O presidente Michel Temer sancionou na tarde desta terça-feira (14) a Lei Geral de Proteção de Dados Pessoais, objeto de debate há oito anos no Congresso.

A normativa cria um marco legal para a privacidade e a proteção de dados no país. O Brasil fica com proteção semelhante à da União Europeia, que em maio sancionou o Regulamento Geral sobre Proteção de Dados Pessoais (GDPR).

O texto original (PL 53/2018) criava a ANPD (Autoridade Nacional de Proteção de Dados), um órgão fiscalizador independente, com poder de advertência e multa.

Como era esperado, Temer vetou a ANPD. O entendimento jurídico para a ação é de que o Legislativo não pode propor a estrutura e composição de um órgão a ser criado pelo Executivo.

A autoridade deve vir por meio de Medida Provisória ou projeto de lei e Temer já sinalizou que tomará uma iniciativa nesse sentido. Especialistas entendem que, sem a autoridade, a lei não tem eficácia.

Os outros vetos do projeto original foram trechos dos artigos 23, 26, 28 e 52. Todos eles envolvem como o Poder Público trata os dados pessoais. 

Foram vetadas algumas regras que impediam o compartilhamento de informações entre órgãos públicos e privados, bem como o uso compartilhado de banco de dados entre diferentes esferas do setor público. 

“Os vetos foram no sentido de proteger a administração pública, e em alguns casos essa preocupação é compreensível”, diz Fábio Pereira, sócio da área de Proteção de Dados do Veirano Advogados.

Em relação à autoridade, o advogado diz que a primeira empresa que sofresse uma sanção recorreria ao argumento de que ela é inconstitucional – o que dá mais sentido à decisão do governo em vetá-la num primeiro momento.

Para Andriei Gutierrez, gerente de Relações Governamentais da IBM, a “espinha dorsal” da lei foi mantida, e agora o debate deve focar na criação da autoridade. 

“A importância dessa autoridade é fundamental para o desenvolvimento econômico e social do Brasil nas próximas décadas. [A autoridade] vai ter que sentar com todas entidades setoriais: varejo, farmacêutica e automobilística, para que todos estejam em conformidade com a lei em 18 meses. O trabalho de educação será intenso", afirmou.

A nova lei vale para pequenas e grandes empresas privadas e públicas, e não apenas para as que coletam dados digitais.

Qualquer tipo de organização que captar e armazenar informações de cidadãos – de uma portaria de prédio a uma farmácia – deverão se adequar às normas de segurança e de proteção.

Para vários especialistas ouvidos pela Folha, os vetos fazem sentido politicamente, pois dão mais segurança ao governo. No entanto, não impediriam o funcionamento da administração pública, como foi argumentado por ministérios que solicitaram os vetos.

“A lei tem que ser analisada no texto integral e parte do texto fala que é possível processar ou tratar dados mediante o argumento do legítimo interesse. Então, me parece que na leitura global, não faz sentido jurídico, mas enxergo o receio do Planalto", diz Marcelo Crespo, da Patrícia Peck Advogados.

A lei entra em vigor em 18 meses após a sanção. A maior mudança que ela impõe é que cidadãos poderão ter acesso a informações de como seus dados são coletados, processados e armazenados em qualquer tipo de serviço. 

Fica excluído o uso de dados realizados para fins jornalísticos, artísticos, acadêmicos, de segurança pública e defesa nacional. ​

Apesar de dar segurança jurídica às empresas, que contam com dezenas de regras esparsas relacionadas à privacidade hoje no Brasil, os custos de adaptação são vistos vilões da lei.