Os avanços da Lei de Proteção de Dados brasileira

A lei geral de proteção de dados (LGPD) brasileira passará a vigorar a partir de 2020. Inspirada no Regulamento Geral sobre a Proteção de Dados da União Europeia (GDPR), também define o regramento para tratamento de dados pessoais — como por exemplo informações relacionadas a pessoa natural identificada ou identificável —, ocorrido nos ambientes online e off-line dos setores público e privado.

Embora a LGPD traga trechos que parecem ser uma tradução simplificada da lei europeia, como, por exemplo, os dispositivos sobre parâmetros de aplicação das sanções (artigo 83.2 do GDPR e 52, parágrafo 1º da LGPD), há muitas diferenças, como escopo de aplicação das duas normas, bases legais para o tratamento de dados pessoais e procedimentos para notificações de incidentes de segurança.

Ainda, os artigos referentes à autoridade nacional de proteção de dados foram vetados da LGPD por questões formais, já tendo sido sinalizado pelo Executivo que a agência será em breve criada pelo procedimento legislativo adequado.

Há diferenças específicas apresentadas pela LGPD que parecem ter aprimorado o texto-base, não no sentido de beneficiar uma ou outra parte envolvida no tratamento de dados pessoais, mas sim, no intuito de reduzir inseguranças jurídicas e dificuldades de aplicação da norma.

Um primeiro ponto foi a exclusão da LGPD (veto presidencial aos incisos VII, VIII e IX do art. 52) das penalidades de suspensão e proibição definitiva da condução de atividades de tratamento de dados pessoais, previstas no art. 58.2 (f) do GDPR.

Tais penalidades gerariam, segundo as justificativas apresentadas, sérios problemas de aplicação, como, por exemplo, a dúvida de a empresa também ser obrigada a suspender o armazenamento de dados pessoais, ocasionando a eliminação de informações essenciais à continuidade de suas atividades.

O artigo 4º IV da LGPD também merece destaque por esclarecer que a norma não se aplica a tratamentos de dados pessoais provenientes de fora do Brasil, desde que não haja o acesso de agentes terceiros brasileiros a tais dados, nem transferência a um país que não o de sua procedência.

Por conta da omissão sobre o assunto no GDPR, existe uma dúvida se a norma se aplicaria a empresa de fora da EU que apenas transfere dados também coletados fora da EU para simples tratamento por operador em território europeu, sem qualquer acesso de terceiros.

Por fim, a LGPD estabeleceu que agentes estrangeiros sujeitos à norma serão notificados e intimados por meio do responsável por sua entidade estabelecida no Brasil.

Por sua vez, o GDPR, ao estabelecer, em seu artigo 27, a obrigação de agentes sujeitos à norma designarem um representante na UE com poderes para solucionar questões de titulares de dados pessoais e autoridades de proteção de dados, gera dúvidas e dificuldades de aplicação em casos em que os agentes não possuam empresas subsidiárias estabelecidas na UE.

Assim, a LGPD pode parecer, em uma primeira análise, ter apenas simplificado o GDPR, mas apresenta diferenças significativas, sendo que algumas delas a fazem, em algum grau e sob determinado ponto de vista, mais avançada do que o próprio GDPR.

Fonte: Jota