A LGPD (Lei Geral de Proteção de Dados) entrou em vigor a partir desta sexta-feira (18). Isso significa que a partir de agora empresas e órgãos públicos terão que deixar muito claro para os usuários no Brasil de que forma será feita a coleta, o armazenamento e o uso de seus dados pessoais, entre outros detalhes. Salvo algumas exceções, o titular dos dados terá o poder consentir o seu uso ou não e poderá solicitar a exclusão das informações se achar necessário.
Se a lei for desrespeitada, as empresas serão advertidas e multadas —a aplicação de penalidade para as empresas que desobedecerem as novas regras foi adiada para agosto de 2021 pela Lei nº 14.010, criada em junho deste ano. As punições podem chegar até 2% do faturamento de empresas, sob o limite de até R$ 50 milhões.
A LGPD foi aprovada em 2018, ainda no governo Temer, e estava prevista para entrar em vigor no dia 14 de agosto deste ano. O presidente Jair Bolsonaro pediu o adiamento da vigência da lei para maio do ano que vem, mas a proposta foi rejeitada por unanimidade pelo Congresso, que alegou que a matéria já havia sido votada meses atrás.
Bolsonaro (sem partido), portanto, sancionou nesta quinta-feira (17) a lei nº 14.058 (referente à MP 959), com o artigo 4º (referente ao adiamento da vigência da LGPD) já retirado.
Ele já havia editado um decreto aprovando a estrutura regimental e o quadro de cargos e funções de confiança da ANPD (Autoridade Nacional de Proteção de Dados), órgão que vai funcionar como "xerife" na interpretação, defesa e orientação da lei. O órgão teve a sua criação sancionada no ano passado, mas ainda não tinha tido sua estrutura instituída pelo governo federal.
O que diz a lei
Para o cidadão comum, a coisa mais importante da LGPD é que toda empresa ou governo deverá obter dados de uma pessoa com o consentimento dela.
Em outras palavras: se o Facebook ou o Google, por exemplo, repassarem seu nome e endereço de email, que eles possuem em seus respectivos bancos de dados, para alguma empresa, e ela, por sua vez, usar essas informações para tentar vender algo para você, isso só vai poder acontecer após a sua autorização.
Há algumas situações específicas em que empresas e governos poderão recolher e tratar dados sem o seu consentimento. As principais delas são:
- Para precisar cumprir obrigação legal ou regulatória; por exemplo, via decisão da Justiça ou da Anatel (Agência Nacional de Telecomunicações);
- Para que órgãos possam executar políticas públicas, como por exemplo campanhas de vacinação;
- Para viabilizar estudos e pesquisas, mas garantindo, sempre que possível, a anonimização (não identificação) dos dados;
- Para fazer valer direitos em contratos e processos judiciais, administrativos e arbitrais. Por exemplo, se um juiz exigir detalhes sobre as dívidas atreladas ao CPF da pessoa ao julgar uma ação;
- Para proteção da vida ou da integridade física da pessoa ou de terceiro. Por exemplo, se expor o endereço de alguém não vai também expor essa pessoa a uma possível tentativa de assassinato;
- Para tutela da saúde, realizada por profissionais do meio ou por entidades sanitárias. Exemplo: a Vigilância Sanitária precisar obter seu endereço para garantir que sua casa não é foco de dengue.
A lei brasileira é abertamente inspirada na lei da União Europeia conhecida como GDPR, que, em maio de 2018, passou a vigorar com uma nova e mais dura configuração.
A ANPD está pronta para funcionar?
Apesar de ter editado um decreto aprovando a estrutura da ANPD, a organização do seu quadro pessoal e as regras de funcionamento só vão entrar em vigor quando Bolsonaro nomear o diretor-presidente do órgão e isso ser publicado no Diário Oficial da União.
Para especialistas e entidades ligadas ao tema, só após a criação efetiva da ANPD as empresas terão segurança jurídica para operar, principalmente para as micro e pequenas, que têm maior necessidade de orientação sobre como seguir a lei.
A criação da Autoridade tem gerado polêmica desde que o ex-presidente Michel Temer sancionou a LGPD com vetos à ANPD. Da maneira como tinha sido aprovada pelo Congresso, ela seria uma autarquia vinculada ao Ministério da Justiça, com independência administrativa, e atuaria como um "xerife de dados".
Mas, na época, Temer vetou o órgão dizendo que o Legislativo não tinha competência institucional para criar uma autarquia que tivesse independência orçamentária e, portanto, criasse novas despesas.
O veto gerou críticas de especialistas de tecnologia, que diziam que a ausência da figura da Autoridade enfraquecia a aplicação da lei.
Temer acabou editando uma medida provisória, uma das últimas do seu governo, criando a Autoridade, mas retirando dela a autonomia institucional proposta pelo Congresso, colocando-a como um órgão vinculado à Presidência da República. Além disso, o texto vetou aumento de despesas da União, ou seja, o governo federal teria que remanejar cargos de outras áreas do Executivo.
O novo texto foi aprovado no ano passado pelo Congresso Nacional e sancionado por Bolsonaro. O decreto delimitando as estruturas organizacionais da autoridade, no entanto, só veio mais de um ano depois.
No documento, Bolsonaro remaneja 36 cargos e funções da Secretaria de Gestão da Secretaria Especial de Desburocratização, Gestão e Governo Digital do Ministério da Economia para a ANPD, além de transformar 26 cargos da categoria DAS-2 e 70 DAS-1 em outros 29 de níveis mais elevados (DAS-6, DAS-5, DAS-4 e DAS-3). Também houve substituição de 20 funções comissionadas e a extinção de 20 cargos.