POR Rony Vainzof e Adriana Esper* (artigo publicado originariamente na revista ConJur)

Há diversos marcos normativos relevantes na história da privacidade e da proteção de dados pessoais ao redor do mundo (e no Brasil), acompanhando a dinamicidade dos anseios sociais e com o objetivo de gerar a necessária segurança jurídica para um sólido crescimento de uma economia cada vez mais digital e baseada em dados.

O mês de agosto de 2018 certamente traz um simbolismo único para o país no tema, com a promulgação da Lei Geral de Proteção de Dados (Lei 13.709/18), a LGPD, que desde o dia 1º também conta com a vigência das suas sanções administrativas — as quais variam de advertência a multas que podem chegar ao valor de R$ 50 milhões por infração.

Importante lembrar que a LGPD é uma legislação de suma importância para a almejada segurança jurídica das organizações, ao harmonizar e atualizar conceitos (antes esparsos) em outras normas setoriais. É um “mapa” a ser seguido que busca o uso ético, responsável e seguro dos dados pessoais. Aumenta também a possibilidade de investimentos estrangeiros, pois seguimos o robusto modelo do Regulamento Geral de Proteção de Dados da União Europeia (GDPR, na sigla em inglês), estando ao lado de centenas de países com normas correlatas. Isto é, investidores do exterior sabem o nível de legislação que abarcamos.

Ainda, quanto maior a conscientização da sociedade sobre privacidade e proteção de dados, maior será a cobrança por um tratamento ético, transparente e seguro. E se dado é a moeda da economia digital — e nós, como indivíduos, ao sabermos que o tratamento dos nossos dados representa praticamente uma extensão da nossa personalidade, só compartilhamos nossas informações com quem confiamos —, cumprir a LGPD é uma questão de competitividade.

As referidas sanções são de competência da Autoridade Nacional de Proteção de Dados (ANPD), órgão criado há menos de um ano, que, além da função fiscalizatória, também é responsável pela regulamentação da LGPD.

A linha que a ANPD vem seguindo em suas manifestações públicas e seus documentos oficiais, que aumentam a confiança do mercado, é de priorização de um engajamento construtivo com a iniciativa privada. Isso significa que, em vez de inquisição e sanção, dar prioridade a diálogo, apoio, mútua cooperação, orientação, conscientização e informação; bem como estimular relações abertas e construtivas com negócios que lidem com dados pessoais, primando pela boa-fé das empresas e nos seus esforços em cumprir a lei; além de enfatizar que empresas se esforcem em agir de forma responsável, são atitudes altamente encorajadas. Assim, essas empresas apresentam seus programas de privacidade, segurança da informação, códigos de conduta e gerenciamento de risco, com o objetivo de gerar o reconhecimento do mercado por suas boas práticas, incluindo certificações, entre outros padrões de accountability.

Ademais, ao que tudo indica, a norma de fiscalização e aplicações de multas corretamente seguirá  um modelo responsivo, privilegiando: atuação baseada em evidências e gestão de riscos, com foco e orientação para o resultado; adoção de medidas proporcionais ao risco identificado e à postura dos administrados; estímulo à conciliação direta entre as partes e priorização da resolução do problema e da reparação de danos pelo agente de tratamento; mecanismos de transparência, de retroalimentação e de autorregulação; estímulo à promoção da cultura de proteção de dados pessoais; atuação integrada e coordenada com órgãos e entidades da administração pública; e exigência de mínima intervenção na imposição de condicionantes administrativas ao tratamento de dados pessoais.

O referido modelo se mostra coerente, sobretudo pelo fato de o Brasil não ter a mesma cultura de proteção de dados da União Europeia, onde o assunto se faz presente desde meados do século passado. Essa cultura se instaura, sobretudo, com divulgação, orientação, educação e conscientização.

Ainda, uma pesquisa realizada em 2020 pela Deloitte, intitulada “Agenda 2021: Recuperação, sustentação e o legado para os negócios”, apontou que apenas 38% dos negócios estão preparados para as normas exigidas pela LGPD, enquanto 46% estão parcialmente, e 16% não estão. O Brasil também conta com um número considerável de pequenas empresas. De acordo com o Ministério da Economia, os microempreendedores representam hoje 56,7% das empresas em atividade no Brasil; e 79,3% dos negócios abertos no ano passado. Boa parte dessas empresas utiliza ferramentas digitais e de dados para sobreviver, motivo pelo qual a instrução das medidas básicas para se adaptar à lei também é necessária.

Diante desse cenário, o que se espera é que a ANPD tenha uma atuação fiscalizatória que promova um ambiente regulatório de mais conformidade por meio de medidas de orientação, conscientização e educação de boas práticas de proteção de dados.

As sanções devem ser aplicadas em último caso, principalmente e apenas quando houver alguma violação dolosa — ou práticas exponencialmente negligentes, condutas reiteradas ou extremamente graves —, com a orientação contínua, como um dos instrumentos da ANPD, para ajudar os regulados a ter conhecimento e ferramentas para pôr a LGPD em prática. Dessa forma, regulador e regulado caminharão na mesma direção: criando e promovendo a cultura de proteção de dados. Todos terão a ganhar, pois privacidade e proteção de dados pessoais são direitos e garantias fundamentais que transcendem o mero cumprimento do dever legal.

*Rony Vainzof, advogado e professor especializado em Direito Digital e Proteção de Dados, é sócio do Opice Blum, Bruno e Vainzof Advogados Associados.

*Adriana S. L. Esper é coordenadora do Comitê de Proteção de Dados do Conselho de Comércio Eletrônico (CCE) da FecomercioSP e professora de Compliance e Ética Digital da Fundação Instituto de Pesquisas (Fipe).