A Lei 13.709/2018 (LGPD) já é uma realidade para todos nós. Talvez você não saiba, mas, embora não exista ainda uma data definida para a vigência da estrutura normativa, uma parte da legislação já está em vigor desde 28/12/2018. Expliquei essa questão dos três marcos temporais constantes do art. 65 da Lei na primeira postagem desse blog, que você pode reler aqui: "LGPD: quem está obrigado a cumprir a lei?"
Engana-se, porém, quem considera que a incerteza sobre a data da vigência dá um fôlego adicional às empresas públicas e privadas e também às pessoas físicas que precisam cumprir a lei. Esse é um erro gravíssimo de interpretação sobre o contexto atual e do qual podem resultar imediatos problemas advindos da não observância da legislação.
Explico melhor. Os principais sistemas de proteção de dados do mundo pressupõem que os agentes de tratamento não somente compreendam a lei em seus aspectos teóricos, mas, principalmente, que apliquem todos os seus comandos de forma concreta por meio da transposição das regras para dentro da sua realidade, o que se dá por intermédio da alteração de seus processos, da eliminação dos dados que não podem ser tratados e do cumprimento de todas as obrigações ditadas pela LGPD.
Para chegar-se a um razoável estado de conformidade das empresas ao que determina a legislação, há uma lógica claramente definida. E é sobre isso que vamos conversar agora.
Evidentemente, para o compliance da legislação, é preciso entender a lei. E é claro também que não é somente isso. A LGPD, assim como outras legislações, conta com um vasto sistema de normas e também com um complexo sistema de procedimentos que deverão ser adotados de forma concreta para assegurar-se com amplitude a proteção dos dados pessoais, o que é, a rigor, a razão para a própria existência da lei.
E qual o ponto de partida?
Bem, estamos tratando de uma legislação, de modo que o ponto de partida é de fato conhecer a lei. Mas temos um grande problema quanto a isso. O legislador brasileiro deixou a cargo da futura ANPD (Autoridade Nacional de Proteção de Dados) a missão de normatizar uma significativa quantidade de dispositivos. Para isso, obviamente, ela terá de emitir diretrizes e outros atos administrativos de modo a ajustar lacunas, especificar situações, definir prazos e até mesmo esclarecer alguns pontos inconsistentes e contraditórios da legislação.
E ficamos então diante de um enorme impasse. Como já iniciar a aplicação prática da LGPD nas empresas se uma boa parte dela ainda depende de esclarecimentos dessa Autoridade que já deveria ter sido nomeada mas não foi? Pois é. Esse é um tremendo desafio e é o que me levou a escrever esse texto.
Qual o melhor curso de LGPD para alcançar o sentido da lei naquilo que ainda não está definido?
É evidente que não se trata aqui de indicar um curso específico, mas, sim, as características que esse curso deverá ter para que você contorne essas dificuldades por meio da compreensão contextual da lei.
A LGPD foi construída sobre a estrutura normativa do GDPR, que é o Regulamento Europeu de Proteção de Dados. Não é propriamente um copy & paste, mas um exame superficial já revela que a organização lógica, os conceitos, os princípios e uma boa parte das regras foram literalmente replicados aqui no Brasil a partir daquele texto, que, na verdade, é também similar ao instrumento normativo que o antecedeu: a Diretiva 95/46, que agora se encontra revogada.
Ora, se a Europa conta com uma estrutura legal em proteção de dados consolidada desde 1995 e se, com as devidas distinções, nossa Lei foi construída sobre o GDPR e que, em grande parte, repetiu a Diretiva, parece intuitivo chegar-se ao sentido e aos propósitos dos dispositivos legais constantes da LGPD a partir da observação das inúmeras diretrizes e decisões judiciais referentes à matéria existentes desde ao menos 1995.
Pode ser que você esteja pensando que isso não faz o menor sentido, já que nosso sistema legal não permitiria o apoio em legislação estrangeira. Claro, para fins de fundamentação de atos judiciais aqui no Brasil, é necessário que o magistrado verifique o que efetivamente diz a lei brasileira. Mas o que estou mencionando é outra coisa: é evidente que você poderá buscar fora a interpretação que falta aqui em virtude das lacunas da lei, principalmente para promover a imediata implementação dentro das empresas.
Vou dar um exemplo concreto para ficar mais claro.
