Leonardo Corrêa: Um paradoxo da Lei Geral de Proteção de Dados

A Lei Geral de Proteção de Dados Pessoais (ou LGPD — Lei 13.709 de 2018) possui, grosso modo, uma estrutura legislativa que segue o modelo do Código de Defesa do Consumidor (CDC). Uma singela passada de olhos no texto legal –– comparado ao do CDC –– basta para que se chegue a essa conclusão, a inspiração filosófica é semelhante, e, sob a ótica do conteúdo, as legislações possuem dispositivos similares. Não pretendo, neste diminuto artigo, tratar dos pormenores da lei. Mas gostaria de destacar um paradoxo que me chamou a atenção.

O artigo 2º da norma em questão elenca os seus fundamentos e, dentre eles, destaca os seguintes: “V – o desenvolvimento econômico e tecnológico e a inovação; VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais”.

Quem termina a leitura por aí fica com a impressão de que também as pequenas e médias empresas, além das chamadas startups, serão, de alguma forma, protagonistas na ratio da nova lei. Digo isso pela força impactante de algumas palavras e expressões, por exemplo: “inovação”, “livre iniciativa”, “livre concorrência” e por aí vai. No entanto, ao chegar na Seção I, que trata das sanções administrativas, a boa impressão inicial é tomada por uma “ducha de água fria”. Veja-se, em prol da clareza, a redação do artigo 52, inciso II da lei:

“Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

(…)

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração”.

Feita a leitura atenta do dispositivo, vale pensar em uma situação hipotética –– mas, contudo, absolutamente verossímil. Digamos que uma empresa de informática, com faturamento anual de R$ 5 milhões (e patrimônio de uns R$ 2 milhões, repleto de bens intangíveis, fundados em direito autoral), preste serviços de tratamento de dados para uma parceira comercial, em um contrato de R$ 200 mil por ano. Importante: não estou falando de lucro, mas, sim, de faturamento (ou seja, receita bruta).

Durante a execução desse contrato de prestação de serviços, que visa o tratamento de dados sensíveis de 100 pessoas, ocorre um problema de segurança causado por um hacker. Diante disso, os dados de 100 indivíduos ficam expostos. Friso, nesse passo, uma obviedade que passou ao largo da definição de “segurança” no glossário da LGPD e do seu artigo sobre a garantia respectiva: não existe computador 100% seguro, principalmente os que estão conectados à internet.

Pois bem. Seguindo a lei à risca, na hipótese, teríamos uma multa de 2% sobre o faturamento de R$ 5 milhões, o que seria igual a R$ 100 mil. Os leitores afoitos diriam: “ora, nada demais. Isso é muito barulho por nada”. Contudo, a leitura atenta do inciso II acima transcrito termina com uma indexação alarmante, “por infração”. Desta feita, in casu, se houve vazamento dos dados das 100 pessoas objeto do contrato de prestação de serviços, a multa seria de R$ 10 milhões! Oito vezes o patrimônio da empresa! Não é difícil imaginar a consequência: bancarrota! Ressalte-se, por oportuno, que não considerei os montantes de indenizações pessoais aos indivíduos, resultantes de ações individuais. Não vislumbrei, também, os valores astronômicos que poderiam advir de uma ação civil pública sobre o fato.

Na demonstração do cálculo acima fui simplório, não contemplei, por exemplo, duas questões: o parágrafo 4º do artigo 52[1]; e o artigo 53, que dispõe: “A autoridade nacional definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções de multa”. Mostrei o pior cenário para criar o alerta necessário aos operadores do Direito e à sociedade, na consulta pública que virá, para fins de regulamentação subsequente e, inclusive, na aplicação da lei.

Nesse passo, contudo, faço uma ressalva necessária: este texto não é uma crítica à proteção da privacidade de dados pessoais, mas, sim, um alerta para consequências (externalidades) negativas não esperadas da lei. De um lado, a proteção de dados dos indivíduos; de outro, um freio no desenvolvimento econômico. A hipótese acima –– repito: totalmente verossímil –– causará um efeito imediato nas pequenas e médias empresas, consistente em um aumento do preço em razão do incremento no risco. O aumento de preço, ao seu turno, reduz a competição e promove a concentração de mercado. Para que pagar mais a uma pequena ou média empresa se uma gigante da informática oferece o mesmo serviço por montante semelhante?

