Melhor ter a LGPD com suas qualidades e seus defeitos do que uma nova hermenêutica construída a partir de leis anacrônicas
Desde sua sanção, em 14 de agosto do ano passado, a Lei Geral de Proteção de Dados Pessoais (LGPD) tem passado por um processo de aceitação gradual na sociedade brasileira. Há claro, algum nível de resistência e até mesmo de incredulidade que ainda a acompanham desde 2004, quando apresentado o primeiro projeto específico sobre o assunto no Congresso.
Apesar dos pesares, a LGPD está aí. Aprovada, já reformada e, agora, à espera de regulamentação, que virá pelas mãos de sua Autoridade Nacional de Proteção de Dados (ANPD). Não há, ainda, sinal de sua estruturação regimental pelo Presidente da República, senão por declarações extraoficiais de alguns representantes do Governo: ora projetam em setembro as indicações dos futuros diretores da ANPD, ora outubro ou novembro. Há quem defenda que virá somente no início de 2020 o marco inaugural de operação da autoridade de fiscalização.
Ainda assim, parte da sociedade brasileira tem-se dedicado a estudar, compreender e implementar os preceitos e regulamentos previstos na lei. É um processo natural. Afinal, para isso que serve o período de vacância da lei, ou seja, no caso, os 24 meses que o legislador estabeleceu até que a norma efetivamente entre em vigor, o que se dará a partir do dia 16 de agosto de 2020.
Os estudos, porém, sobre a regulação em proteção de dados, apesar de mais intensos agora, após a sanção da lei de proteção de dados, já estavam ocorrendo há, pelo menos, duas décadas ainda que timidamente, por raros especialistas, muito pontualmente e em foros específicos de discussão. Com o avanço das deliberações parlamentares no projeto de lei, alguns setores da sociedade passaram a monitorar o processo legislativo da LGPD, ampliando consideravelmente o debate. Cada vez mais, associações, empresas e profissionais fizeram-se presentes, apresentando contribuições técnicas, em um processo em que, claramente, já se observava uma evolução técnica, desses setores da sociedade, em torno do conhecimento teórico sobre a temática de proteção de dados pessoais e privacidade, o que se pode constatar, inclusive, pelas emendas apresentadas ao PLS 330, disponíveis no site do Senado Federal.
Daí que, à medida que avançava o debate sobre a criação da LGPD no Congresso, um observador atento poderia perceber o surgimento de um novo fenômeno na sociedade brasileira: a releitura jurídica das leis vigentes, que passaram a ser interpretadas com um olhar diferenciado sobre o valor da privacidade e novos conceitos de proteção de dados pessoais. Aliás, algo assim já se viu quando da edição do Marco Civil da Internet, em 2014: se comparado à LGPD, pode-se facilmente perceber o distanciamento técnico entre ambos os diplomas legais em matéria de proteção de dados pessoais, o que, por si, demonstra o processo de evolução do conhecimento jurídico sobre o assunto desde então.
E tem sido esse gradual processo de maturação técnica, capitaneado pelo avanço das discussões para aprovação e, agora, da implementação do marco regulatório de proteção de dados pessoais na sociedade brasileira, que tem redirecionado a atuação institucional de autoridades de fiscalização e do próprio Poder Judiciário sobre o tema: esse é o “efeito LGPD”.
Não somente o assunto tem migrado rapidamente dos noticiários de canais especializados na temática digital, para dominar as manchetes da mídia tradicional, inclusive telejornais, como, também, órgãos de defesa dos consumidores e do Ministério Público têm atuado crescentemente para consolidar uma nova doutrina de validação da proteção da privacidade dos cidadãos brasileiros.
Ora, em 2016, o MPF/PI ajuizou ação civil pública contra uma grande empresa de tecnologia digital1, pedindo R$ 1 milhão por danos morais coletivos, pelo que chamou de “escaneamento de emails”. Em 2018, o MPMG multou em R$ 7,9 milhões uma rede de farmácias em razão da coleta de CPF supostamente condicionada a descontos em medicamentos. Em 2018 e 2019, o MPDFT, através de sua Unidade Especial de Proteção de Dados e Inteligência Artificial ajuizou outras três ações civis públicas contra um banco digital2 e uma corretora de criptomoeda3 por “vazamento” de dados pessoais e contra uma empresa de telecomunicações4 por uso ilegítimo de dados pessoais de geolocalização para fins publicitários.
Isso sem detalhar os 39 inquéritos civis públicos que essa mesma unidade especial do MPDFT, coordenada pelo Promotor de Justiça, Frederico Meinberg Ceroy, instaurou nesse mesmo período. O fundamento jurídico dessas iniciativas? Violações de proteção de dados pessoais com base no Código de Defesa do Consumidor e no Marco Civil da Internet, basicamente.
O Poder Executivo, a seu turno, tem se apropriado da temática, mais especialmente por atuação da Secretaria Nacional do Consumidor. Em 2017, a Senacon, através do Departamento de Proteção e Defesa do Consumidor (DPDC), aplicou multa de R$ 7,5 milhões a uma empresa de agenciamento de viagens pela internet5 pela prática de geopricing e geoblocking. Mais recentemente, o mesmo órgão abriu uma frente de investigação contra uma conhecida loja de roupas6, por indícios de coleta de dados de clientes por reconhecimento facial, em possível desrespeito à privacidade dos consumidores. Em São Paulo, o Instituto Brasileiro de Defesa do Consumidor (Idec) tem notificado empresas com questionamentos sobre proteção de dados e já ajuizou, em 2018, uma ação civil pública, pedindo R$ 100 milhões, contra uma concessionária responsável pela linha 4-Amarela do metrô daquela cidade, para impedir a coleta ilegal de dados nas portas interativas digitais”7.
