Escândalos que expuseram a privacidade de bilhões de usuários levaram a Europa a adotar regras para proteção de dados, e a necessidade de se relacionar com empresas submetidas a essas normas trouxeram para o Brasil a Lei Geral de Proteção de Dados (LGPD, 13.709/18), que deveria entrar em vigor no próximo sábado.
No entanto, a preocupação de que a pandemia prejudicaria a adequação às novas regras, criou uma situação absurda: a vigência da LGPD no Brasil está, em tese, adiada para maio de 2021 por medida provisória ainda não aprovada no Congresso. Se não for aprovada em um mês, a lei poderá ser considerada vigente em agosto de 2020.
– A situação é confusa, mesmo, é difícil explicar a colegas do Exterior – confessa Rodrigo Azevedo, sócio-coordenador da área de Propriedade Intelectual e Direito Digital da Silveiro Advogados, primeiro brasileiro a obter a certificação como Data Protection Compliance no European Institute of Public Administration.
Conforme Azevedo, a pandemia provocou dois movimentos: um das empresas que já estavam com dificuldades de se adequar, e pressionaram pela prorrogação, e outro dos observadores que viam no aumento dos contatos virtuais uma necessidade ainda maior de proteger dados. O resultado foi que o Congresso mudou a lei, aprovando o adiamento da aplicação de punições – que podem chegar a R$ 50 milhões – para agosto de 2021, mas rejeitou o retardamento do início da vigência, mantendo a data de agosto de 2020.
O governo federal, então, incluiu o adiamento na Medida Provisória 959, determinado que a LGPD só entre em vigor em maio de 2021. A MP, cujo principal objetivo é regular o auxílio emergencial, perde a validade em 27 de agosto. Se não for aprovada, perde a validade e pode determinar que a vigência no próximo mês. É improvável, mas está longe de ser impossível, porque várias MPs caducaram neste ano.
– Quando me perguntam quando a LGPD entra em vigor, respondo que é maio de 2021, porque é o que está valendo agora, com sanções aplicadas três meses depois. Mas é preciso advertir que há risco de caducidade da MP – diz o especialista.
Para (tentar) simplificar
O que está valendo agora: LGPD entra em vigor em maio de 2021, e as punições para empresas que descumprirem podem ser cobradas a partir de agosto de 2021
Do que depende: da aprovação da MP 959 até 28 de agosto de 2020
E se isso não acontecer: LGPD entra em vigor ainda em agosto, mas as punições ainda só poderão ser aplicadas em agosto de 2021
O que muda com a LGPD
Empresas terão de tratar com mais cuidado e transparência dados de usuários aos quais têm acesso. Uma das mudanças é que qualquer brasileiro poderá pedir informações sobre os dados as empresas com as quais se relaciona têm sobre cada um de nós. Outra é que, para determinado tipo de uso, a pessoa tenha de concordar explicitamente em ceder as informações. Conforme Azevedo, em 10 hipóteses de aproveitamento de dados, em nove não há necessidade de consentimento prévio. As regras consideram dados sensíveis, para os quais é necessária concordância no acesso, os relacionados a origem racial ou étnica, convicções religiosas, opiniões políticas, filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político, saúde, vida sexual, dados genéticos ou biométricos.
Por que o Brasil está adotando essas regras
Tanto a legislação europeia quanto a brasileira têm a mesma origem: o escândalo da Cambridge Analytica, que com ajuda do Facebook, invadiu dados de 87 milhões de pessoas. O episódio gerou a necessidade de conscientizar usuários de que ferramentas digitais importantes, como a rede social de Mark Zuckerberg, embutem risco. Também tentam regular a atividade das gigantes da internet, que acumularam muito poder.
