A LGPD VAI ENTRAR EM VIGOR. E AGORA?

A Lei Geral de Proteção de Dados (LGPD) – Lei n. 13.709/2018 – pode entrar em vigor a qualquer momento, a depender da sanção presidencial ao Projeto de Lei de Conversão (PLV) n. 34/2020. Muitos foram pegos de surpresa e diversas dúvidas (legítimas) surgiram, sendo a principal delas: o que os fornecedores precisam fazer para se adequar à nova lei?

Nesse contexto, é importante lembrar que a proteção aos dados de consumidores não terá início com a LGPD – já há diversas normas em vigor regulando o assunto. Então, o que vai mudar?

Linha do tempo – leis aplicáveis

• Constituição Federal: previsão de sigilo das informações no âmbito do direito à privacidade e direito à intimidade.
• Código de Defesa do Consumidor (Lei n. 8.078/1990): embora contenha regras protetivas, o objetivo primordial não é a proteção do dado em si, mas da reputação do consumidor. Os bancos de dados são consideradas entidades de caráter público, dada a sua finalidade de permitir uma avaliação de risco para concessão de crédito ao consumidor (empréstimos ou compras a prazo, por exemplo).
• Lei do Cadastro Positivo (Lei n. 12.414/2011): disciplina a formação de bancos de dados relacionados a informações financeiras e de adimplemento, para fins de formação de histórico e concessão de crédito. Segundo essa lei, o consumidor deve ser notificado da abertura de cadastro e da possibilidade de cancelamento. Além disso, a lei veda o arquivamento de dados excessivos, tais como dados de saúde, origem social, genética etc.
• Decreto do SAC (Decreto n. 6.523/2011): prevê que os dados pessoais do consumidor serão preservados, mantidos em sigilo e utilizados exclusivamente para os fins do atendimento.
• Decreto do Comércio Eletrônico (Decreto n. 7.962/2013): dispõe sobre a obrigação dos fornecedores de empregar dispositivos de segurança para resguardar os dados dos consumidores, em especial aqueles utilizados para o pagamento das compras realizadas online.
• Marco Civil da Internet (Lei n. 12.965/2014): dispõe sobre a responsabilidade de provedores de internet por conteúdos gerados por terceiros. Vários de seus objetivos relacionam-se com o Direito do Consumidor, como a proteção da privacidade, dever de informar sobre o acesso à rede, promoção do acesso à informação e reforço do que prevê o CDC, estendendo as regras lá previstas também para dados coletados e organizados pela internet.

O que o CDC já prevê?

O Código de Defesa do Consumidor (CDC) prevê que o consumidor tem direito de acesso aos seus dados e direito de solicitar a correção imediata de dados incorretos. A ficha cadastral ou banco de dados devem conter dados objetivos, claros, verdadeiros e facilmente compreensíveis.

A abertura de cadastro, ficha, registro de dados pessoais e de consumo deve ser comunicada por escrito ao consumidor (quando não tiver sido solicitada por ele). Assim, ainda que não de forma prévia à coleta, o consentimento do consumidor ganha espaço.

O que vai mudar com a LGPD?

A LGPD reforça a proteção que o consumidor já tinha direito por força de outras normas – em especial o “direito à informação”. Isso porque a informação é essencial para que o titular possa ter controle sobre os seus dados, assumindo um papel de protagonismo, que é o objetivo da LGPD.

De acordo com a LGPD, o consentimento deve ser informado (o consumidor deve receber e compreender a informação), atrelado a uma finalidade específica (como, por exemplo, para o recebimento de ofertas) e com menção expressa para eventual possibilidade de transferência ou compartilhamento com terceiros. Consentimentos genéricos não serão mais aceitos (os clássicos “para melhorar a experiência do usuário” ou “para formação de cadastro”), e o consumidor tem a opção de, a qualquer momento, revogar o consentimento dado.

É importante destacar que a LGPD trata o titular de dados como alguém em posição de vulnerabilidade, tal qual ocorre no CDC, que parte da premissa de que há um desequilíbrio entre o consumidor e o fornecedor. Assim, uma série de prerrogativas já previstas no CDC são reforçadas pela LGPD, como: inversão do ônus da prova, responsabilidade objetiva e solidária, rol restrito de excludentes de responsabilidade, direito de regresso (entre os fornecedores da cadeia de consumo e/ou responsáveis pelo tratamento de dados) etc. Caso o consentimento seja coletado por escrito, deverá constar de cláusula destacada das demais.

Cabe ao controlador de dados o ônus da prova de que o consentimento foi obtido de acordo com as previsões legais. O tratamento irregular de dados é considerado um serviço defeituoso.

Alguns questionamentos

A LGPD ainda gera insegurança e dúvidas à maioria dos operadores do direito. Parte dessas dúvidas já vem sendo esclarecida pelos especialistas no tema, mas outras ficarão em stand-by, aguardando os novos desdobramentos e a interpretação que será dada pela ANPD e pelos tribunais. Vamos a algumas delas:

• O que deve ser feito em relação aos bancos de dados já existentes? Ainda não se sabe. A LGPD prevê que caberá à ANPD (Autoridade Nacional de Proteção de Dados) definir os critérios para adequação progressiva dos bancos de dados constituídos antes da entrada em vigor da lei. Tornar um banco de dados regular demandará o enquadramento dos dados (já coletados) em uma das bases legais previstas na LGPD e, em determinados casos, isso significa realizar a coleta de consentimento do titular – do contrário, os dados deverão ser excluídos ou anonimizados.

• Quem poderá fiscalizar o cumprimento da lei em relação a dados de consumidores? A SENACON (Secretaria Nacional do Consumidor) já se manifestou defendendo a sua competência concorrente à ANPD (Autoridade Nacional de Proteção de Dados), quando a situação envolver dados de consumidores (Nota Técnica n.º 4/2019). Isso significa que pode haver (e provavelmente haverá) sobreposição e é legítimo esperar que o tema seja tratado com uma abordagem mais protetiva – tal qual já ocorre em outras diversas situações envolvendo direitos dos consumidores.

• Como será operacionalizada a revogação do consentimento? Segundo a LGPD, o consumidor pode revogar o consentimento, de forma gratuita e facilitada. Entendo que o “meio facilitado” deve ser entendido como: (i) mesmo modo pelo qual o consentimento foi coletado, ou (ii) via internet/aplicativo. Contudo, questiona-se: até que ponto a revogação será realmente eficaz? Na era digital, o encadeamento e a disseminação de informações são muito complexos, rápidos e difíceis de rastrear. É possível (e factível) esperar que todo o encadeamento seja desfeito com sucesso a partir da revogação de consentimento?

É importante destacar que as sanções administrativas previstas na LGPD apenas serão aplicadas a partir de agosto de 2021, em virtude da Lei n. 14.010/2020, aprovada em maio de 2020.