Advogado discute a indefinição atual sobre a vigência da nova legislação, examinando as implicações trazidas pela Lei 14.010/2020 e pela MP 959
Luís Rodolfo Cruz e Creuz (*)
A questão do início da vigência, integral ou parcial, agora ou depois, da LGPD (Lei Geral de Proteção de Dados) segue, no mínimo, interessante.
A Medida Provisória 959, de 29 de abril de 2020 (MP 959), publicada no mesmo dia em edição extra do Diário Oficial da União, entre outros temas, prorrogou a vacatio legis da Lei nº 13.709, de 14 de agosto de 2018, que estabelece a Lei Geral de Proteção de Dados Pessoais (LGPD). A norma modificou, especificamente, o art. 65, II, da Lei nº 13.709/2018, alterando o início de sua vigência para o dia 03/05/2021. Mas a data não está totalmente definida.
Originalmente, a LGPD entraria em vigor em agosto de 2020, mas basicamente duas distintas situações levantaram à possibilidade de eventual prorrogação da vacatio legis. Primeiro, porque até o momento não houve a efetiva constituição da Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal, integrante da Presidência da República, responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional. Segundo, por conta da atual pandemia da Covid-19, os esforços estão direcionados noutra direção. Basicamente tais razões levaram o governo a editar a MP 959, contendo o adiamento.
A MP 959 tem sua vigência e aplicação imediatas, e precisa ser aprovada pelo plenário da Câmara dos Deputados e pelo Senado, mas pode perder seu efeito e validade caso não seja convertida em Lei, conforme procedimento próprio de tramitação de medidas provisórias (prazo de validade da MP, em caso de prorrogação, é de 60 + 60 dias). Veremos abaixo detalhes.
Importante destacar que a prorrogação do prazo da vigência da LGPD também é objeto de outros projetos legislativos em tramitação no Congresso Nacional, incluindo-se a votação da MP 959.
O mais adiantado deles era o Projeto de Lei nº 1.179/2020 (PL 1.179/2020), que “dispõe sobre o Regime Jurídico Emergencial e Transitório das Relações Jurídicas de Direito Privado (RJET) no período da pandemia do Coronavírus (Covid-19)”. Em sessão remota no dia 19/5/2020, o Plenário do Senado rejeitou o substitutivo da Câmara dos Deputados ao projeto – o texto havia sido modificado na Câmara, tendo retornado ao Senado como um substitutivo, para nova votação, tendo, contudo, sido rejeitado. O projeto do Senado seguiu para sanção da Presidência da República, tendo sido promulgada a Lei nº 14.010, de 10 de junho de 2020 (Lei nº 14.010/2020), com alguns vetos, mas não para a LGPD.
A Lei nº 14.010/2020, oriunda do PL proposto pelo senador Antonio Anastasia (PSD/MG), estabelece regras de Direito Civil para vigência durante o período de pandemia do Coronavírus, altera a entrada em vigor dos artigos relacionados às multas e sanções administrativas (arts. 52 a 54 da LGPD) que a ANPD poderá aplicar aos agentes de tratamento de dados (controlador e operador) por violações à LGPD.
O PL 1.179/2020 originalmente previa a prorrogação do início da vigência da LGPD para 01/01/2021, com o diferencial de que a aplicação das sanções se daria a partir de agosto/2021 – ou seja, a vigência estaria dividida em dois distintos momentos. O PL 1.179/2020 foi aprovado pelo Senado Federal em 03/04/2020, passou por tramitação na Câmara dos Deputados, onde o relator aceitou a prorrogação do prazo relativo à imposição das sanções administrativas e, no substitutivo, manteve o disposto pela MP 959, que adiou de 14/08/2020 para 03/05/2021 a data de entrada em vigor dos demais artigos da LGPD.
Enfrentamento de fake news
Na nova votação no Senado, houve rejeição do substitutivo, mas com uma modificação de um senador, sendo a versão aprovada a que determina a vigência a partir de agosto deste ano (2020), e os artigos que tratam das sanções a partir de agosto de 2021. Para o senador, essa mudança seria importante para o enfrentamento das notícias falsas (fake news) – o que certamente nos parece de eficácia ou fundamentação duvidosa, dado que não temos ainda a instalação da ANPD (e preocupa-nos, pois instalada agora, de forma precária por conta da pandemia, às pressas e sem uma estrutura sólida, pode causar mais mal do que colher bons frutos), e dado que tal combate de notícias não é o escopo da norma que trata de proteção de dados pessoais ou da autoridade nacional (vide competências estabelecidas no art. 55-J).
