No último dia 14 de agosto de 2018, o Senhor Presidente da República, enfim, sancionou a tão esperada Lei nº 13.709, Lei Geral de Proteção de Dados. Porém, como era esperado, vetou parcialmente o texto aprovado pelo Congresso Nacional, afetando os artigos 23, 26, 28, 52 e 55 a 59. As razões foram de cunho ora político, em razão do interesse público, ora jurídico, como no caso da criação da Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), previstos precisamente nos artigos 55 a 59. A Sucesu Nacional, na condição de entidade representativa dos interesses do usuário de tecnologia, compreende e alinha-se à proposta de veto dos órgãos criados pelo Poder Legislativo, em razão da insegurança jurídica que paira em torno da questão. A despeito dos primorosos pareceres jurídicos que foram divulgados na véspera da sanção da Lei sustentando a constitucionalidade desses dispositivos, fato é que a criação de órgão e de despesa na Administração Pública federal pelo Poder Legislativo não é assunto pacífico na jurisprudência e na doutrina, o que ensejaria toda sorte de questionamentos sobre a própria validade de existência e de funcionamento da ANPD – Autoridade Nacional de Proteção de Dados. E, nesse sentido, um sistema regulatório equilibrado, eficaz e seguro, tanto para o consumidor, como para as empresas atuantes no setor, pressupõe uma fundação legislativa sólida e indene de questionamentos. Mesmo tendo sido o veto o mais correto a se fazer, face aos riscos jurídicos e sociais em jogo, e a despeito da cláusula de vigência de 18 meses prescrita pela LGPD, ainda assim, deve o Senhor Presidente propor o fecho do novo sistema brasileiro de proteção de dados pessoais. A ANPD não é uma mera alegoria da Lei: suas atribuições e sua função são essenciais para uma adequada implementação da nova legislação, além de necessária, por força de lei: a própria LGPD – Lei Geral de Proteção de Dados remete cerca de 20% de suas disposições à regulamentação pelo futuro órgão. Não há como se falar, portanto, ainda, que o Brasil possua uma lei geral de proteção de dados pessoais sem a devida conclusão desse processo legislativo. Seria impensável admitir-se que, em um cenário de entrada em vigor da nova Lei, não se tenha, ainda, a instituição de um órgão fiscalizador. Nesse contexto, inclusive, também importa a criação do Conselho Nacional de Proteção de Dados, coexistente ao Conselho Diretor da ANPD. A LGPD inaugura um novo paradigma jurídico e cultural para a sociedade brasileira: a proteção de dados, associada à privacidade, é um direito fruto de uma visão de democracia extremamente inovadora e moderna. Daí que a implementação de um órgão consultivo, com finalidade de discussão, formulação de diretrizes e orientação de políticas públicas em torno dessa temática não é somente uma necessidade, mas uma solução inteligente e, por isso, bem-vinda. Mesmo porque a proteção de dados é um caminho sem volta para a sociedade brasileira, como tem sido em outras democracias no mundo, juntamente com a proposta de criação de uma autoridade central forte, técnica, independente e autônoma. Mais que isso, é uma necessidade imperiosa. Em vista disso, a Sucesu Nacional vem, publicamente, manifestar apoio à criação, sem demora, de uma autoridade central de fiscalização, ao tempo em que defende que nenhuma candidatura eleitoral, para o pleito do corrente ano, será plena e acabada se não trouxer o necessário compromisso político sobre o modelo de governança regulatória que se espera para esse novo ordenamento jurídico de proteção de direitos fundamentais. Somente dessa maneira, o Sistema Brasileiro de Proteção de Dados (SBPD) terá as bases legais e regulatórias mínimas para ser implementado, alavancando, aí, sim, os investimentos financeiros que aguardam a conformação desse sistema normativo para poder ingressar no País. De outro lado, a despeito da inafastabilidade da proposta de criação da ANPD, a Sucesu Nacional defende, ainda, o restabelecimento das penalidades que entende erroneamente vetadas nos incisos VII, VIII e IX, do art. 52, da LGPD: as sanções de suspensão e proibição de atividades de tratamento de dados. Muito embora compreensíveis as razões de veto, o alijamento normativo dessas punições administrativas enfraqueceu sobremaneira o SBPD, reduzindo a eficácia do exercício do poder de polícia pela Administração Pública. Note-se que todos os demais setores regulados, no Brasil, são calcados por legislações fortes, que autorizam uma atuação estatal destemida na fiscalização e na defesa dos interesses do cidadão. A multa prevista na LGPD, limitada a 2% do faturamento bruto anual de uma empresa, pode ser considerada extremamente singela, face aos patamares previstos por outras legislações nacionais, como o próprio Marco Civil da Internet, de maneira que não restarão muitas opções de atuação efetiva do órgão fiscalizador. Daí que, a fim de efetivamente prevenir o cometimento de infrações, inclusive em cenários de reincidência, o afetamento na atividade econômica infratora, através da intervenção pública na prestação do serviço de tratamento de dados, é medida que se impõe e que se alinha às melhores práticas regulatórias em todo o mundo. Seguramente, para uma empresa, a penalidade pecuniária pode ser absorvida economicamente, mas jamais a interrupção de serviços, seja ela temporária ou permanente. A LGPD é, afinal, uma lei reputacional, cujo sistema regulatório mais afeta a imagem e o bom nome de uma empresa ou órgão público do que seu patrimônio econômico. Diante disso, espera-se o restabelecimento das penalidades vetadas, com o efeito de conferir instrumentos efetivos de controle e fiscalização pelo Poder Público, o que visa, em última análise, à própria e eficaz proteção do cidadão com relação ao tratamento de seus dados pessoais. Aliás, com bem pontuou o eminente Senador Ricardo Ferraço em seu parecer, não são os dados pessoais que estão a merecer proteção pela LGPD, mas o cidadão. Por fim, a Sucesu Nacional defende, ainda, a revisão da LGPD, especificamente quanto à um ponto crucial para o Empreendedorismo brasileiro, em particular pelo pequeno e médio empresário, inclusive startups: a possibilidade de pessoas jurídicas exercerem o papel de encarregados, ou, como se adota na Regulação europeia, “data protection officer”. Segundo o art. 5°, inc. VIII, da LGPD, o encarregado deve ser pessoa natural, e, muito embora se permita, na legislação, a dispensa de seus serviços de acordo com o porte da empresa responsável pelo tratamento ou o volume de dados, fato é que a obrigatoriedade de prestação desse serviço por pessoa física pode inviabilizar negócios e desestimular o empreendedorismo e a inovação no País. A livre iniciativa no Brasil está ancorada em princípios e liberdades econômicas que pressupõem maior flexibilidade no arranjo estruturante de modelos de negócios. Daí que a possibilidade de pessoa jurídica, ainda que de natureza individual, possa exercer a função de Encarregado de Proteção de Dados é uma solução desejável, sobretudo em um País com carga tributária e custos burocráticos impraticável ao setor produtivo e empresarial. Diante disso, a Sucesu Nacional reforça sua posição na necessidade de maior reflexão sobre esse ponto crucial da nova legislação de Proteção de Dados Pessoais. Leonardo Bortoletto Presidente da Sucesu Nacional
Nota de esclarecimento e posicionamento a cerca da Lei Geral de Proteção de Dados