O otimismo com a LGPD pode ser ilusório. Entenda por que a nova lei de proteção de dados já começa cercada de incertezas

Sim, a Lei Geral de Proteção de Dados Pessoais (LGPD) começa agora pra valer. 

Embora as sanções aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) só comecem a vigorar no ano que vem, os cidadãos já podem exercer seus direitos com base na lei, e juízes podem aplicar multas e sanções a empresas que não cumprirem esses direitos.

Em termos de política pública, os objetivos da LGPD são fundamentais. Conscientizar as empresas sobre o uso de dados pessoais e educar os cidadãos sobre o controle que eles podem exercer sobre seus dados é simplesmente incrível. Criar uma cultura de zelo e cuidado sobre a privacidade é o grande acerto da LGPD.

Contudo, ainda que uma lei possa ser motivada por uma política pública nobre, isso não a torna automaticamente uma boa lei. 

DESAFIOS À VISTA: CUSTO DE ADEQUAÇÃO ALTO E FISCALIZAÇÃO DIFÍCIL

A lista de críticas à LGPD é longa.

Trata-se de uma lei extensa e complicada, com diversas obrigações ambíguas, de difícil interpretação, e um custo regulatório imenso para sua fiscalização e aplicação.

Essas complexidades tornam-se um desafio para empresas, sobretudo as pequenas e médias. O custo para se adequar à LGPD é astronômico.

Na ausência de pesquisas robustas sobre o tema no Brasil, vale recorrer àquelas que analisaram a adequação à General Data Protection Regulation (GDPR), em vigor na União Europeia desde 2018.

Estima-se que o custo para adequação de empresas estadunidenses à GDPR foi de mais de 150 bilhões de dólares! A mesma pesquisa aponta que mais de três quartos das empresas com mais de 500 funcionários gastou, no mínimo, um milhão de dólares para se adequarem

Será que esse custo realmente representou uma mudança na cultura de proteção de dados? 

Na Europa, quase 70% do valor das multas aplicadas por autoridades nacionais vieram do Reino Unido — que, desde a entrada em vigor da GDPR, aplicou… três multas. Entre as autoridades nacionais dos 28 países da União Europeia, 20 aplicaram dez multas ou menos. 

Evidentemente, a aplicação de multas não é uma métrica definitiva sobre se uma lei está ou não sendo aplicada. Mas não deixa de ser um indicativo quanto a sua fiscalização (e as dificuldades podem vir exatamente do custo regulatório).

Será que teremos esse cenário no Brasil? É sabido que buscamos inspiração na GDPR – e talvez sem o devido viés crítico. 

COM INCERTEZAS POLÍTICAS E JURÍDICAS, COMEÇAMOS COM O PÉ ESQUERDO

A GDPR foi desenhada dentro de um contexto social e político diferente do Brasil, e vem trazendo consequências adversas, como desincentivos à inovação, aumento de poder econômico de incumbentes e burocracias que têm frustrado empresas, governos e cidadãos.

Defensores desse modelo afirmam que tudo isso é um “preço pequeno a se pagar” para que possamos desenvolver uma verdadeira cultura de privacidade no longo prazo. Faz sentido, desde que haja uma fiscalização coerente e robusta — e um projeto de educação dos cidadãos sobre seus direitos

Na Europa, a maioria das autoridades nacionais de proteção de dados possuem recursos escassos e riscos de captura. 

No Brasil, começamos com o pé esquerdo: a ANPD (cujas atividades irão definir a aplicação de mais de uma dezena de artigos da lei) ainda não está sequer constituída para valer, e o governo não parece indicar orçamento suficiente para custeá-la. 

Além disso, há outro fator político: nosso modelo de democracia de alianças pode levar a uma captura institucional desse órgão. 

É uma incerteza jurídica terrível: pior do que uma lei complexa é não saber como uma lei será aplicada

Em termos de conscientização, não vejo o Brasil com um projeto real sobre o tema – na verdade, quase nenhum país o tem. 

Nas próximas semanas, seremos bombardeados por e-mails sobre “mudanças na política de privacidade” e pop-ups avisando que “este site utiliza cookies…”. 

Talvez reguladores se sintam bem ao ver esse tipo de abordagem (e por isso as empresas a adotam). A realidade, porém, é que esses avisos irritam as pessoas — que ignoram e fecham o navegador ou apenas “clicam ok” sem pensar, para tirar a barra ou caixa chata do caminho e chegar logo ao conteúdo que querem ver.