Para tal “combate”, inclusive, existiriam duas “ferramentas” muito mais apropriadas. Uma para acionamento em caso de “fake news individuais” e outra para aquelas “fake news coletivas”. As primeiras seriam ofensas à honra de um indivíduo (pessoa natural) e as segundas ofensas a interesses sociais difusos. Entendemos que, para as primeiras, o Marco Civil da Internet (Lei nº 12.965, de 23 de abril de 2014) já assegura à vítima legitimidade para propositura da competente demanda judicial e, para as segundas, existe a prerrogativa da ação civil pública (Lei 7.347, de 24 de julho de 1985) que visa à proteção de interesses transindividuais e que estabelece que terá por objeto a condenação em dinheiro ou o cumprimento de obrigação de fazer ou não fazer.
Ademais, existem prós e contras, com argumentos favoráveis e contrários à prorrogação da LGPD – todos razoáveis em seus fundamentos.
Fato é que muitas empresas (para não dizer expressiva maioria) ganharam mais tempo para se adequar aos regramentos e dispositivos da LGPD. Enquanto que, por outro lado, existe a visão de que o adiamento seria necessário em razão da crise da Covid-19 e da não instalação da ANPD, por outro, tal posicionamento tem sido contestado, especialmente por aqueles que identificam que grande parte das medidas de combate à pandemia no Brasil envolvem o uso massivo de dados pessoais e dados pessoais sensíveis – pelas mesmas razões, entendem o contrário, alegando que a vigência da Lei traria maior segurança ao tratamento de dados pessoais.
Há quem sabidamente pontue que, “quanto mais se aproxima a data de entrada em vigor da lei, maior a pressão sobre os retardatários” (Carlos Affonso) – e assim sempre será, com qualquer norma. Mas nos parece que não existe como “agradar” ambos os lados. Mas vale lembrar, novamente, que antes da MP 959 o próprio Senado Federal, através do PL 1.179/2020, já havia aprovado e determinado a prorrogação da vigência da LGPD para 1º de janeiro de 2021 (e para as penalidades – agosto de 2021). Mas o tema sofreu modificações na Câmara e novamente agora no Senado.
A Lei de Proteção de Dados, como é sabido, exige profundas e importantes modificações no dia a dia da operação de empresas que lidam com dados pessoais (de pessoas físicas), exigindo mudança em processos, procedimentos internos, cultura, dentre outros aspectos, e em alguns casos alteração da própria modelagem do negócio, dado que, além de regras que não são triviais, existem duras penalidades (além do próprio risco reputacional). Uma avaliação e trabalho multidisciplinar são necessários, o que inclui amplo treinamento das equipes da companhia, e certamente a prorrogação poderá auxiliar muitas empresas que, segundo noticias, não se encontram adaptadas ou mesmo em processo de adaptação.
Temos, ainda, a questão da tramitação normal de uma medida provisória, com suas peculiaridades, prevê que o Congresso Nacional tem 60 dias para analisar o texto, prorrogáveis por outros 60 dias. Mas a tramitação da MP 959 deverá respeitar rito sumário de votação de medidas provisórias, determinado pelo Ato Conjunto das Mesas da Câmara dos Deputados e do Senado Federal nº 01/2020 e válido durante a pandemia de Covid-19. Por este rito, a deliberação deverá ocorrer no prazo de até 16 dias, independentemente de análise de comissão mista.
Resultado imprevisível no Congresso
Como o ordenamento jurídico vigente determina que cabe ao Congresso Nacional a aprovação, com ou sem alterações, das medidas provisórias, caso o texto da MP 959 não seja apreciado dentro deste prazo, ou em caso de rejeição da medida, a MP perde imediatamente sua eficácia. Mas é importante destacar que se a MP 959 não for apreciada dentro do prazo do rito sumário, caberá ao presidente do Congresso Nacional decidir sobre a pertinência de eventual prorrogação da MP. Em maio de 2020 a MP recebeu 126 emendas, tendo no fim do mês sido encaminhada ao plenário do Congresso Nacional para deliberação. Não é possível fazer uma previsão acerca de qual resultado pode ser esperado da avaliação e votação.
