Edição extra do Diário Oficial da União foi publicada na noite do dia 29 de abril contendo o texto da Medida Provisória 959/2020, que prorroga a entrada em vigor da Lei Geral de Proteção de Dados (LGPD) para o dia 3 de maio de 2021. A MP foi editada para facilitar o pagamento de benefícios instituídos como ajuda financeira para os brasileiros durante o período da pandemia do coronavírus — a Caixa Econômica Federal perde a exclusividade no pagamento dos benefícios, que agora podem ser recebidos também nas agências do Banco do Brasil —, mas destinou um único artigo para ampliar a vacatio legis da Lei nº 13.709/2018 (LGPD)[1], que entraria em vigor em 16 de agosto deste ano.
A medida pegou a todos de surpresa, pois atropelou o Congresso, onde tramita projeto de lei (PL 1179/2020), já aprovado pelo Senado e em análise na Câmara Federal, que prorroga a vigência da LGPD para janeiro de 2021 [2]. No dia 29, mesmo dia da publicação da MP, havia inclusive sido aprovado regime de urgência para tramitação do PL [3].
O adiamento da vigência da LGPD constitui grave erro e acentuado risco para a sociedade brasileira, no atual momento.
É bastante frágil o argumento de natureza econômica, utilizado pelos defensores da prorrogação da vigência da LGPD. Alega-se que as empresas brasileiras não tiveram tempo de se adaptar à lei e ainda serão obrigadas a realizar despesas para se adequar às suas exigências. Sobrecarregá-las num momento desses, em que se inicia uma recessão econômica profunda, como decorrência da crise de saúde, vai dificultar a recuperação da economia brasileira. As empresas terminarão sofrendo com as pesadas multas previstas na nova LGPD, inviabilizando a recuperação em tempos extremamente difíceis, concluem.
Essa visão não espelha a realidade, do ponto de vista jurídico. As empresas não deixarão de ser responsabilizadas pelos danos que causarem por manipulação ou uso indevido de dados pessoais durante o período da pandemia. O nosso ordenamento jurídico já dispõe de diversos instrumentos normativos que atribuem responsabilização por danos causados a consumidores de produtos e serviços. A Constituição, o Código Civil (Lei nº 10.406/2002), o CDC (Lei 8.078/90), o Marco Civil da Internet (Lei nº 12.965/2014) e a Lei 12.414/2011 (que disciplina bancos de dados com informações de crédito) são suficientes para atribuir dever de reparação por danos causados por qualquer empresa que, no desenvolvimento de atividade de tratamento de dados, cause danos a consumidores ou terceiros. Em caso de vazamento de informações, manipulação indevida de dados de saúde, compartilhamento não autorizado de dados ou qualquer acidente informacional, que ocorra durante o período ou logo após a pandemia, o controlador não conseguirá fugir à responsabilização pelos danos causados (quer sejam de ordem material ou moral). Poderá ser responsabilizado na esfera judicial e também sofrer a imposição de multas. É bom não esquecer que o artigo 12, II (c/c artigo 11), do Marco Civil (Lei nº 12.965/2014) prevê “multa de até 10% (dez por cento) do faturamento do grupo econômico no Brasil no seu último exercício”, por acidente que ocorra “em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet”. Com base no Marco Civil e no CDC, o Procon-SP multou ano passado a Google e a Apple em R$ 10 milhões e R$ 7,7 milhões, respectivamente, pela distribuição de um aplicativo que compartilhava os dados dos usuários com terceiros [4].
As empresas tiveram, sim, tempo para se adaptar e conhecer o conteúdo da LGPD. O projeto de lei tramitou durante anos no congresso nacional até se transformar na Lei nº 13.709/2018 e, antes mesmo da iniciativa legislativa, o debate sobre a proteção de dados pessoais no Brasil já se tinha iniciado sob a coordenação do Ministério da Justiça. O prazo de vacatio legis estipulado inicialmente já foi bastante extenso –— de 18 meses a partir da publicação da lei [5]. Depois, foi estendido para 24 meses [6] e agora a MP o alongou para 32 meses e 18 dias. Nem códigos inteiros tiveram prazo de vacatio tão amplo. Se a prorrogação estipulada na MP 959/2020 for mantida, a LGPD se tornará a lei de maior vacatio legis na história do país, desde a instituição da República.
Com a prorrogação da vigência da LGPD, as empresas continuarão a ser responsabilizadas, mas com base em legislação não especializada (em proteção de dados pessoais). Os intérpretes e julgadores trabalharão com princípios e normas mais abstratas, gerando mais insegurança jurídica. Por isso é muito importante para as próprias empresas, que desenvolvem atividades de tratamento de dados, que a LGPD entre em vigor. A nova LGPD traz diversos conceitos e estabelece os limites para uso dos dados pessoais. Assegura mais transparência e dá mais segurança para os controladores de sistemas informatizados, ao indicar as situações em que dados sensíveis podem ser tratados e para quais finalidades. No período da pandemia, é fundamental para o setor público e o setor privado poder contar com texto legal que esclareça o que pode e o que não pode ser feito em termos de coleta e processamento de dados de saúde. Postergar a entrada em vigor da LGPD nos deixará em um ambiente de insegurança jurídica, o que é pior para os negócios do que a própria pandemia.
No período da pandemia os mecanismos e ferramentas de vigilância disseminam-se numa velocidade nunca antes experimentada [7]. Para combater a expansão do coronavírus, empresas privadas estão desenvolvendo sistemas de monitoramento e realizando vasta coleta de informações pessoais. Assistimos a uma proliferação de aplicativos [8] e plataformas de coleta de dados de saúde, sem prévia autorização de órgãos sanitários ou teste de condições de segurança, proteção de dados e eficácia [9]. Dados de geolocalização estão sendo utilizados para mapeamento da concentração de pessoas e controle dos movimentos [10]. A privacidade das pessoas está em risco como nunca esteve antes, pois empresas privadas adquiriram o discurso que lhes faltava para se apropriar dos dados de saúde: o combate à pandemia.
Uma legislação para a proteção de dados é necessária para estabelecer as bases e limites do tratamento de dados, como atividade necessária para uma adequada biopolítica de combate à pandemia. Sem ela, as consequências nefastas da biovigilância serão sentidas no futuro, quando talvez não se tenha como revertê-las. Se as ferramentas de vigilância em massa (mass surveillance) proliferarem sem limites ou supervisão regulatória adequada, estaremos criando uma doença social muito maior e com efeitos inimagináveis para a sociedade futura.