Dia 29 de abril de 2020, foi publicada a MP 959/2020, que trata da operacionalização do Benefício Emergencial previsto na MP nº 936/2020 e, como uma forma de bônus, prorroga a Vacatio Legis da Lei 13.709/2018, nossa tão debatida, esperada e necessária Lei Geral de Proteção de Dados (LGPD) pessoais.

Usurpando as palavras da incomparável Viviane Maldonado, “de tédio não se morre”! E isto pode ser demonstrado de forma bem didática na seguinte imagem:

Aparentemente, nada demais, correto? Muitos diriam que, no âmbito fiscal e tributário, faz parte do cotidiano, o sistema de postergação contumaz da vigência de normas, para garantir tempo de adaptação do sujeito passivo à nova realidade. Todavia, não é o caso da LGPD.

Vale aqui lembrar que a Lei Geral de Proteção de Dados Pessoais nasceu em um novo contexto global, atualizando princípios constitucionais como a autodeterminação informativa e o direito à proteção da intimidade, à uma realidade que somente os melhores autores de ficção científica previam em 1988. Aliás, naquela época, o mundo pós apocalipse era retratado como “Day of the Dead” ou “MAD MAX e a cúpula do Trovão”, ao contrário da nossa vida sentada no sofá, salvando o mundo em frente à TV.

Pois bem, voltando ao que interessa, nenhum constituinte (pelo menos que eu me lembre) previu que um dia, mesmo vivendo numa ilha deserta sem celular, não teríamos o nosso direito de estarmos sós, ou a garantia de proteção da intimidade. No Brasil, não se pensava na proteção de dados, como se pensava nos países europeus nas duas décadas anteriores à Assembléia Constituinte.

Esta consciência foi surgindo conforme nossa tecnologia foi se disseminando nos hábitos da população e os dados, no Brasil, foram embasando novos negócios, passando ao interesse do legislador ordinário, especialmente pelo fato da internet ter se tornado a infraestrutura mai essencial para o desenvolvimento do país, ou pelo menos, de primeira grandeza junto à energia elétrica, água, saneamento e telecomunicações.

No entanto, nossa visão ainda foi focada nas visões clássicas de privacidade, incluindo a proteção de dados de forma tímida e limitada no CDC e posteriormente no Marco Civil da Internet, dentre outras normas. Aliás, claramente nas duas normas citadas e vigentes, conseguimos perceber a evolução da técnica e conhecimento do legislador sobre a proteção dos dados pessoais em si e não mais apenas do direito à privacidade de forma genérica.

Neste contexto, há que se concluir como equivocados os que defendem que a proteção da privacidade e até mesmo dos dados somente dar-se-á com a entrada em vigor da LGPD, visto que temos uma Constituição e leis ordinárias que tratam do tema, seja parcialmente, insuficientemente ou atrasadas em relação ao resto do mundo. O fato é que existem normas vigentes.

E aqui se apresenta o LGPDrama: a Lei 13.709 é justamente a norma que atualiza e amplia os conceitos de privacidade e proteção de dados pessoais, restabelecendo a posição do Brasil junto à comunidade internacional, principalmente quando falamos em mercados seguros para investimentos e transações comerciais. Mesmo que ela seja uma versão “insuficientemente autosuficiente”, ao contrário do GDPR (General Data Protection Regulation) vigente no continente europeu, que regula de forma ampla e muito clara toda a matéria.

Mas por que um “LGPDrama” ? (não confundir com o maravilhoso perfil do Instagram @lgpdrama)

O drama consiste na contínua tentativa de postergação da norma, que justamente traz as regras do jogo de forma ampla para todos os atores do processo de tratamento de dados, do titular, controladores, operadores, sejam eles privados ou públicos; traz as responsabilidades, sanções, direitos e deveres, o que pode e o que não pode, num sistema que evitaria muitos problemas não apenas para os empresários, mas para o próprio Estado.

Um bom exemplo é o ocorrido com a MP 954/2020, que trata sobre a coleta de dados cadastrais dos clientes das empresas de telefonia, para a realização de pesquisas pelo IBGE. Como não temos a LGPD vigente, que regula claramente a possibilidade de coleta de dados para fins de pesquisa por entes públicos, teve o Governo Federal que editar uma norma com esta finalidade, que ao invés de adiantar os princípios, ou até mesmo transpor trechos da LGPD, para garantir sua vigência, deu aso a 5 ADI’s. Estas, por sua vez, sustentam violações à CF, fundadas muito mais em uma visão de direito comparado, citando o GDPR, e normas da própria LGPD que sequer estão em vigor. Em resumo: uma bagunça.

Apenas, para ilustrar melhor o drama da situação, verifica-se nas ADI’s a seguinte linha argumentativa para firmar a proteção constitucional da privacidade do cidadão:

“a teor do art. 5º, XII, da CF, que assegura a inviolabilidade do sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, ressalvada a relativização, nessa última hipótese, mediante ordem judicial e para fins de persecução penal. “

Veja que a violação de dados protegida pela CF trata de dados transmitidos. A proteção ali se destina à comunicação entre pessoas e não seus dados pessoais, como o conteúdo de cartas, e-mails e conversas telefônicas. No entanto, as ADI’s em questão buscaram o conceito de dados pessoais, previsto na LGPD, que não está em vigor, para dar novo sentido ao disposto na CF.

