A Lei Geral de Proteção de Dados Pessoais (LGPD) foi sancionada nessa terça-feira (14) em cerimônia no Palácio do Planalto. O Brasil se tornou então o 128º país do mundo a contar com uma legislação geral sobre o tema. Embora aprovada, ela só começará a valer em 18 meses, dando assim tempo para que empresas, governos, associações e usuários possam se preparar a sua entrada em vigor em 2020.

Mas o texto aprovado pelo Presidente Temer não foi exatamente aquele que veio do Congresso Nacional. Conforme já se esperava, o Presidente vetou alguns trechos da lei. Entenda agora quais foram os principais vetos, as suas razões e consequências.

1. Autoridade Nacional de Proteção de Dados (ANPD)

Esse era o veto mais esperado e talvez o mais significativo. Faça uma busca no texto da lei conforme aprovado no Congresso Nacional e você verá que a expressão "autoridade nacional" aparece 50 (cinquenta) vezes! Sem a autoridade a fiscalização da lei e a sua interpretação ficam comprometidas.

O governo alegou que a criação da autoridade pela LGPD teria um vício de iniciativa, já que ela veio de projeto de lei do Congresso Nacional e a casa legislativa não pode criar cargos no Poder Executivo. Além disso, estamos já dentro do período eleitoral, o que gera restrições adicionais à criação da entidade.

Embora existam entendimentos que superam esses argumentos, o governo preferiu vetar a autoridade na lei. Rodrigo Maia já afirmou que, se o governo encaminhar, o Congresso Nacional apreciaria com rapidez um projeto para a criação da entidade. Na cerimônia, o Presidente anunciou que enviaria ao Congresso esse projeto de lei. Nos bastidores, todavia, fontes afirmaram que o Governo poderia até mesmo editar uma Medida Provisória.

Além dos argumentos técnicos, muita gente critica a criação da ANPD dizendo que ela será um novo "cabide de empregos" para políticos ou ainda que a herança cartorial do Brasil seria incompatível com a criação da Autoridade.

Sinceramente, a alternativa de se ter a LGPD sem a correspondente autoridade é ainda mais nociva para a realização de negócios no Brasil. Uma autoridade verdadeiramente independente e com corpo técnico qualificado (ainda que enxuto) é fundamental para que a regulação do tema não seja fracionada nas mais diversas instâncias que passarão a aplicar a lei no nível federal, estadual e municipal. A entidade exerceria assim uma função uniformizadorada, orientando a fiscalização do cumprimento da nova lei.

Além disso, a autoridade nacional poderia também oferecer orientações sobre como interpretar os dispositivos legais. Sem a Autoridade, a chance de que indivíduos comecem a judicializar os direitos que a lei nova traz e que isso comece a gerar entendimentos dos mais diferentes nos tribunais ao redor do País não é pequeno.

Como lembrou Danilo Doneda em um artigo recente, a existência de uma autoridade independente é requisito para que o Brasil tenha reconhecida a adequação de suas normas sobre o tema em comparação com o tratamento oferecido na Europa. Na América do Sul, apenas Argentina e Uruguai até hoje receberam essa chancela. A existência de uma autoridade independente também facilitaria o ingresso do Brasil na OCDE.

2. Suspensão das atividades

O presidente Temer vetou também o dispositivo que determinava a suspensão ou a proibição das atividades de tratamento de dados por parte das empresas que viessem a descumprir a legislação de proteção de dados pessoais no País. Esse veto dialoga diretamente com a experiência do Marco Civil da Internet (Lei nº 12.965/2014) e as conhecidas hipóteses de bloqueio do WhatsApp no Brasil.

No Marco Civil da Internet, o artigo 12 determina que as empresas possam ser sancionadas com a suspensão ou proibição de atos de coleta e tratamento de dados pessoais. Algumas decisões judiciais acabaram interpretando o Marco Civil no sentido de que ele permitiria a suspensão ou proibição não apenas dessas atividades, mas do funcionamento de aplicativos como um todo. Pessoalmente discordamos desse entendimento que se valeu do Marco Civil da Internet para impor bloqueios.

Para evitar a mesma controvérsia, parece que a Presidência da República entendeu por bem vetar o dispositivo. Isso não impede, vale lembrar, que juízes venham a impor a suspensão ou a proibição de atividades de coleta e tratamento de dados como medidas necessárias para cumprir as suas decisões. Esse recurso, que é facultado aos magistrados, se chama poder geral de cautela e já está previsto na legislação. Como se diz por ai, o governo está só "não dando ideia".

3. Compartilhamento de dados no setor público

Foi vetado também dispositivo que obrigava os órgãos e entidades do setor público a dar publicidade quando dados pessoais fossem compartilhados entre eles. Essa medida pode significar uma redução no grau de transparência com que dados pessoais são utilizados pelo Poder Público.

Por outro lado, foi vetado o dispositivo que permitia que o Poder Público transferisse a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso quando houvesse "previsão legal" e a transferência fosse "respaldada em contratos, convênios ou instrumentos congêneres." Era o artigo 26, §1º, II.

A primeira leitura poderia dar a entender que esse veto veio para impedir de casos como a suposta venda de dados pelo Serpro, atualmente investigada pelo Ministério Público (MP). O que o veto buscou evitar foi a conjugação desses dois requisitos para o compartilhamento de dados entre setor público e privado: a existência de lei e de contratos. Segundo consta nas razões do veto, a "cumulatividade da exigência estabelecida no dispositivo inviabiliza o funcionamento da Administração Pública, já que diversos procedimentos relativos à transferência de dados pessoais encontram-se detalhados em atos normativos infralegais, a exemplo do processamento da folha de pagamento dos servidores públicos em instituições financeiras privadas, a arrecadação de taxas e tributos e o pagamento de benefícios previdenciários e sociais, dentre outros."

No caso do Serpro, conforme nota de repúdio divulgada pela entidade sobre a investigação do MP, o compartilhamento de dados praticado pela entidade está respaldado pela Portaria 457/2016, do Ministério da Fazenda. Ao vetar a obrigação de que o compartilhamento decorra de lei, a lei de dados aparentemente não proibiria expressamente nesse dispositivo a conduta da entidade. Isso não significa, é verdade, que outros dispositivos não possam ser usados para argumentar que essa atividade fere os princípios de proteção aos dados pessoais.

Talvez nem precise ir muito longe, já que o dispositivo que foi revogado é o inciso II, do parágrafo primeiro do artigo 26. Sem ele, a redação do artigo ficou assim: Art. 26, §1º "É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto: (I) em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação); (II) vetado; e (III) nos casos em que os dados forem acessíveis publicamente, observadas as disposições desta Lei".

Dessa forma, é possível entender que seriam então essas duas hipóteses as únicas exceções em que o Poder Público poderia transferir dados de suas bases a particulares: execução descentralizada de atividade pública ou em caso de dados acessíveis publicamente. Para todas as demais situações, serve a proibição do art. 26, §1º quando ele diz que "é vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso." Como visto, a disputa pela interpretação da lei está apenas começando.

Essas são apenas primeiras impressões sobre os vetos apresentados pelo presidente na lei geral de dados pessoais. Os vetos ainda podem ser revertidos pelo Congresso Nacional. O texto da lei, conforme sancionada, deverá ser publicada na edição de 15.08.2018 do Diário Oficial.