[ editar artigo]

A LGPD pode valer apenas em 2022. Isso seria bom ou ruim?

A LGPD pode valer apenas em 2022. Isso seria bom ou ruim?

 


Foi apresentado dia 30/10/2019, o Projeto de Lei 5762/2019, de autoria do Deputado Carlos Bezerra MDB/MT, que altera a Lei nº 13.709, de 2018, prorrogando a data da entrada em vigor de dispositivos da Lei Geral de Proteção de Dados Pessoais - LGPD - para 15 de agosto de 2022.

 

Embora o projeto de lei reconheça os benefícios que serão gerados pela LGPD, ele levanta preocupações com o pouco tempo restante para implementação da Lei versus a inércia de grande parte das empresas brasileiras: “ocorre que, hoje, a pouco mais de dez meses da entrada em vigor da LGPD, apenas uma pequena parcela das empresas brasileiras iniciou o processo de adaptação ao novo cenário jurídico.”

 

Para defender a prorrogação, o projeto apresenta como justificativa o estudo Brazil IT Snapshot, da consultoria Logicalis, que afirma que apenas 17% das instituições consultadas pela pesquisa dispõem de iniciativas concretas ou já implementadas em relação à matéria. Além disso, 24% tiveram contato com o tema somente por meio de apresentações, e apenas 24% “têm orçamento específico para colocar em prática ações que garantam a proteção de dados de acordo com as exigências legais”.

 

A lentidão para criação e atuação da Autoridade Nacional de Proteção de Dados é outro motivo que, segundo o parlamentar, exige a prorrogação do início da vigência da lei.

 

É preciso que se diga que as justificativas são verdadeiras. Passados mais de 12 meses da publicação da lei, grande parte das empresas não faz qualquer movimento no sentido da implementar processos de proteção de dados em seus negócios e uma grande parcela delas sequer conhece a LGPD.

 

Em pesquisa realizada pela Serasa Experian em março deste ano, 85% das empresas declararam que não estão prontas para atender às exigências da LGPD. A Gartner prevê que em agosto de 2020 menos de 30% de todas as organizações brasileiras estarão totalmente aderentes à LGPD.

 

Então, diante dessas informações, a prorrogação seria um bom negócio, certo? No meu entendimento, não.

 

A ausência de preparação das empresas para uma nova lei não chega a ser uma novidade no Brasil. São inúmeros os exemplos de leis que tiveram sua vigência inicial prorrogada para conceder mais tempo para que as empresas pudessem se adequar. Lembram do e-social e a política nacional de resíduos sólidos?

 

E quando o novo prazo chega, a maior parte das empresas ainda não está preparada, porque o problema não está no prazo, mas na cultura de acreditar que leis podem não pegar ou de se aproveitar de alguma medida extraordinária que beneficie aqueles que nada fazem. E isso é absolutamente prejudicial.

 

Mas essa não é uma exclusividade do Brasil. Filipe Pereira, Head de Digital Lead & Protection da empresa de consultoria LCG, com sede em Lisboa e atuação internacional, apontou que quando a GDPR entrou em vigor em Portugal entre 6% e 8% das empresas estavam aderentes à lei de proteção de dados ou ao menos próximas disso.

 

Acontece que, mesmo antes da entrada em vigor da LGPD, leis como o Marco Civil da Internet e Código de Defesa do Consumidor, já permitem a atuação do Ministério Público em situações de vazamentos. São inúmeros os casos de empresas investigadas e multadas em valores significativos com base nesses diplomas legais.

 

Como tenho dito, a ausência da LGPD não impede que empresas sejam multadas em virtude de vazamentos e desatendimentos à privacidade de usuários, muito pelo contrário. Os casos da Netshoes https://www.jota.info/paywall?redirect_to=//www.jota.info/tributos-e-empresas/mercado/netshoes-vazamento-dados-clientes-05022019 e do Banco Inter https://www.lgpdbrasil.com.br/banco-inter-faz-acordo-apos-vazamento/ são exemplos disso.

 

E isso é um problema para as empresas, pois esses diplomas (Marco civil e CDC) não são leis apropriadas para tratar de proteção e vazamento de dados. Elas não dispõem de conceitos, procedimentos e mecanismos adequados para esse fim, o que deixa as empresas em sérias dificuldades para atender o direito à proteção de dados de seus usuários.

 

Quer um exemplo? O Ministério Público do Distrito Federal tem exigido das empresas o relatório de impacto à proteção de dados pessoais, mas não há lei (salvo a LGPD que ainda não está valendo) que trate desse documento. Da mesma forma, não há diretrizes de como fazer esse relatório (o que deve constar, como deve ser feito, etc), o que acaba gerando uma grande insegurança jurídica.

 

Outro aspecto é o impacto aos negócios, especialmente para empresas que mantém, ou pretendem estabelecer, relacionamento comercial com grandes corporações e/ou empresas internacionais, visto que essas já exigem de seus parceiros processos de proteção de dados.

 

Por fim, prorrogar a lei manteria os usuários – principais beneficiados com a publicação da LGPD– à espera de mecanismos adequados para proteção de sua privacidade e proteção de dados. Até lá, exigências como consentimento claro e manifesto, transparência nas relações, acesso à informação, dentre inúmeros outros dependerão do esforço interpretativo de leis inadequadas como o Marco Civil da Internet e Código de Defesa do Consumidor.

 

Concorda ou discorda de mim? Deixe um comentário com a sua opinião para que possamos debater!


 

Blog

Comunidade Sebrae
Bruno Henrique Ruon
Bruno Henrique Ruon Seguir

Advogado, consultor do Sebrae/PR, especialista em Direito Civil, do Trabalho e Empresarial, com LLM em Direito Empresarial Aplicado, MBA em Gestão da Tecnologia da Informação e entusiasta da inovação aplicada ao Direito.

Ler conteúdo completo
Indicados para você