Lei de proteção de dados pode estrear sem autoridade de fiscalização
A Folha de S.Paulo relata que, após um tortuoso caminho legislativo que dura mais de dois anos, a LGPD (Lei Geral de Proteção de Dados) deve entrar em vigor na sexta-feira (18). O presidente Jair Bolsonaro (sem partido) tem até essa data para sancionar a Medida Provisória 959, relacionada à lei. Caso não decida, a sanção fica com o Senado.
Analistas
não descartam a chance de uma devolução da medida ao Congresso, o que poderia
alterar novamente a data da vigência. Aprovado em 2018 pelo ex-presidente
Michel Temer, o marco da privacidade vai entra em vigor capenga, sem o
estabelecimento da ANPD (Autoridade Nacional de Proteção de Dados), um de seus
alicerces.
Dezenas
de pontos da lei dependem de regulamentação da autoridade, responsável por
guiar e supervisionar a aplicação da norma nas empresas públicas e privadas.
Ligada
à Casa Civil, com cinco diretores a serem indicados pelo Executivo e
expectativa de presença de militares, a autoridade deve ser autônoma em seu
exercício. Ela também multará, mas só a partir de agosto de 2021, com sanções
máximas de R$ 50 milhões.
A
oposição já se movimenta para tentar alterar a forma que a autoridade foi
estruturada. Questiona, por exemplo, como se dará a autonomia do órgão público
diante da previsão de que a presidência do conselho diretor seja exercida por
um representante da Casa Civil, como determinou o governo federal em decreto.
Também
critica a possibilidade de requisição de militares, que poderá ser feita pelo
GSI (Gabinete de Segurança Institucional), que há pouco tempo apareceu no
debate como uma possibilidade para agregar as funções da ANPD.
Em
vigor sem a autoridade, uma série de novos direitos, como a opção de pedir
portabilidade de dados, como hoje acontece nas empresas de telecomunicação,
ficarão para um segundo momento.
A
regulamentação sobre pequenas empresas e startups também depende da autoridade.
Não há previsão para a o órgão sair do papel.
Especialistas
têm alertado para a possível enxurrada de ações no Judiciário, que deve
capturar demandas que seriam da ANPD. Com a vigência da lei, clientes já
poderão recorrer a entidades de defesa do consumidor, por exemplo.
“É um
problema não haver uma autoridade com conhecimento técnico para uniformizar
entendimentos e dar parâmetros. A lei será aplicada por tribunais, órgãos de
defesa do consumidor, e cada um vai aplicar da forma que achar melhor”, diz
Danilo Doneda, indicado ao conselho da autoridade pelo presidente da Câmara,
Rodrigo Maia (DEM-RJ).
Mesmo
que aprovada há dois anos, muitas organizações deixaram a adaptação para a
última hora.
Grandes
consultorias e escritórios de advocacia relataram um aumento significativo da
demanda nas últimas semanas.
O
processo de conformidade é longo e depende de uma série de variáveis, como o
setor de atuação da companhia, seu porte e o volume de dados que trata e
armazena.
Mesmo
na Europa, que já dispunha de uma cultura de privacidade sólida anterior ao
GDPR (Regulamento de Proteção de Dados da União Europeia), válido desde 2018,
as empresas consideraram insuficiente o período de transição de dois anos para
adaptação.
Estudo
da Deloitte mostra que, seis meses antes do GDPR, 89% das companhias planejavam
ter um programa de preparação para a lei. Só 45% conseguiram adotar.
No
primeiro ano de vigência, a lei gerou € 359 milhões em multas (R$ 2,2 bilhões),
sendo as maiores nos setores aéreo, hoteleiro e tecnológico.
No
Brasil, a percepção de consultorias que vendem todo o pacote de compliance é
que a maturidade é muito baixa, salvo as multinacionais que já se adequaram a
normas de outras regiões (mais de 125 países têm lei de privacidade).
Diagnóstico
da Ernst & Young feito com a Abes (Associação Brasileira das Empresas de
Software), em março, detectou que, de 2.000 organizações, apenas 38% estavam em
conformidade com a lei.
É um
desafio dimensionar quanto uma companhia pode gastar para se adequar à LGPD
porque isso depende de seu estágio. Ela pode precisar alterar toda a área de
tecnologia para manter os dados seguros, por exemplo, ou apenas contratar
profissionais.
Há
casos de grandes corporações, como bancos e de telecomunicação, que já chegaram
a desembolsar mais de R$ 40 milhões pela renovação de todos os processos, de
acordo com consultorias ouvidas pela Folha.
Um
projeto de prestação de serviço, que envolva toda a avaliação de processos
internos com dados, dificilmente começa por menos de R$ 500 mil a uma empresa
de grande porte.
No
setor público, a corrida é a mesma. Além dos 22 ministérios, há 200 entidades
vinculadas que precisarão estar em conformidade com as regras.
Alguns
tribunais já anunciaram seus responsáveis pelo tema (são chamados de
“encarregados” pela lei). Eles seguem recomendações do Conselho Nacional de
Justiça, que orientou como aderir à LGPD.
Um
estudo recente divulgado pelo CIPL (Centre for Information Policy Leadership) e
pelo Instituto Brasiliense de Direito Público indica 12 passos iniciais para
empresas que não iniciaram seus processos. Os primeiros passos são identificar
o impacto da lei na organização e designar um responsável pela proteção de
dados.
Uma
companhia tem que entender todo o caminho de um dado dentro de sua organização
para encontrar as bases legais que justifiquem a coleta e o tratamento do
mesmo.
O
cargo do encarregado, que servirá como um canal de comunicação com a ANPD, tem
sua independência comparada ao de um ombudsman em um veículo de comunicação.
“Para
a empresa desenvolver a cultura de privacidade, é preciso inseri-la no alto
escalão. Assim, se obtém recursos financeiros e humanos para a adequação”, diz
Laura Schertel, professora da UnB. “Não é um bicho de sete cabeças e pode gerar
ganho financeiro.”
Segundo
ela, é mais racional do ponto de vista econômico investir na adequação da lei
do que arcar com os custos de um vazamento de dados.