Cabe, ainda, uma ressalva para tornar o tema mais complexo. Existe a tese de que um Ato Conjunto das Mesas do Congresso Nacional não poderia modificar prazos constitucionalmente previstos.
E para tornar o tema ainda mais “picante”, trazemos recente reflexão de Fabricio da Mota Alves sobre consequências gravíssimas para a segurança jurídica da perda de eficácia da MP 959. Em suas palavras, deixar “caducar é um perigo sem precedentes”. Em suas previsões, se considerarmos um cenário sem recesso parlamentar em julho (possível), e dado que o prazo de validade da MP 959 é de 120 dias, teríamos, concomitantemente com a vigência da Lei derivada do PL 1.179/2020, a vigência da LGPD prorrogada provisoriamente para 03/05/2021, mas que, caso venha a “caducar” no dia 28/08/2020, voltará a ter sua vigência definida em 16/08/2020 (algo digno das viagens de Marty McFly), ocasionando uma vacatio legis retroativa.
Assim, a questão da tramitação da MP nº 959/2020, ou da Lei nº 14.010/2020 (RJET) conforme agora publicada, ou mesmo de qualquer outro projeto de lei em tramitação acaba por apresentar um cenário de incerteza sobre quando efetivamente a LGPD entrará em vigor. Para tanto, sistematicamente apresentamos sete hipóteses distintas, dado o atual estado legislativo:
| Normativo | Vigência da LGPD | |
| Hipótese 1 | MP 959 /2020 | Se convertida em Lei – Maio / 2021 (03/05/2021) |
| Hipótese 2 | MP 959 /2020 | Se rejeitada – Agosto / 2020
(16/08/2020) (sem considerar PL nº 1179/2020) |
| Hipótese 3 | MP 959 /2020 | Se caducar prazo – Agosto / 2020
(27/08/2020 retroagindo para 16/08/2020) |
| Hipótese 4 | Lei nº 14.010/2020 (RJET)
* conforme aprovada |
Vigência em Agosto / 2020
– multas e sanções com início em Agosto / 2021 |
| Hipótese 5 | PL nº 1027/2020
– Senador Otto Alencar (PSD/BA) |
Fevereiro / 2022 |
| Hipótese 6 | PL nº 5762/2020
– Deputado Carlos Bezerra (MDB-MT) |
Agosto / 2022 |
| Hipótese 7 | Lei nº 13.709/2018 – LGPD | Agosto / 2020 (16/08/2020) |
Hoje (data de redação deste artigo), a LGPD entrará em vigor no dia 03 de maio de 2021, e os artigos relacionados à aplicação de multas e sanções administrativas terão vigência a partir de 1º de agosto de 2021. Mas certamente poderá ocorrer alguma modificação a depender do resultado das deliberações e votação da MP nº 959/2020 (ou mesmo caso ela perca validade).
E a votação, segundo noticiado, ganhou peso com carta, de 10 de junho de 2020, contendo pedido de prorrogação feito por diversas entidades (Confederações Nacionais), que representam distintas áreas do setor produtivo brasileiro, ao presidente da Câmara dos Deputados, pedindo a prorrogação da vigência da LGPD e a aprovação da MP 959.
O pedido fundamenta-se no fato de que a pandemia dificultou a adequação às regras de proteção de dados, além da necessidade de efetivas normas e procedimentos de fiscalização sobre proteção de dados que devem ser emitidos pela ainda inexistente ANPD. A prorrogação traria segurança jurídica às empresas no tocante às normas da LGPD e permitiria às empresas de micro, pequeno e médio porte direcionarem seus recursos para o enfrentamento dos problemas gerados pela forte redução da atividade econômica.
Lembramos, ainda, que o adiamento não significa tempo ou oportunidade perdida, ou que “a lei não vai pegar”, como opiniões pessimistas podem fazer acreditar. Neste sentido, temos muitos exemplos práticos de pleitos do Ministério Público, ou de associações civis privadas que já estão se movimentando no sentido de se apoiar na LGPD para pleitos atuais – existem varias decisões judicias que já reconhecem os valores estampados na norma de proteção de dados, sem prejuízo a outras já imbuídas com este espírito, como o Código de Defesa do Consumidor, a Lei de Acesso à Informação e o próprio Marco Civil da Internet, para mencionar alguns. Inclusive, já verificamos que o Ministério Público e os órgãos de defesa do consumidor têm imposto penalidades com base na atual e vigente legislação, em especial o Código de Defesa do Consumidor e o Marco Civil da Internet. O aculturamento segue seu movimento.
