Comemoremos: a Lei Geral de Proteção de Dados (LGPD), que regulará o tratamento de dados pessoais no Brasil, chegou. Porém, ao estabelecer como nós poderemos exercer nossos direitos, ela traz em sua redação um desafio imenso. Quase impossível em termos práticos, ao determinar que o responsável pelo tratamento dos dados deverá, de modo imediato, responder à requisição do titular. A lei dá prazo de 15 dias para a resposta: "por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento".
Tomado isoladamente, esse trecho não assusta, porém temos uma lei equivalente na Europa em vigor desde 2018, o GDPR, e em maio de 2020 a Sapio Research levantou que no Reino Unido apenas 52% das requisições dos titulares de dados são atendidas dentro dos 30 dias iniciais. Lá, diferentemente daqui, o prazo é de 30 dias, prorrogáveis por mais 60 dias. Fazendo uma simples "regra de três", comparativamente, seriam otimistas míseros 26% de solicitações atendidas dentro do prazo de 15 dias da LGPD brasileira. E os 74% restantes?
Isso cria um risco iminente de uma avalanche de ações judiciais. Mais: o custo médio de uma requisição dessas é de US$ 6.330, cerca de R$ 33.000 reais. Hoje apenas as multas por descumprimento da lei estão suspensas até agosto/2021, mas todo resto passa a valer já, inclusive os direitos que geram essas requisições. Há uma falsa sensação de que "se ganhou tempo".
Precisamos discutir esses pontos urgentemente. A segurança jurídica almejada com a LGPD para os setores público e privado é peça-chave no alinhamento do Brasil em relação ao resto do mundo. Ao mesmo tempo, a garantia efetiva dos direitos de todos nós, cidadãos e titulares de dados, precisava, de fato, ser urgentemente estabelecida. Mas esse equilíbrio exige que sejam considerados todos os aspectos práticos envolvidos: técnicos e administrativos, inclusive.
A persistir como está, um único artigo da LGPD pode vir a feri-la gravemente. E com isso, uma construção de anos será comprometida. Em meio à merecida comemoração, precisamos discutir esses pontos, sob pena de termos efeitos à credibilidade da própria lei e uma oneração ainda não prevista pela grande maioria do empresariado que sequer sabe sobre a existência da LGPD.
Esse verdadeiro "Cavalo de Troia" precisa ser desmontado o quanto antes, sob pena de virarmos no final do dia troianos atacando a nós mesmos.
* Marcílio Braz é profissional em privacidade e proteção de dados, advogado e gerente de projetos em TI.
Ele participa na Rádio Jornal do Podcast LGPD na Prática