Havia toda uma tentativa de empurrar a vigência da LGPD (Lei Geral de Proteção de Dados para o início do próximo ano. A Câmara dos Deputados até chegou a aprovar o adiamento, mas, no fim das contas, não rolou. O Senado basicamente barrou o novo prazo nesta quarta-feira (26). Agora, só falta a sanção presidencial para que a lei comece a vigorar, o que deve ocorrer em 15 dias.

Houve alguma confusão sobre o início da vigência, aliás, mas a própria assessoria de imprensa do Senado esclareceu, em nota, que a lei só começa a valer depois da sanção do Presidente da República, Jair Bolsonaro.

De forma resumida, a LGPD estabelece que as pessoas são donas dos seus próprios dados — parece bobo, mas é um conceito importante, pois com a lei as companhias devem deixar claro os dados que obtêm dos usuários e como eles são utilizados. Além disso, as empresas devem explicitar se houve algum tipo de violação de informações dos seus clientes.

Importante ressaltar, porém, que o texto aprovado pelo Senado manteve para agosto de 2021 o início de sanções administrativas a serem impostas pela ANPD (Autoridade Nacional de Proteção de Dados). Então, até lá, as empresas que eventualmente violarem dados de usuários não poderão sofrer multa de até 2% da sua receita ou até R$ 50 milhões.

Aliás, nesta quinta-feira (27) o governo federal assinou um decreto estabelecendo, finalmente, a ANPD. Este órgão tem como objetivo zelar pelo cumprimento da LGPD.

A ANPD era para ter sido criada há dois anos, mas foi vetada pelo então presidente Michel Temer, que enviou uma medida provisória sobre o órgão à Câmara. Essa MP foi aprovada em 2019 e sancionada, mas ainda dependia deste ato do governo federal para criar a ANPD.

Mas se a lei foi para sanção presidencial, como pode não existir o órgão que deveria existir para zelar pelo seu cumprimento? A resposta curta para isso é: bem-vindo ao Brasil.

Além disso, apesar do decreto, ainda não há a composição da ANPD em si nem pessoas designadas para o órgão. Como me explicou o advogado especialista em regulação e proteção de dados pessoais Marcelo Cárgano, da Abe Giovanini Advogados, é como se o governo tivesse colocado as cadeiras no salão de festas, mas sem ter começado as festividades.

É quase como colocar o carro na frente dos bois. A ANPD deveria existir há um tempo e, em tese, seria ela que ajudaria na interpretação da lei e a adequação das empresas.

O que deve rolar com a lei em vigor?

Para as empresas, de modo geral, significa que se elas obtêm dados, devem avisar às pessoas. Nos últimos dias, se você usa o Facebook ou o WhatsApp, deve ter se deparado com mensagens ou notificações sobre o assunto.

No entanto, há uma questão aí. As empresas não podem ser multadas pelo governo por enquanto, já que as sanções administrativas só começam em agosto de 2021. Mesmo assim, a lei impõe uma responsabilidade civil das companhias para com seus clientes.

“As pessoas podem questionar civilmente companhias por tratar seus dados de forma inapropriada”, explicou Cárgano. “O artigo 22 da LGPD diz que pessoas podem buscar soluções para remediar desrespeitos aos direitos dela. Então, ela pode ir ao Procon reclamar de uma empresa, por exemplo, com base na LGPD.”

Em uma pesquisa com 417 companhias no País, a Akamai Technologies — uma empresa que gerencia tráfego de internet por meio de CDN (rede de distribuição de conteúdo da internet) — informa que 64% delas disseram não estar em conformidade com a LGPD, enquanto outras 24% não sabem nem o que é.

Se serve de alívio, nem na Europa todas as empresas estavam preparadas para a GPDR, a lei de dados do bloco econômico, mesmo após um ano de vigência.

Óbvio que empresas gigantes estão se mobilizando, pois é de grande interesse delas. Porém, o processo para adequação deve ser gradual. Mesmo assim, não custa lembrar que quem coleta dados deve ficar esperto com o que obtém dos seus clientes, se os dados estão seguros, se o consentimento foi obtido e se está tudo certo com o tratamento de dados feito.