Boas práticas para implementação
Recentemente, inclusive, diversos órgãos da administração pública federal se uniram e trabalharam em conjunto na elaboração do Guia de Boas Práticas para Implementação da LGPD na Administração Pública Federal, publicado em abril de 2020. O documento tem como objetivo fornecer orientações de boas práticas aos órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional, para as operações de tratamento de dados pessoais, visando melhores práticas de governança no compartilhamento de dados e devida compreensão à luz das restrições legais, dos requisitos de segurança da informação e comunicações e do disposto pela LGPD. Trata-se de material bastante completo e pormenorizado, para orientação dos agentes públicos sobre o tratamento de dados e boas práticas em segurança da informação, e que sinaliza forte preocupação da administração pública de adequação à nova legislação. Mais um reforço à tese de que caminhamos na direção de crescimento e fortalecimento da proteção de dados pessoais no Brasil.
Merece destaque, ainda, a publicação do Decreto nº 13.332, de 28 de abril de 2020, que institui a Estratégia de Governo Digital para o período de 2020 a 2022, no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional. Trata-se da implementação das ações de governo digital e ao uso de recursos de tecnologia da informação e comunicação, que estabelece princípios, iniciativas e objetivos que deverão ser alcançados visando a transformação digital do serviço público federal até 2022, ampliando serviços, tornando-os mais ágeis e menos onerosos, e possibilitando transparência e respeito à privacidade.
Tanto que o documento em seu anexo deixa tal fato mais que evidente. O objetivo 9 direciona-se aos serviços preditivos e personalizados ao cidadão, estabelecendo que um governo confiável é o que respeita a liberdade e a privacidade dos cidadãos e assegura a resposta adequada aos riscos, ameaças e desafios que surgem com o uso das tecnologias digitais no Estado.
O objetivo 10 é diretamente vinculado à implementação da Lei Geral de Proteção de Dados no âmbito do Governo Federal, tendo duas iniciativas: (i) estabelecer método de adequação e conformidade dos órgãos com os requisitos da Lei Geral de Proteção de Dados, até 2020; e (ii) estabelecer plataforma de gestão da privacidade e uso dos dados pessoais do cidadão, até 2020. É o compromisso de desenvolvimento das estruturas necessárias à implementação da LGPD, e o Guia de Boas Práticas anteriormente mencionado já está integrado na própria plataforma do Governo Digital.
Por fim, o próprio Governo reconhece a dificuldade e a necessidade de manter e desenvolver um projeto sólido de estruturação e implementação da proteção de dados no país. Segundo o Guia de Boas Práticas para Implementação da LGPD na Administração Pública Federal, “a adequação dos órgãos e entidades em relação à LGPD envolve uma transformação cultural que deve alcançar os níveis estratégico, tático e operacional da instituição. Essa transformação envolve: considerar a privacidade dos dados pessoais do cidadão desde a fase de concepção do serviço ou produto até sua execução (Privacidade by Design); e promover ações de conscientização de todo corpo funcional no sentido de incorporar o respeito à privacidade dos dados pessoais nas atividades institucionais cotidianas”.
Este é o espírito. Não se pode “empurrar garganta abaixo” todo um sistema normativo e cultural que envolve uma mudança radical em todas as estruturas público-privadas do país. É um trabalho delicado, que requer um ritmo coerente com as diferenças e distinções culturais, corporativas e técnicas (que não são nada poucas) nas mais distintas regiões do Brasil. Este ritmo não pode ser nem prestíssimo nem largo, mas algo como um maestoso ou moderato.
(*) Advogado, sócio do Cruz & Creuz Advogados. Doutor em Direito Comercial pela USP. Especialista em Societário, Franchising e Contratos. E-mail: luis.creuz@lrcc.adv.br
Brilhante e elucidativo artigo meu caríssimo Prof. Luis Rodolfo. Se faz mister um assunto desta magnitude “transitar” em boas mãos (apropriadas) , não? Parabéns!