Tal fato gera reflexos em toda a cadeia produtiva do país e volta-se contra alguns dos fundamentos da lei, destacados acima, criando, a bem da verdade, barreiras de mercado para pequenas e médias empresas. Além das empresas de informática, é difícil pensar em negócios da economia moderna que não contemplem dados digitais. Será, então, que uma empresa de pequeno porte precisará de um data privacy officer? Isso não parece razoável, pois o incremento nos custos de transação será bem considerável, reduzindo a competitividade. Não se trata apenas de contratar uma pessoa, mas de criar uma infinidade de controles e protocolos a serem seguidos. Isso pode sufocar o dinamismo e a velocidade, que são a marca e a vantagem competitiva das empresas de menor porte.

Mas antes fossem só essas as consequências (externalidades) negativas da LGPD. Se pensarmos nas startups de informática, como as que criaram diversos aplicativos que usamos diariamente (um exemplo estrangeiro, bem conhecido, o Waze), a consequência é uma redução no preço de venda da empresa quando ela se torna operacional, em razão do incremento no risco. Isso, por óbvio, gera desestímulo ao desenvolvimento. Afinal de contas, quanto menor é a torta, menor a disposição empreendedora.

Para reverter esse quadro, será necessário muito bom senso na aplicação de multas e, por que não dizer, nos julgamentos de demandas judiciais. O legislador, data maxima venia, não se atentou para as peculiaridades econômicas dos negócios que envolvem o processamento de dados em meio digital. Nem olhou, com o carinho devido, para um dispositivo da lei que poderia ter inspirado a LGPD (e que se espera que venha ao menos a inspirar a instituída autoridade nacional):

“Art. 4º A Política Nacional das Relações de Consumo tem por objetivo o atendimento das necessidades dos consumidores, o respeito à sua dignidade, saúde e segurança, a proteção de seus interesses econômicos, a melhoria da sua qualidade de vida, bem como a transparência e harmonia das relações de consumo, atendidos os seguintes princípios:

(…)

III – harmonização dos interesses dos participantes das relações de consumo e compatibilização da proteção do consumidor com a necessidade de desenvolvimento econômico e tecnológico, de modo a viabilizar os princípios nos quais se funda a ordem econômica (art. 170, da Constituição Federal), sempre com base na boa-fé e equilíbrio nas relações entre consumidores e fornecedores”.

Para enfatizar o contraste, vou destacar a parte mais importante: “compatibilização da proteção do consumidor com a necessidade de desenvolvimento econômico e tecnológico, de modo a viabilizar os princípios nos quais se funda a ordem econômica (art. 170, da Constituição Federal)”. O novo diploma legal, infelizmente, não contemplou essa premissa relevantíssima.

Viu-se, portanto, que o potencial danoso do artigo 52, II da LGPD –– se aplicado de forma seca e sem o devido temperamento –– é monstruoso. Espera-se, genuinamente, que a aplicação da lei –– com o paradoxo apontado –– não acabe prejudicando o desenvolvimento do país, ao privilegiar encarecimento de preços em detrimento de estímulo à inovação. Isso seria um quadro desalentador para os jovens brilhantes do Brasil, que vivem ganhando prêmios pelo mundo, graças à sua criatividade e ousadia.

Como disse Roberto Campos, em um programa Roda Viva de 1991: “dos vários ‘ários’ que existem aí, o mais importante é o empresário. (…) Operários, todos podemos ser. Funcionários, todos queremos ser. Missionários são úteis, mas eles falam na vida do além-túmulo, e nós queremos a vida corrente. O dínamo da sociedade é o empresário! Isso é um recurso natural raríssimo”. Relembradas essas palavras, manifesto minha esperança de que a LGDP não acabe castrando e desestimulando os nossos empreendedores, isso seria descompasso absolutamente paradoxal para uma lei imbuída de propósitos tão relevantes, tal qual, no passado, foi a famigerada Política Nacional de Informática (PNI), Lei 7.232 de 1984


[1] “No cálculo do valor da multa de que trata o inciso II do caput deste artigo, a autoridade nacional poderá considerar o faturamento total da empresa ou grupo de empresas, quando não dispuser do valor do faturamento no ramo de atividade empresarial em que ocorreu a infração, definido pela autoridade nacional, ou quando o valor for apresentado de forma incompleta ou não for demonstrado de forma inequívoca e idônea.”

 é sócio do Pimentel, Vega, Smilgin & Souza Advogados, graduado pela PUC-Rio, com LL.M pela University of Pennsylvania (EUA).

Fonte: Consultor Jurídico – Conjur

Posts Relacionados

Deixe um comentário