E para que não me tachem de louco, trago à colação, voto do Min. Carlos Velloso, acerca do tema, esclarecendo o que efetivamente está protegido no Art. 5º, XII, da CF:

“Passa-se, aqui, que o inciso XII não está tornando inviolável o dado da correspondência, da comunicação, do telegrama. Ele está proibindo a interceptação da comunicação dos dados, não dos resultados. Essa é a razão pela qual a única interceptação que se permite é a telefônica, pois é a única a não deixar vestígios, ao passo que nas comunicações por correspondência telegráfica e de dados é proibida a interceptação porque os dados remanescem; eles não são rigorosamente sigilosos, dependem da interpretação infraconstitucional para poderem ser abertos. O que é vedado de forma absoluta é a interceptação da comunicação da correspondência, do telegrama. Por que a Constituição permitiu a interceptação da comunicação telefônica? Para manter os dados, já que é a única em que, esgotando-se a comunicação, desaparecem os dados. Nas demais, não se permite porque os dados remanescem, ficam no computador, nas correspondências etc” (RE 219.780/PE, Rel. Min. Carlos Velloso, DJ de 10.09.99, p. 23).

Não obstante o posicionamento anterior da Suprema Corte, verifica-se que da decisão proferida pela Ministra Rosa Weber, do STF, nos autos da Medida Cautelar em ADI nº 6386 -DF, acolheu a tese das ADI’s exatamente nos termos a que me refiro:

Com a devida vênia, haja vista o grande respeito que nutro pelas decisões do Supremo Tribunal Federal, não posso concordar com teses fundadas em leis que não estão em vigor, por mais que eu anseie pela vigência da LGPD! Afinal, Segurança Jurídica é a base de um Estado Democrático de Direito, que isto nunca seja esquecido.

E se o STF consolidar este tipo de violação ao sistema da civil law, obviamente não haveria de se estranhar as inúmeras sentenças proferidas em processos consumeristas contra aplicativos que coletam dados sem cumprir deveres de transparência, que deveria ser fundamentadas exclusivamente em normas vigentes como o CDC, mas que tentam adiantar os princípios e sistemática da LGPD. Até hoje, quando acordei, o sistema jurídico em que estamos inseridos é positivo (civil law) e não permite que leis sejam criadas pelo costume ou por analogias abstratas de direito comparado. Mais que isto, não nos é permitido fundamentar o direito em leis que não foram inseridas completamente no ordenamento.

Aliás, vale lembrar: A LGPD está sim em vigor, porém em parte: os arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B, estão em vigor desde 28 de dezembro de 2018, e descumpridos pelo Governo desde então, já que a ANPD não foi constituída e estruturada, tendo apenas alguns membros do Conselho Nacional de Proteção de Dados sido nomeados, como é o caso do meu amigo Prof. Fabrício da Mota Alves e do Prof. Danilo Doneda.

Diante das considerações que fiz, você pode argumentar: “Rodrigo, sem a ANPD, não teremos enforcement da lei, além de permanecerem vários pontos que pedem regulamentação, como o RIPD, posicionamento sobre os LIAS, critérios objetivos de gradação das penalidades etc! Não podemos tornar a lei vigente sem a estruturação da ANPD.”

Eu respondo: dos males o menor.

Como foi contextualizado nas linhas anteriores, sem a ANPD e sem a LGPD, estamos sofrendo na mão do legislador despreparado, dos órgãos de fiscalização (Ministério Público e PROCON) e dependendo da interpretação ansiosa do Poder Judiciário, que é obrigado a decidir com base no que tem em mãos e não no que seria o ideal. As sanções e multas estão sendo aplicadas já no contexto das normas em vigor, que, ou são muito mais restritivas (O Marco Civil da Internet só prevê uma base legal de tratamento) ou não tratam especificamente do tema controvertido, como foi o caso da MP 954.

Não bastasse todo o drama já posto, temos, neste exato momento, o seguinte cenário: o Projeto de Lei nº 1.179/2020 que adia a vigência das penalidades da LGPD para agosto de 2021 e os demais artigos para janeiro de 2021, está tramitando na Câmara dos Deputados, já aprovado no Senado e a MP 959/2020, que dentre outras coisas, adiou a vigência total da LGPD para 03 de maio de 2021. Ou seja, já temos a vigência adiada com base na MP. Porém, a MP tem que ser votada pelo Congresso e convertida em 120 dias, sob pena de perda da vigência e o PL. 1.179/2020 ainda não foi efetivamente aprovado e sancionado pela Presidência da República. No final, corremos o risco da Lei entrar em vigor, sem querer, ainda em agosto de 2020! Como diria O Pequeno Príncipe, quando não se poda os Baobás: “Catástrofe”!!!

Portanto, quanto mais adiarmos, ou particionarmos a vigência da LGPD, menos estaremos beneficiando as empresas ou os órgãos públicos, em razão do tempo para adequação. O resultado será exatamente o oposto: maiores serão os debates e riscos envolvidos para todos os envolvidos, sejam eles titulares ou controladores/operadores.

No melhor estilo “Brazilian meme”: “Tá difícil explicar tanta MP, né minha filha?”


Rodrigo Berthier
Privacy and Data Protection Attorney, President at CMAA, President of the Arbitration Committee at OAB/SC