Nos artigos 33 a 36 a LGPD trata da transferência internacional de dados, que é a transferência de dados para país estrangeiro ou para organismo internacional. Uma das hipóteses que permitem a transferência internacional de dados é a que está no art. 33, II:
"II - quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de:
a) cláusulas contratuais específicas para determinada transferência;
b) cláusulas-padrão contratuais;
c) normas corporativas globais;
d) selos, certificados e códigos de conduta regularmente emitidos."
Esses protocolos exigidos não estão explicados na lei, de modo que, se você se limitar a ler o texto, não conseguirá compreender minimamente o que são as cláusulas contratuais específicas, as cláusulas-padrão contratuais e as normas corporativas globais e tampouco quais as hipóteses que determinam a escolha de um desses modelos em detrimento dos outros. Lendo a LGPD é impossível saber. Você somente compreenderia o sentido dessas regras quando a futura ANPD esclarecesse o seu sentido.
Acontece que esses protocolos são praticamente idênticos aos que já existem na Europa há pelo menos 25 anos, de forma que, em conhecendo muito bem a legislação europeia, você poderá interpretar de imediato o seu sentido e as hipóteses de aplicação.
Esse foi apenas um exemplo, mas são incontáveis as hipóteses em que isso acontece.
E o óbvio então aparece: é impossível estudar a LGPD sem conhecer a realidade legislativa europeia, sobre a qual nossa lei majoritariamente se assenta. Já mencionei que nossa lei não é idêntica à lei europeia, até porque, diferentemente do que acontece na Europa, a LGPD é sucinta e relega à autoridade muitas definições que lá certamente já constam do próprio corpo da lei.
O GDPR entrou em vigor em abril de 2016 e teve sua aplicação plena diferida para 25/05/2018. A partir dessa data, muitos países, dentre eles o Brasil, passaram a considerar relevante a aprovação de uma lei nacional de proteção de dados, até porque, sem ela, o país não pode ser considerado adequado em termos de segurança perante a União Europeia, a comprometer a lógica econômica e negocial. Além disso, em algumas circunstâncias definidas, qualquer país do mundo fica obrigado a cumprir o Regulamento Europeu, em fenômeno de extraterritorialidade.
Por causa dessa situação e dos impactos do GDPR para as empresas brasileiras, eu organizei aqui no Brasil o primeiro evento sobre o GDPR ainda em 2017, o qual aconteceu na Câmara Portuguesa de São Paulo, para, na sequência, idealizar e coordenar o primeiro curso sobre o Regulamento Europeu, que formou cerca de 700 alunos em múltiplas edições. Lançamos também o livro "Comentários ao GDPR", obra pioneira no Brasil e que segue como uma das mais vendidas em proteção de dados.
E desde então venho falando que, para atuar em proteção de dados no Brasil, é preciso seguir esse mesmo caminho, compreendendo toda a lógica europeia para alcançar o pleno sentido da LGPD e, quando aplicável, para contrastar as diferenças. No mais, mesmo no que se refere aos standards da segurança da informação, prevalecem igualmente os parâmetros e normas internacionais.
Não existe outro caminho possível. É preciso partir do início, que remonta ao período posterior à Segunda Guerra Mundial, para entender a lógica da construção da proteção de dados no mundo e a razão pela qual temos agora a nossa lei. E, para bem compreendê-la, é necessário enxergar o fio condutor desde o princípio até o momento presente, o que facilitará em muito o entendimento do motivo pelo qual o titular está no centro do palco da proteção de dados.
Essa é a única chave capaz de abrir as portas e de ligar os pontos.
E a conclusão que se segue é que o melhor curso de LGPD é o que entrega todo esse percurso, trabalhando de forma comparada os dois sistemas e reconhecendo as similitudes estruturais, bem como as distinções.
Não acredite em cursos que se propõem a ensinar aspectos práticos sem a compreensão prévia de cada uma das regras que está na legislação. Não acredite que a LGPD se resolve com software, ferramentas ou planilhas. Não acredite que a LGPD é um sistema de segurança da informação, até porque estamos falando de uma lei. Não acredite em promessas rápidas, fórmulas milagrosas, bala de prata e certificações instantâneas.
Esse tipo de coisa aconteceu na Europa antes do GDPR e os profissionais que seguiram por esses atalhos já caíram, até porque uma boa parte de suas entregas precisou ser refeita. Sendo assim, escolha sempre a trajetória do conhecimento correto e a atuação de excelência. E nunca se esqueça que a Proteção de Dados, mais do que uma moda, uma oportunidade de mercado ou uma tendência, é definitivamente um Direito Fundamental de todos nós.
UPDATE: A LGPD entrou em vigor em 18/09/20.
______________________________________________________________________________________________________________________________
