegar, não vai ter “jeitinho brasileiro” que proteja aquele que não tiver se movimentado.
A LGPD veio pra ficar, e o primeiro passo para não sofrer com isso, é aceitar essa realidade. Por isso, é fundamental entender ainda mais sobre essa legislação e o que de fato é preciso ser feito para estar em conformidade. Assim sugiro a leitura complementar do texto “O Princípio da Necessidade na LGPD: A Minimização de Dados como Redutor de Custos“.
Comments