HÁ PONTOS POSITIVOS NA LEI. E TAMBÉM MUITA “ESPUMA” DE AGENTES INTERESSADOS

Há bons caminhos em nossa lei, e que precisam ser comemorados. 

A visão sobre legítimo interesse que a lei traz é muito mais avançada do que a europeia, e pode representar um caminho menos intrusivo e, se bem aplicado, mais coerente em relação ao controle que os usuários podem ter sobre seus dados. 

Leia também: “Nos pedem nossos dados pessoais e ficamos até constrangidos em perguntar o porquê. É comum passarmos sem discutir”

A promoção de aspectos de governança às empresas também é excelente – ainda que seja urgente que a ANPD relativize esses requisitos para pequenas empresas e setores que não utilizam intensamente dados pessoais em seu negócio.

Porém, se comemorarmos primeiro e refletirmos depois, corremos risco de nos deixar enganar por um véu de empolgação. 

Uma série de agentes têm interesse direto em fomentar esse entusiasmo: consultorias, escritórios de advocacia, escolas, empresas de segurança da informação, o meio acadêmico. Muitos o fazem com seriedade… Mas também há muita espuma e efeitos de bolha no mercado — e isso atrapalha demais

Em outras palavras: pode-se estar vendendo uma “lei geral”, quando na verdade trata-se de mais uma lei ordinária, inserida dentro de um sistema jurídico maior e de um contexto social e econômico bem mais amplo.

EXERCÍCIO DE FUTUROLOGIA: NOVE PREVISÕES PARA OS PRÓXIMOS ANOS

Os próximos dois anos trarão desafios importantes para termos uma visão mais nítida sobre os efeitos da LGPD e sua credibilidade política e jurídica. 

Fazendo um exercício de futurologia, prevejo que:

1) Surgirá um movimento de “vendedores de tese” no contencioso de massa, com casos de litigância de má-fé, e que impactará de forma mais dura empresas de abrangência nacional;

2) Podemos ter prejuízo à competição em determinados setores, em que as maiores empresas (e com mais dinheiro para pagar consultores e advogados) serão privilegiadas em comparação com startups e PMEs;

3) Determinados atores políticos e do sistema judicial tentarão, com ótimas intenções, levantar a bandeira em defesa da lei. Mas haverá também oportunistas que usarão disso para interesses pessoais (e que vão ajudar a fomentar verdadeiras gráficas para impressão de notificações);

4) Parte dos cargos da ANPD serão ocupados por pessoas técnicas e competentes, mas o componente de indicação política poderá prevalecer, tanto na diretoria da autoridade, quanto no conselho;

5) Haverá um arrefecimento do mercado de escritórios de advocacia, consultorias e cursos LGPD, com poucos bons atores mantendo-se firmes por conta da capacidade de reinvenção e adaptação, e os demais desaparecendo;

6) O papel de DPO (Data Protection Officer) será valorizado nas empresas mais expostas às obrigações da LGPD e ao contencioso de massa (como techs, telecoms, varejo, e-commerce); em outras empresas, esse papel passará por um ajuste de mercado e orçamentos;

7) As grandes multas aplicadas pelo Ministério Público, órgãos de defesa de consumidor e pela ANPD serão focadas em um grupo muito pequeno de empresas (e primordialmente em casos de incidentes de segurança da informação);

8) O atraso no início das operações da ANPD representará uma perda de oportunidade para criação de um movimento consistente de educação e conscientização; dificilmente teremos uma percepção geral da população sobre uma maior proteção de dados nos próximos dois anos;

9) Considerando o momento político do Brasil, é possível que a LGPD seja utilizada para determinações abusivas do Judiciário, que podem afetar a liberdade de expressão de forma ainda mais intensa do que aconteceu com a GDPR.

Parece um cenário pessimista? Espero estar errado em todos os itens acima… 

Estamos em um momento de muito otimismo, em que qualquer análise realista pode ser interpretada como estraga-prazeres. Mas mesmo leis com vieses mais principiológicos e estruturas mais modernas, como o Marco Civil da Internet, ainda precisam passar por desafios para se “provarem”

Não será diferente com uma lei cercada de tantas expectativas como a LGPD.

Pedro Henrique Ramos é Mestre em Direito e Desenvolvimento pela Fundação Getúlio Vargas, sócio do Baptista Luz Advogados e coordenador das áreas de Transações de Tecnologia, Proteção de Dados e Mídia e Publicidade. Foi consultor do Ministério da Justiça na elaboração do decreto 8.771/16, que regulamentou o Marco Civil da Internet, e é membro do Subcomitê “Ambiente Normativo de Startups” do Comitê Interministerial para a Transformação Digital.