Conversão da MP 869/2018 em lei caminha no Congresso em meio a expectativas com prazos da LGPD

Mercado corre para se adequar enquanto período de vigência da norma que cria autoridade nacional de proteção de dados se aproxima do fim

Por Gabriela Freire Valente - redação@lexisnexis.com.br

A comissão mista do Congresso Nacional que trata da medida provisória que cria a Autoridade Nacional de Proteção de Dados (MP 869/2018) terá de correr para converter o texto em lei antes que o ato Executivo caduque. Com o término da vigência previsto para o final do mês de maio, a medida foi emitida em 27 de dezembro passado, no apagar das luzes do governo do ex-presidente Michel Temer (MDB), e já recebeu ao menos 176 emendas. Assim como os parlamentares, atores dos mais variados setores correm contra o tempo para se adequar às novas regras. A expectativa de especialistas consultados pelo Lexis 360 é que poucas empresas estejam em conformidade quando a nova legislação passar a valer.

A criação da Autoridade Nacional de Proteção de Dados e o sancionamento da Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018, ou LGPD) foram celebrados como um importante passo para o amadurecimento da regulação brasileira frente aos avanços tecnológicos do mercado nacional e internacional. A efetiva vigência da iniciativa, no entanto, pode acabar comprometida com a não conversão da MP 869/2018 em lei. A LGPD determina que a autoridade nacional defina sanções administrativas e a elaboração de metodologias para a aplicação de multas – que podem chegar a R$ 50 milhões, além de punições diárias por descumprimento das regras, enquanto a MP 869/2018 alterou o prazo estabelecimento para a entrada em vigor da lei (vacatio legis).

A norma prorrogou o prazo de 18 meses para 24 meses após a publicação do texto para que a legislação passasse a valer. O mercado se prepara para que as novas regras produzam efeitos a partir de agosto de 2020, mas a tramitação da MP pode forçar a revisão desse prazo. A matéria está sob relatoria do deputado Orlando Silva (PCdoB-SP) e uma reunião da comissão designada para tratar do plano de trabalho sobre o caso foi realizada nesta quarta-feira (3). O volume significativo de emendas a serem analisadas e o fato de os esforços do Congresso Nacional estarem concentrados na aprovação da reforma da previdência podem conturbar a aprovação da MP. Silva destacou o "prazo curto" na sessão do dia e propôs a realização de quatro audiências públicas, começando na próxima terça-feira (9).

Enquanto a comissão mista corre contra o tempo parra que a medida não perca vigência – o que poderia demandar a emissão de uma nova MP pelo presidente Jair Bolsonaro (PSL) – o calendário também desafia a adequação das empresas à LGDP. Rodrigo Azevedo, sócio da área de propriedade intelectual e direito digital do Silveiro Advogados, observa que as mudanças demandadas pela lei são complexas e estima que o período não será suficiente nem para as empresas que já possuem projetos de adequação em curso. “A corrida não tem sido para adequação integral em nenhuma empresa. Mas isso não significa que não se deve fazer nada porque a questão é até que ponto as empresas do seu segmento conseguem chegar em termos de adequação”, observa. “A corrida é contra o companheiro do lado”.

Daniel Farias, chefe do departamento de compliance do Instituto Nacional de Gestão de Dados, confirma a visão de que o mercado ainda está muito atrás em termos de adequação e que ainda existem muitas dúvidas sobre as necessidades em termos de processos e contratação de profissionais. Farias, porém, pondera que, mesmo que a MP não seja aprovada, o mercado já se organizou em torno das novas diretrizes. “Caso o Congresso volte atrás e não aprove a MP, haverá pressão do mercado porque a LGPD acabou criando um destaque para o cenário regulatório do país e muitas empresas estão se formando para esse mercado”, avalia. “Junto com a lei, um novo mercado e uma nova profissão estão surgindo, mas estamos vendendo um produto que nem existe ainda”.

Azevedo ressalta que o nível de sofisticação e robustez de um projeto de compliance digital varia de acordo com a necessidade de uso de dados nos diferentes segmentos da economia. Em média, o mapeamento de riscos e a adoção de políticas de proteção de dados preliminares leva nove meses para ser implementado.

Apesar dos desafios de cronograma e cultura  impostos pela LGDP, o advogado salienta que a adequação à lei é inevitável muito mais pelos riscos de mercado que a não conformidade impõe do que pela fiscalização da nova agência reguladora. “Nós sabemos que vazamentos de dados vão acontecer e, nessa hora, estamos na berlinda e precisamos mostrar que fizemos a lição de casa”, comenta.

Os primeiros passos nesse sentido já estão sendo dados por grandes corporações e multinacionais, que seguem as normas da Lei Geral de Proteção de Dados europeia, a GDPR.  Para as empresas de pequeno e médio portes, no entanto, estimar o nível de conformidade e o plano de ação mais pertinentes é uma questão mais complexa. “É um absurdo exigir um encarregado de proteção de dados [DPO, na sigla em inglês] para uma padaria”, exemplifica Azevedo. “Acredito que esse tipo de demanda seja melhor definida via regulamentação”.

Por enquanto, a LGPD não apresenta diretrizes específicas para negócios de menor porte, mas os custos financeiros e o tempo investido na questão já preocupam empreendedores. Entre as empresas de tecnologia e startups, a questão é ainda mais sensível, já que o tratamento de dados costuma estar umbilicalmente ligado à atividade desenvolvida. “Se um escritório for contratado para fazer o levantamento inicial do seu projeto, isso pode custar caro e pode demandar uma mudança no seu modelo de negócio”, alerta Farias.

O especialista, no entanto, ressalta que os riscos de ficar à margem da questão são muito maiores do que os custos e que há a expectativa de que a autoridade nacional de proteção de dados desenvolva regulações que ajudem a solucionar questões como prazos distintos de adequação de acordo com o porte de cada empresa.

Ao mesmo tempo que startups estão atentas ao risco de os custos da conformidade inviabilizarem seus negócios, a adequação é fundamental para quem busca investimentos e/ou possíveis compradores. Uma saída vislumbrada por Azevedo é que polos tecnológicos, incubadoras e aceleradoras prestem assistência às startups no que tange à proteção de dados. “A lei não pode ser vista como um freio, pois o investimento nesse sentido é o que delimita o valor dos seus ativos”, avalia. “Não se adequar significa uma exposição ao risco que nem todo investidor está disposto a correr”.

Acesso restrito. Faça seu login ou cadastre-se agora.

Este conteúdo é exclusivo para assinantes Lexis 360

Cadastre-se gratuitamente

para ter acesso por 7 dias

ou

Cadastre-se gratuitamente e tenha acesso ao Lexis 360

Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.