O Poder Legislativo também se movimenta: leis estaduais e municipais sobre esse assunto já surgem no País, como é o caso das já aprovadas leis municipais de proteção de dados de Vinhedo (SP), Cariacica (ES) e João Pessoa (PB). Aliás, o próprio Congresso Nacional, baluarte da proteção de dados no Brasil, demonstra seu amadurecimento institucional ao avançar, a passos largos, rumo à aprovação de uma emenda constitucional (PEC 17/2019, de autoria do Senador Eduardo Gomes) que torna a proteção de dados pessoais um direito fundamental e fixa, para a União, a competência para legislar sobre o tema.
No último dia 6 de setembro, foi editada a Medida Provisória nº 895, cria a carteira estudantil digital. Em dois dispositivos do texto, uma curiosa regra foi editada pelo Presidente da República: mesmo sem citar diretamente a LGPD, foi estabelecido o uso (profundamente equivocado) do requisito legal do consentimento (dos estudantes e, noutra passagem, dos pais ou responsáveis) para justificar o compartilhamento de seus dados pessoais com o Ministério da Educação para fins de “formulação, a implementação, a execução, a avaliação e o monitoramento de políticas públicas”. Há, nesse equívoco legislativo, um lado positivo: uma demonstração do esforço técnico em conciliar normas legais que se complementam e, isso, por si, é louvável, muito embora tenha havido uma compreensão errada de qual deva ser a base legal apropriada para tratamento de dados pessoais pelo setor público – e não é o consentimento, ao menos, no caso específico.
Por outro lado, demandas individuais também já reverberam no Poder Judiciário, firmando uma inédita jurisprudência. É o caso de uma ação promovida por um advogado, em São Paulo, em que uma medida liminar fora concedida pela 13ª Vara Cível da Capital, sob pena de multa diária de R$ 300, proibindo uma construtora de compartilhar seus dados pessoais com terceiros por ocasião da compra de um imóvel. O advogado alegou que, após a aquisição da propriedade, passou a ser incomodado por diversas ligações de empresas oferecendo serviços relacionados à compra, sem que tivesse dado autorização para tanto8.
O que se vê, portanto, é que a LGPD inaugurou uma nova era para a proteção de dados, nem tanto por sua regulação específica, que sequer vigora no País neste momento. Mas, sobretudo, pelo amadurecimento jurídico e institucional que provoca na sociedade, levando cada vez mais acadêmicos, profissionais, servidores públicos, executivos e demais colaboradores a se dedicarem aos estudos da proteção de dados e da privacidade.
Essa ebulição técnica gera resultados: a academia produz mais conteúdo científico, novas teses e novas visões sobre o assunto; o mercado profissional, no processo de adequação e da conformidade legal, transforma as empresas estruturalmente, criando novas operações, produtos e serviços a partir do conceito de privacidade (privacy by design); o agente público passa a enxergar melhor a necessidade de proteger o cidadão quanto ao tratamento de seus dados pessoais e isso impacta diretamente o processo de fiscalização; o indivíduo conquista maior controle sobre seus dados pessoais, sobretudo a partir da avalanche de informações a que tem acesso, questionando cada vez mais seu uso ilegítimo, inclusive levando ao judiciário demandas litigiosas.
Por isso é que, contrariando ainda alguns poucos setores da sociedade que insistem em defender que a LGPD é uma lei que “não vai pegar”, aqui vai um alerta: enquanto estiverem resistindo ao processo de aceitação e de mudança, a sociedade ganha familiaridade com o tema e, mais cedo ou mais tarde, a desconformidade com a lei de proteção de dados em algum aspecto lhes será cobrada, se não pelo próprio consumidor dos serviços que presta no mercado, até mesmo por seus funcionários e parceiros comerciais.
Nesse cenário, melhor ter a LGPD com suas qualidades e seus defeitos do que uma nova hermenêutica construída a partir de leis anacrônicas e até mesmo despreparadas para os modernos conceitos de proteção de dados que somente a LGPD oferece.
——————————————-
1 http://www.mpf.mp.br/pi/sala-de-imprensa/docs/acp-google
2 http://www.mpdft.mp.br/portal/index.php/comunicacao-menu/sala-de-imprensa/noticias/noticias-2018/10211-mpdft-ajuiza-acao-contra-o-banco-inter-por-vazamento-de-dados-pessoais
3 http://www.mpdft.mp.br/portal/index.php/comunicacao-menu/sala-de-imprensa/noticias/noticias-2019/10794-vazamento-de-dados-leva-mpdft-a-ajuizar-acao-contra-grupo-que-explora-criptomoedas
4 http://www.mpdft.mp.br/portal/index.php/comunicacao-menu/sala-de-imprensa/noticias/noticias-2019/11076-mpdft-pede-a-justica-a-suspensao-de-servico-da-operadora-vivo
5 https://defesadoconsumidor.gov.br/portal/ultimas-noticias/690-decolar-com-e-multada-por-pratica-de-geo-pricing-e-geo-blocking
6 https://oglobo.globo.com/economia/hering-tera-que-explicar-que-faz-com-dados-de-reconhecimento-facial-de-clientes-23921786
7 https://idec.org.br/noticia/idec-vai-justica-contra-coleta-de-emocoes-de-usuarios-do-metro-de-sp
8 https://www.conjur.com.br/2019-ago-23/juiza-impoe-multa-cyrela-repassar-dados-pessoais-cliente