Depois de um tempo afastada retorno com uma opinião dissonante de vários colegas em terras brasileiras. Explico. Em 18 de setembro de 2020 entrou em vigor, no Brasil, a Lei Geral de Proteção de Dados – LGPD (Lei 13.709/18), modificada em 2019, pela Lei 13.853, o que causou um furor enorme nas mídias sociais. Advogados, membros do poder judiciário, professores, enfim, todos os que de alguma forma tem envolvimento com o mundo da tecnologia, deram testemunhos entusiasmados sobre a LGPD.

Não compartilho do mesmo entusiasmo. Em primeiro lugar nem mesmo a entrada em vigor da Lei foi isenta de tempestades. O Congresso brasileiro postergou a entrada em vigor da lei, o que foi feito mais uma vez pelo Executivo, no contexto da pandemia da Covid-19. A promulgação, no ano de 2018, foi muito celebrada, porque, enfim, o Brasil podia afirmar que figurava no rol dos países que tem legislação para a proteção de dados. Abro um parêntese para informar ao leitor que a LGPD não foi a primeira legislação brasileira a tratar do assunto, antes dela, o país já contava com o Marco Civil da Internet e o Decreto n.° 8.771 de 2016.

A inspiração para a LGPD teve origem no Regulamento Geral de Proteção de Dados na União Europeia – GDPR (em inglês), mas dela se distancia em questões cruciais. E uma delas, talvez a menos notada, é a de que a legislação brasileira admite que questões centrais sejam objeto de interpretação pela agência reguladora e pelo poder judiciário. É preciso lembrar ao leitor que o Brasil é reconhecido por sua insegurança jurídica.

E motivos não faltam para alimentar essa fama que se alia ao alto grau de judicialização da sociedade brasileira. Ações fundadas na LGPD já são distribuídas em todo o país. E decisões já foram proferidas. Mas além de possíveis decisões, que carecem do conteúdo técnico quanto à matéria, o que causa perplexidade é a incógnita da Autoridade Nacional de Proteção de Dados – ANPD. A fiscalização e regulação da LGPD estão à cargo da ANPD. Mas e sua estruturação? E quando ela de fato irá operar?

A ANPD foi criada um ano depois da lei e estruturada a toque de caixa. Uma autoridade nacional bem estruturada, independente de fato, é essencial à boa prática em termos de proteção de dados. É preciso ter em mente que a GDPR, bem como as autoridades nacionais nos países membros da União Europeia, não foram criadas às pressas. A União Europeia busca, desde 1995, a disciplina da proteção dos dados pessoais.

A evolução da tecnologia é constante, o judiciário não será capaz de resolver todas as demandas, e nem o deve fazer, ouso dizer. Em matéria de proteção de dados pessoais é preciso que as empresas adotem boas práticas, é preciso desenhar incentivos à conformidade, e, portanto, a questão ultrapassa aquilo que tradicionalmente é a forma de solução brasileira, ou seja, provocar o judiciário.

Desenhar políticas, atentar para a necessidade de literacia digital dos usuários, e ainda, buscar a observância das regras por parte das empresas, e, por fim, alcançar a efetividade da lei, são desafios imensos, que não foram de todo ultrapassados nos países europeus. E no Brasil, ainda se aguarda a atuação da ANPD. Tenho a impressão, que esse é, apenas, o primeiro capítulo de uma longa história ainda sem fim.

Imagem gratuita em Pixabay (pixel2013)