LGPD de Schrödinger: afinal, a lei está ou não em vigor?

Foto:Jimmy Yan | Shutterstock

Em mais um dia agitado, o Congresso Nacional viveu ontem (26/8) uma noite de plot twists. Após o governo conseguir articular, no laço, a aprovação na Câmara dos Deputados da MP 959/20, que adiava a vigência da Lei Geral de Proteção de Dados (LGPD), veio a reviravolta da reviravolta.

Por decisão do presidente do Senado Federal, Davi Alcolumbre (DEM/AP), o artigo que postergava a entrava em vigor da LGPD foi considerado prejudicado e impugnado, ou seja, desconsiderado e anulado da proposta. 

Passada a surpresa, veio o susto. Sem o artigo, a MP estaria em vigor ou não?

A LGPD e o gato de Schrödinger
Quando o físico austríaco Erwin Schrödinger criou um experimento mental em que imaginava se um gato dentro de uma caixa estaria vivo ou morto, buscava questionar a natureza da observação e do observador na mecânica quântica. Havia ali um paradoxo, pois, até a caixa ser aberta, a incerteza sobre a vida do pobre felino o colocaria em qualquer situação hipotética.

Após a confirmação da impugnação do artigo que postergava a vigência da LGPD, a norma passou a integrar esse campo hipotético. Afinal, sem a medida, a LGPD já teria entrado em vigor no dia 14 de agosto. Estaria a lei, então, vigorando imediatamente?

Por meio de nota de esclarecimento, o Senado buscou acabar com a dúvida. Segundo a Casa, de acordo com o § 12 do art. 62 da Constituição Federal, a lei não entraria em vigor imediatamente, mas após a sanção do projeto de lei de conversão aprovado.

No entanto, em 2019, o Supremo Tribunal Federal (STF) já havia decidido que, rejeitada a medida provisória, volta a ter eficácia a lei anteriormente vigente. Assim, a LGPD passaria a gerar efeitos imediatos.

Empresas, entidades e o Poder Executivo estão trabalhando com o entendimento proposto pelo Senado Federal, no entanto, ainda há questionamentos que podem trazer insegurança jurídica.

Sanções começam apenas em 2021
É importante lembrar que, apesar da LGPD entrar em vigor em breve (ou agora), as sanções só passarão a ser aplicadas a partir de agosto de 2021, conforme estipulado em lei publicada em junho.

ANPD e a sopa de letrinhas da proteção de dados

A Autoridade Nacional de Proteção de Dados (ANPD), é a entidade que será a principal protetora e fiscalizadora da aplicação da LGPD no Brasil. Instituída no apagar das luzes do governo Michel Temer, a autoridade ficou estacionada desde então, o que, segundo entidades e empresas ligadas ao setor de tecnologia, representaria enorme insegurança jurídica para o mercado caso a Lei de Proteção de Dados Pessoais entrasse em vigor, sem a devida composição da ANPD.

A retirada do dispositivo que adiaria a vigência da LGPD pelo Senado Federal, conforme contamos no Impressões de ontem, obrigou o Poder Executivo a desenterrar a formulação da autoridade, vinculada à Presidência, capaz de garantir o cumprimento da lei.

Decreto publicado, já temos ANPD?
A publicação do decreto nesta quinta-feira (27/8), cria a estrutura da Autoridade, porém, para que o órgão entre em ação, ainda depende da composição do Conselho-Diretor, órgão máximo da entidade, formado por cinco pessoas indicadas pelo presidente da República.

Os nomes indicados deverão ser sabatinados pelo Senado Federal, no entanto, a suspensão da análise das indicações presidenciais em razão da pandemia e redução das atividades legislativas nos próximos meses podem atrasar ainda mais a instalação da autoridade.

Além disso, a ANPD contará com um órgão consultivo, o Conselho Nacional de Proteção de Dados Pessoais e Privacidade, composto por representantes do setor e da sociedade civil. Os próximos passos para instalação deste conselho são:

• Publicação do edital de convocação dos membros, valido por 30 dias, com a indicação de um nome para a respectiva vaga, qualificação da entidade e do indicado.
• Formação, pelo Conselho Diretor, de lista tríplice com 23 titulares e 23 suplentes de representantes das entidades qualificadas no edital, a ser submetida à análise da Casa Civil da Presidência da República.
• Nomeação da lista pelo Presidente da República.

Glossário LGPD

Ainda tem dúvidas sobre os principais termos da LGPD? Leia abaixo um glossário elaborado pelo Serviço de Processamento de Dados (Serpro):

• Agentes de tratamento: o controlador e o operador
  
• Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
  
• Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
  
• Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.
  
• Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.
  
• Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
  
• Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
  
• Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
  
• Dado pessoal: informação relacionada à pessoa natural identificada ou identificável.
  
• Dado pessoal de criança e de adolescente: o Estatuto da Criança e do Adolescente (ECA) considera criança a pessoa até 12 anos de idade incompletos e adolescente aquela entre 12 e 18 anos de idade. Em especial, a LGPD determina que as informações sobre o tratamento de dados pessoais de crianças e de adolescentes deverão ser fornecidas de maneira simples, clara e acessível de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.
  
• Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
  
• Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
  
• Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
  
• Garantia da segurança da informação: capacidade de sistemas e organizações assegurarem a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação. A Política Nacional de Segurança da Informação (PNSI) dispõe sobre a governança da segurança da informação aos órgãos e às entidades da administração pública federal em seu âmbito de atuação.
  
• Garantia da segurança de dados: ver garantia da segurança da informação.
  
• Interoperabilidade: capacidade de sistemas e organizações operarem entre si. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, além dos padrões de interoperabilidade de governo eletrônico (ePING).
  
• Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
  
• Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.
  
• Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
  
• Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
  
• Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.
  
• Tratamento: toda operação realizada com dados pessoais.

A reflexão

#LGPD no Twitter

Você conta com os times de Public Affairs e Comunicação Digital em Brasília. Somos especializados em:

• mapeamento de stakeholders
• monitoramento do ambiente de poder
• pesquisas junto ao Executivo e Legislativo
• estratégias de Public Affairs
• advocacy
• soluções LGPD
• comunicação estratégica
• conteúdo para redes sociais
• comunicação digital
• monitoramento de redes sociais
• business intelligence
• treinamento de porta-vozes