A Lei Geral de Proteção de Dados Pessoais foi sancionada nesta quinta-feira, 17, pelo presidente Jair Bolsonaro (sem partido) e começou a valer nesta sexta-feira, 18, mas criou um grande ponto de interrogação na cabeça de milhares de brasileiros que não haviam ouvido falar sobre a nova legislação. Para começar, é básico: seus aplicativos têm pedido para que você autorize o uso de determinados dados, e os sites (brasileiros ou não) têm pedido a mesma autorização de cookies utilizados neles. Isso é, basicamente, um dos pontos da LGPD. Mesmo com a sanção, as empresas só serão penalizadas a partir de 2021.

A LGPD consiste na regulamentação da proteção de dados pessoais e privacidade dos indíviduos nas redes sociais e prevê a adoção de políticas e planos de proteção destes. Com ela, o usuário tem mais controle de para onde vão seus dados quando inseridos em determinados sites, e poderá saber o que é feito com eles. Ela é baseada do Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês) e, na prática, dá aos consumidores mais controle e às empresas mais responsabilidade na adoção práticas mais transparentes na guarda e uso de dados. O mote da LGPD e da GDPR é o mesmo: as empresas precisam de consentimento específico para o uso de dados pessoais.

Para o advogado Adriano Mendes, especialista em direito digital e sócio no escritório Assis e Mendes, a LGPD entrar em vigor nesta sexta é "como se fosse um filho há muito esperado, mas que nasceu prematuramente".

Patricia Peck, da Pires & Gonçalves Advogados Associados, afirma que o que muda com a sanção da lei é "justamente que a partir de hoje que toda instituição pública e privada já precisaria ter o seu encarregado de dados pessoais nomeado com a indicação do seu contato no site principal", que está previsto na lei. Outro ponto é que a política de proteção de dados precisaria estar publicada e atualizada. "Além disso todas campanhas eleitorais terão de respeitar a LGPD", diz Peck.

O advogado Renato Opice Blum explica que existem fases para a LGPD: a primeira prevê a coleta de dados por si só, o que inclui os novos direitos dos titulares de entender melhor o uso de seus dados, já a segunda fase se preocupa com o vazamento de dados e a transferência deles. "Teremos uma mudança muito prática na primeira fase daqueles termos de usos que a gente não lê. Agora eles devem ser muito mais simples", explica Blum.

Blum diz que o Brasil já é uma referência no mundo em termos de segurança de dados e que a sanção da lei pode ser ainda mais benéfica para a visão exterior do nosso país. Mas alguns pontos necessários não foram adotados na legislação, como a proteção de dados de crianças e adolescentes, visto que somente menciona, na realidade, a proteção dos dados infantis.

Legislação sem regulação

O motivo da afirmação acima é que a Autoridade Nacional de Proteção de Dados (ANPD), que seria constituída para "dar as regras do jogo" da nova legislação ainda não foi criada --- portanto, a lei veio antes do órgão regulatório. "Como a LGPD prevê multa de até 50 milhões de reais e cria direito para os titulares, não havendo a autoridade que protege os dados nacionais, esses direitos vão acabar sendo exercidos por pessoas físicas diretamente com os usuários, e ai vai ter uma enxurrada de ações que o órgão centralizador poderia resolver", explica Mendes em entrevista à EXAME.

Peck entende que o primeiro grande impacto da vigoração da lei sem a autoridade específica, como aconteceu em outros países, é preocupante para a interpretação do tema. "Hoje a ANPD está apenas no papel e isso significa que a gente pode começar uma legislação nesse momento com uma fiscalização difusa, pelas entidades de proteção do consumidor, porque isso foi previsto pela LGPD no artigo 18, isso quer dizer que se os titulares tiverem que peticionar para reclamar algo em relação aos seus direitos, terão de fazê-lo para as entidades que já conhecemos. Temos uma lacuna da nova autoridade que não apareceu e não assumiu seu papel, que é fundamental para dialogar com a sociedade e educá-la", explica. Peck afirma que a falta da ANPD vai causar uma discussão espalhada por autoridades dispersas em todo o Brasil e concorda com Mendes: a situação vai levar a uma judicialização dos casos.

