Lei pode estrear sem uma autoridade de proteção de dados
Analistas não descartam a chance de uma devolução da medida ao Congresso, o que poderia alterar novamente a data da vigência
Após um tortuoso caminho legislativo que dura mais de dois anos, a LGPD (Lei Geral de Proteção de Dados) deve entrar em vigor na sexta-feira (18). O presidente Jair Bolsonaro (sem partido) tem até essa data para sancionar a Medida Provisória 959, relacionada à lei. Caso não decida, a sanção fica com o Senado.
Analistas não descartam a chance de uma devolução da medida ao Congresso, o que poderia alterar novamente a data da vigência. Aprovado em 2018 pelo ex-presidente Michel Temer, o marco da privacidade vai entra em vigor capenga, sem o estabelecimento da ANPD (Autoridade Nacional de Proteção de Dados), um de seus alicerces.
Dezenas de pontos da lei dependem de regulamentação da autoridade, responsável por guiar e supervisionar a aplicação da norma nas empresas públicas e privadas. Ligada à Casa Civil, com cinco diretores a serem indicados pelo Executivo e expectativa de presença de militares, a autoridade deve ser autônoma em seu exercício. Ela também multará, mas só a partir de agosto de 2021, com sanções máximas de R$ 50 milhões.
Leia também
• Maia defende agência de proteção de dados o mais distante possível do governo
• Empresas correm para se adequar à lei de proteção de dados
• Vigência da Lei de Proteção de Dados depende de sanção de MP
A oposição já se movimenta para tentar alterar a forma que a autoridade foi estruturada. Questiona, por exemplo, como se dará a autonomia do órgão público diante da previsão de que a presidência do conselho diretor seja exercida por um representante da Casa Civil, como determinou o governo federal em decreto.
Também critica a possibilidade de requisição de militares, que poderá ser feita pelo GSI (Gabinete de Segurança Institucional), que há pouco tempo apareceu no debate como uma possibilidade para agregar as funções da ANPD. Em vigor sem a autoridade, uma série de novos direitos, como a opção de pedir portabilidade de dados, como hoje acontece nas empresas de telecomunicação, ficarão para um segundo momento.
A regulamentação sobre pequenas empresas e startups também depende da autoridade. Não há previsão para a o órgão sair do papel. Especialistas têm alertado para a possível enxurrada de ações no Judiciário, que deve capturar demandas que seriam da ANPD. Com a vigência da lei, clientes já poderão recorrer a entidades de defesa do consumidor, por exemplo.
"É um problema não haver uma autoridade com conhecimento técnico para uniformizar entendimentos e dar parâmetros. A lei será aplicada por tribunais, órgãos de defesa do consumidor, e cada um vai aplicar da forma que achar melhor", diz Danilo Doneda, indicado ao conselho da autoridade pelo presidente da Câmara, Rodrigo Maia (DEM-RJ).
Mesmo que aprovada há dois anos, muitas organizações deixaram a adaptação para a última hora. Grandes consultorias e escritórios de advocacia relataram um aumento significativo da demanda nas últimas semanas. O processo de conformidade é longo e depende de uma série de variáveis, como o setor de atuação da companhia, seu porte e o volume de dados que trata e armazena.
Mesmo na Europa, que já dispunha de uma cultura de privacidade sólida anterior ao GDPR (Regulamento de Proteção de Dados da União Europeia), válido desde 2018, as empresas consideraram insuficiente o período de transição de dois anos para adaptação.
Estudo da Deloitte mostra que, seis meses antes do GDPR, 89% das companhias planejavam ter um programa de preparação para a lei. Só 45% conseguiram adotar. No primeiro ano de vigência, a lei gerou € 359 milhões em multas (R$ 2,2 bilhões), sendo as maiores nos setores aéreo, hoteleiro e tecnológico.
No Brasil, a percepção de consultorias que vendem todo o pacote de compliance é que a maturidade é muito baixa, salvo as multinacionais que já se adequaram a normas de outras regiões (mais de 125 países têm lei de privacidade). Diagnóstico da Ernst & Young feito com a Abes (Associação Brasileira das Empresas de Software), em março, detectou que, de 2.000 organizações, apenas 38% estavam em conformidade com a lei.
É um desafio dimensionar quanto uma companhia pode gastar para se adequar à LGPD porque isso depende de seu estágio. Ela pode precisar alterar toda a área de tecnologia para manter os dados seguros, por exemplo, ou apenas contratar profissionais.
Há casos de grandes corporações, como bancos e de telecomunicação, que já chegaram a desembolsar mais de R$ 40 milhões pela renovação de todos os processos, de acordo com consultorias ouvidas pela reportagem. Um projeto de prestação de serviço, que envolva toda a avaliação de processos internos com dados, dificilmente começa por menos de R$ 500 mil a uma empresa de grande porte.
No setor público, a corrida é a mesma. Além dos 22 ministérios, há 200 entidades vinculadas que precisarão estar em conformidade com as regras. Alguns tribunais já anunciaram seus responsáveis pelo tema (são chamados de "encarregados" pela lei). Eles seguem recomendações do Conselho Nacional de Justiça, que orientou como aderir à LGPD.
Um estudo recente divulgado pelo CIPL (Centre for Information Policy Leadership) e pelo Instituto Brasiliense de Direito Público indica 12 passos iniciais para empresas que não iniciaram seus processos. Os primeiros passos são identificar o impacto da lei na organização e designar um responsável pela proteção de dados.
Uma companhia tem que entender todo o caminho de um dado dentro de sua organização para encontrar as bases legais que justifiquem a coleta e o tratamento do mesmo. O cargo do encarregado, que servirá como um canal de comunicação com a ANPD, tem sua independência comparada ao de um ombudsman em um veículo de comunicação.
"Para a empresa desenvolver a cultura de privacidade, é preciso inseri-la no alto escalão. Assim, se obtém recursos financeiros e humanos para a adequação", diz Laura Schertel, professora da UnB. "Não é um bicho de sete cabeças e pode gerar ganho financeiro." Segundo ela, é mais racional do ponto de vista econômico investir na adequação da lei do que arcar com os custos de um vazamento de dados.