Ao estabelecer como todos nós poderemos exercer nossos direitos sobre os dados pessoais, a nova lei traz em sua redação um desafio que oscila entre o inexequível e o temerário
Marcilio Braz Jr. (*)
Podemos enfim comemorar. A Lei Geral de Proteção de Dados (LGPD), que regulará o tratamento de dados pessoais, veio enfim ao mundo, passando a vigorar desde 18 de setembro. Porém, ao estabelecer como todos nós poderemos exercer nossos direitos, ela traz em sua redação um desafio que oscila entre o inexequível e o temerário.
Inexequível ao determinar que o responsável pelo tratamento deverá, de modo imediato, responder à requisição do titular. Qualquer europeu que está vivenciando por lá o verdadeiro calvário que é responder tais requisições, mesmo um simples “sim/não” sobre a existência de dados em suas bases, deve estranhar nossa lei.
Temerário, pois na continuação do previsto na LGPD, em princípio sem chance de prorrogação, há o prazo de 15 dias para, “por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento”.
E é aí que reside mais um grande risco e problema. Tomado isoladamente, pode assim não parecer.
Apesar do ineditismo da LGPD para nós, temos uma lei equivalente na Europa em vigor desde maio de 2018, a GDPR (General Data Protection Regulation).
Contextualizando, em maio de 2020, a Sapio Research levantou que no Reino Unido apenas 52% das requisições dos titulares de dados são atendidas dentro dos 30 dias iniciais. Lá, diferentemente daqui, o prazo é de 30 dias, prorrogáveis por mais 60 dias. Fazendo uma simples “regra de três”, comparativamente seriam otimistas míseros 26% de solicitações atendidas dentro do prazo da LGPD. E os 74% restantes?
Um risco concreto de ações judiciais a caminho, uma vez que sequer se dispõe nesse momento da instância administrativa da ANPD para se valer o titular, pois também está previsto na LGPD que esse tem o direito de peticionar junto a ela em relação aos seus dados contra o agente de tratamento.
E os custos das potenciais ações não devem ser considerados desprezíveis nem estas, improváveis.
Some-se a isso que o custo médio de uma requisição, ainda segundo o estudo da Sapio, é de US$ 6.330, algo em torno de R$ 33.000 reais. Acrescente-se no futuro o custo das sanções, por enquanto suspensas, pois a lei como hoje está prevê que as mesmas só poderão ser aplicadas a partir de agosto de 2021.
Entretanto, como se pode observar, as eventuais sanções se tornam “um mero detalhe” e o fatiamento da LGPD com a eficácia de todos os dispositivos desde já exceto os que preveem as sanções pode levar à falsa sensação que “se ganhou tempo” e não é o caso.
Efeitos sobre a credibilidade
Talvez tenhamos uma “tempestade perfeita” surgindo no horizonte. Em meio à merecida comemoração, precisamos discutir esses pontos, sob pena de termos efeitos sobre a credibilidade da própria lei e uma oneração ainda não prevista pela grande maioria do empresariado, que sequer sabe sobre a existência da LGPD.
A segurança jurídica desejada com a LGPD para os setores público e privado é inadiável para o alinhamento do Brasil em relação ao resto do mundo. Ao mesmo tempo, a garantia efetiva dos direitos de todos nós, cidadãos e titulares de dados, precisava, de fato, ser urgentemente estabelecida.
Mas esse equilíbrio exige que sejam considerados todos os aspectos práticos envolvidos: técnicos e administrativos, inclusive.
A persistir como está, um único artigo da LGPD pode vir a feri-la gravemente. Uma construção de anos, ser comprometida.
Urge, pois, que esse verdadeiro “Cavalo de Troia” seja desmontado o quanto antes, sob pena de virarmos no final do dia troianos atacando a si mesmos.
(*) Advogado, profissional em Privacidade e Proteção de Dados, Gerente de Projetos em TI e fundador da Privacy Academy.