Mendes também acredita que isso dificultará o entendimento da legislação. "Além disso, as empresas não vão saber se estão fazendo certo ou não, sem saber qual é o prazo razoável, são coisas que só a ANPD vai poder dizer na prática. Já foram mapeados mais de 53 itens que a autoridade terá de explicar para que as empresas entendam a regra do jogo. Enquanto não tivermos essa autoridade, a gente vai ter que cumprir uma lei, mas sem saber exatamente até onde ir ou como cumpri-la em seus detalhes. É muito ruim para o Brasil --- e colocamos a carroça na frente dos bois", completa.

Para Blum, a ANPD é essencial para dar segurança à legislação. "Espero que em breve o presidente nomeie os diretores e que eles possam começar as suas atividades, inclusive previstas no decreto de ciração do órgão", disse.

As pequenas, médias e grandes

Mendes também explica que "as grandes empresas já estão preparadas, não só por cumprirem as legislações de outros países, mas porque têm a capacidade de fazer as alterações em menos tempo". "Agora, aquela empresa brasileira que não começou a fazer o mapeamento vai ter uma grande dificuldade e agora vai ter que fazer em paralelo essa coleta de dados pessoais e saber que em paralelo elas devem coletar qual a finalidade disso e com quem ela compartilha e, ao mesmo tempo, compartilhar com os titulares", diz.

Os usuários agora têm direito de entrar em contato com as empresas para entenderem quais são as informações as quais elas têm acesso, com quem a empresa compartilha as informações e até mesmo pedir alterações dos dados que são compartilhados. "Não é o melhor dos mundos, mas lei não se discute, lei se cumpre", afirma. "Para mim é uma coisa super positiva, e que cria uma compliance, uma obrigação das empresas de cuidar dos dados pessoais dos usuários com regras já definidas. Seria como se fosse uma regra que obriga o restaurante a saber o que fazer com uma comida desde o momento em que ele a compra e serve na mesa do cliente. Agora as empresas que querem tratar dados pessoais vão ter de informar como conseguem os dados, o que vão fazer com eles, com quem eles vão compartilhar, e garantir que eles serão cuidados."

Em relação aos críticos que se preocupam se a lei, de alguma forma, vai cercear a liberdade de expressão do usuário, Mendes acredita que houve uma confusão em relação à lei das fake news, que também tramita no congresso. "Eu não vejo uma correlação direta entre a LGPD e a liberdade de expressão em projetos sobre isso e até as fake news, que muita gente mistura", garante.

Para Peck, as empresas não estavam preparadas para o início da LGPD. "A maioria ficou acreditando que a lei só entraria em vigor em 2021, e agora eles precisam correr e estabelecer um plano de ação emergencial para entrar na conformidade das leis", explica ele.

A ideia de Bolsonaro não era sancionar a lei tão logo. O presidente brasileiro pretendia adiar a LGPD para maio de 2021 --- mas não foi o que aconteceu. Em abril, a Medida Provisória 959 assinada pelo presidente havia adiado a sanção da legislação dos dados.

Publicada na edição extra do Diário Oficial da União, a MP 959 trata a respeito de questões relacionadas ao auxílio emergencial oferecido pelo governo através do Programa Emergencial de Manutenção do Emprego e da Renda. O objetivo é minimizar o impacto da pandemia na economia brasileira.

À época, o problema era que um dos parágrafos da MP em questão forçava a mudança do prazo inicial para a vigência da LGPD. O documento não fornecia informações sobre os motivos da alteração da data. Mas o processo foi acelerado.

O que são os dados?

Os dados abordados pela lei em questão são qualquer informação pessoal compartilhada com empresas --- como, por exemplo, seu e-mail ao fazer uma conta no Facebook ou o seu CPF em um e-commerce.

"Todos os dados pessoais do consumidor devem ser protegidos, o que significa dizer aqueles que identifiquem ou possam identificar uma pessoa natural. É um conceito amplo, que inclui desde seu nome, documentos de identidade, telefone, e-mail, fotos, vídeos, áudios, placa do carro, e todas as demais informações relacionadas a uma pessoa identificada ou identificável", afirma o advogado Felipe Palhares, do escritório de advocacia BMA - Barbosa, Müssnich, Aragão.

O histórico da LGPD

^{Por Rodrigo Loureiro}

Aprovada em 2018, a Lei nº 13.709 foi sancionada ainda no governo do presidente Michel Temer e define regras claras sobre as formas de usar e armazenar dados digitais no Brasil. As normas são baseadas no Regulamento Geral sobre a Proteção de Dados (GDPR), aprovado na Europa em 2016 e que foi implementado em 2018.