Um Cavalo de Tróia na LGPD

Um Cavalo de Tróia na LGPD
Podemos enfim comemorar. A Lei Geral de Proteção de Dados (LGPD) que regularáo tratamento de dados pessoais, veio enfim ao mundo (18/09). Porém ao estabelecer como todos nós poderemos exercer nossos direitos, ela traz em sua redação um desafio que oscila entre o inexequível e o temerário.

Inexequível ao determinar que o responsável pelo tratamento deverá, de modo imediato, responder à requisição do titular. Qualquer europeu que está vivenciando por lá o verdadeiro calvário que é responder tais requisições, mesmo um simples “sim/não” sobre a existência de dados em suas bases, deve estranhar nossa lei.

Temerário pois na continuação do previsto na LGPD, em princípio sem chance de prorrogação, há o prazo de 15 dias para “por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento”.

E é aí que reside mais um grande risco e problema. Tomado isoladamente, pode assim não parecer.

Apesar do ineditismo da LGPD para nós, temos uma lei equivalente na Europa em vigor desde maio de 2018, o GDPR (General Data Protection Regulation). Contextualizando, em maio de 2020, a Sapio Research levantou que no Reino Unido apenas 52% das requisições dos titulares de dados são atendidas dentro dos 30 dias iniciais. Lá, diferente daqui o prazo é de 30 dias, prorrogáveis por mais 60 dias. Fazendo uma simples “regra de três” comparativamente seriam otimistas míseros 26% de solicitações atendidas dentro do prazo da LGPD. Os 74% restantes? Um risco concreto de ações judiciais a caminho, uma vez que sequer dispõe-se nesse momento da instância administrativa da ANPD para se valer o titular, pois também está previsto na LGPD que esse tem o direito de peticionar junto a ela em relação aos seus dados contra o agente de tratamento. E os custos das potenciais ações não devem ser considerados desprezíveis nem estas, improváveis.

Some-se a isso que o custo médio de uma requisição, ainda segundo o estudo da Sapio, é de US$ 6.330, algo em torno de R$ 33.000 reais. Acrescente-se no futuro o custo das sanções, por enquanto suspensas, pois a lei como hoje está prevê que as mesmas só poderão ser aplicadas a partir de Agosto de 2021. Entretanto como se pode observar, as eventuais sanções se tornam “um mero detalhe” e o fatiamento da LGPD com a eficácia de todos os dispositivos desde já exceto os que preveem as sanções pode levar à falsa sensação que “se ganhou tempo” e não é o caso.

Talvez tenhamos uma “tempestade perfeita” surgindo no horizonte. Em meio a merecida comemoração, precisamos discutir esses pontos, sob pena de termos efeitos à credibilidade da própria lei e uma oneração ainda não prevista pela grande maioria do empresariado que sequer sabe sobre a existência da LGPD.

A segurança jurídica almejada com a LGPD para os setores público e privado é inadiável para o alinhamento do Brasil em relação ao resto do mundo. Ao mesmo tempo, a garantia efetiva dos direitos de todos nós, cidadãos e titulares de dados, precisava, de fato, ser urgentemente estabelecida.

Mas esse equilíbrio exige que sejam considerados todos os aspectos práticos envolvidos: técnicos e administrativos, inclusive.

A persistir como está, um único artigo da LGPD pode vir a feri-la gravemente. Uma construção de anos, ser comprometida.

Urge, pois, que esse verdadeiro “Cavalo de Troia” seja desmontado o quanto antes, sob pena de virarmos no final do dia troianos atacando a si mesmos.

Marcilio Braz é advogado especialista em privacidade e proteção de dados. Fundador da Privacy Academy, primeira startup parceira da IBM no Brasil em Educação e Capacitação Corporativa especializada e dedicada exclusivamente à privacidade e proteção de dados pessoais (LGPD & GDPR). Gerente de projetos em Tecnologia da Informação. Cinfira o perfil completo no LinkedIn

Conheça a formação completa EXIN Privacy Data Protection! Guides eSimulados disponíveis para

Download:

PDPE -Privacy Data Protection Essentials (base LGPD)

PDPF -Privacy Data Protection Foundation (base GDPR)

PDPP -Privacy Data Protection Practitioner (base GDPR)