Dr. Thiago Graça Couto Braun, advogado parceiro da Covac Sociedade de Advogados
A Lei nº 13.709, de 14 de agosto de 2018, mais conhecida como Lei Geral de Proteção de Dados (LGPD) e prestes a entrar em vigor, busca unificar dezenas de regramentos diferentes que atualmente tratam da utilização de dados pessoais nas diferentes esferas das relações pessoais e comerciais, incluindo aquelas travadas em meios digitais.
Essa unificação legislatória é uma das semelhanças entre a LGPD e a General Data Protection Regulation (GDPR) da União Europeia, estatuto implementado a partir de 25 de maio de 2018 e que contém previsões e requisitos, não apenas para o processamento de dados pessoais no continente europeu, mas também para a transferência destes dados para fora da UE.
Assim como a GDPR, a LGPD contém além de previsões que visam salvaguardar a proteção de dados processados em território nacional, independente da localização da empresa ou entidade responsável pelo tratamento de tais dados[1], disposições específicas que limitam a transferência internacional deste material[2].
As semelhanças entre ambos os estatutos vão além da mera aplicação extraterritorial, incluindo também o conceito de dados pessoais, ampliado se comparado ao previsto pela GDPR e construído de forma sistemática ao longo da LGPD para abranger diferentes categorias, tais como dado pessoal sensível, dado anonimizado ou banco de dados[3].
Tal como a GDPR, a LGPD afirma em vários locais que dados pessoais podem significar quaisquer dados que, por si só ou combinados com outros dados, possam identificar uma pessoa singular ou sujeitá-la a um tratamento específico. Embora essa definição provavelmente seja esclarecida à medida que o Brasil se aproxima da implementação da nova lei, como afirmado atualmente, a LGPD tem uma visão ampla de quais dados se qualificam como dados pessoais, ainda mais abrangente do que a da GDPR[4].
A GDPR estipula os chamados oito direitos fundamentais para indivíduos com relação aos seus dados pessoais, quais sejam: informação sobre o uso e processamento, acesso, retificação, remoção, restrição, portabilidade, objeção pontual e proteção contra decisões automatizadas envolvendo tais dados. De forma muito semelhante, a LGPD também incluiu tais salvaguardas em seu texto[5], algo que representa um alinhamento muito bem-vindo entre as iniciativas do Brasil e da União Europeia no tocante à proteção dos dados pessoais de seus cidadãos.
Em que pesem as notáveis semelhanças, também é possível identificar algumas diferenças pontuais entre ambos os instrumentos, incluindo as previsões acerca dos profissionais responsáveis pelo tratamento dos dados pessoais. De acordo com a GDPR, a contratação de um Oficial de Proteção de Dados é necessária apenas em casos específicos como, por exemplo, se a organização possuir caráter público ou se for responsável diretamente pelo processamento em larga escala de dados ou indivíduos[6]. Já a legislação brasileira parece, mais uma vez, ir além e prever a designação de um encarregado pelo tratamento dos dados pessoais independente da natureza jurídica ou viés de atuação da organização[7]. Em outras palavras, o texto da LGPD não é tão claro quanto o da GDPR e aparenta sugerir que qualquer organização que processe dados pessoais deverá contar com um encarregado pelo tratamento de dados pessoais.
Outro ponto de divergência entre os diplomas diz respeito aos requisitos para o tratamento de dados pessoais. Em seu recital 40, a GDPR determina que, para que o tratamento seja lícito, os dados pessoais deverão ser manipulados com base no consentimento do seu titular, sendo tal disposição complementada pelo Art. 6º. que prevê outras cinco bases legais para a legalidade do tratamento, quais sejam: o processamento deve satisfazer uma necessidade contratual, legal, interesse público, interesse legítimo ou ser realizado com o objetivo de salvar vidas. Já a LGPD não se limita à ecoar tais disposições, incluindo a possibilidade do tratamento com o objetivo de proteger direito creditício[8].
Em nosso entendimento, a inclusão da previsão acima destacada decorre de características regionais, notadamente dos altos níveis de inadimplência e da forma como os sistemas de cadastro de consumidores estão organizados no Brasil. Possivelmente, durante o processo legislativo, as instituições de proteção ao crédito demonstraram preocupação com potenciais consequências caso não houvesse previsão expressa da possibilidade de tratamento de dados para fins de salvaguarda ao direito de credores. Em que pese ser uma inovação se comparado à GDPR, não nos parece que este inciso em particular tenha o condão de retirar o caráter positivo e protetivo que a LGPD poderá trazer aos cidadãos brasileiros.
Um ponto que traz maior preocupação com relação à efetivação da LGPD envolve as sanções pecuniárias previstas pelo legislador pátrio. Ao contrário da GDPR[9], que prevê multas até 10 milhões de euros ou 2% do faturamento anual do ano fiscal anterior, qual for maior, a LGPD limita tal penalidade ao patamar de 50 milhões de reais[10], algo que reflete maior preocupação do legislador com o impacto econômico às empresas sancionadas do que com o caráter punitivo a ser imposto sobre condutas transgressoras.
No que se refere ao reporte de violações de dados, não obstante tanto a GDPR quanto a LGPD exigirem que as organizações relatem violações de dados à autoridade local de proteção de dados, o nível de especificidade não é o mesmo. A GDPR é clara ao determinar que uma organização deve relatar uma violação de dados dentro de 72 horas de sua descoberta[11]. Já a LGPD, através de seu Artigo 48, apenas declara que o responsável pelo tratamento deve comunicar à autoridade nacional e ao titular dos dados a ocorrência de um incidente de segurança em um prazo razoável[12], período de tempo este que ainda aparenta pender de regulamentação.
Em que pesem eventuais discrepâncias e pontos que ainda devem ser esclarecidos, entendemos que a sintonia entre a LGPD e a GDPR é algo bastante positivo tendo em vista não somente a natureza transnacional do fluxo de dados pessoais por meio digital, mas também considerando a redução de custos para que empresas se adaptem às previsões de diferentes países e organismos internacionais. A colaboração entre nações e blocos no que se refere à questão da proteção dos dados pessoais certamente é algo benéfico em um mundo cada vez mais conectado e digital.
Referências
LGPD: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
GDPR: https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e40-1-1
GDPR vs LGPD: https://gdpr.eu/gdpr-vs-lgpd/
[1] LGPD Art.3;
[2] LGPD Art. 33 e Art. 34;
[3] LGPD Art. 5;
[5] LGPD Art. 18;
[7] LGPD Art.41;
[8] LGPD Art. 7;
[10] LGPD Art. 52;
[12] LGPD Art. 48.
