A vigência contratual da LGPD

Após a decretação do estado de calamidade em razão do reconhecimento oficial, pela OMS, da pandemia do covid-19, muitas normas vêm surgindo e criando medidas para regular as situações emergenciais e transitórias nas mais diversas áreas das relações jurídicas privadas e trabalhistas.

A norma primogênita da pandemia foi a lei 13.979 de 6 de fevereiro de 2020¹, que dispõe sobre as medidas para enfrentamento da emergência de saúde pública; logo em seguida, o decreto legislativo 6 de 2020², reconhecendo a ocorrência do estado de calamidade pública, seguido por vários projetos de leis e medidas provisórias.

Nesse interim, em meio também à "pandemia legislativa", encontra-se a Lei Geral de Proteção de Dados Pessoais (LGPD), em período de vacatio legis desde 15 de agosto de 2018, estendido para 24 (vinte e quatro) meses de acordo com a medida provisória 869 de 27 de dezembro de 2018, convertida na lei 13.853 de 2019. Assim, por enquanto, temos como ponto de partida para a produção de efeitos da LGPD a data de 15 (quinze) de agosto de 2020.

Retomando a questão da pandemia, agora do covid-19, o projeto de lei 1.179/20³, já aprovado pelo Senado Federal e atualmente em trâmite na Câmara dos Deputados, dispõe sobre o Regime Jurídico Emergencial e Transitório das relações jurídicas de Direito Privado (RJET) durante o período da pandemia e, ao que convém aqui mencionar, destaca-se o artigo 20⁴ que prorroga a vacatio legis da LGPD para 01 de janeiro de 2021, com a ressalva para a vigência do capítulo sobre a fiscalização e sanções administrativas para viger somente em 1º de agosto de 2021.

Trata-se de uma solução intermediária de adiamento, com o propósito de evitar a terceira prorrogação de vigência integral da LGPD, criando um verdadeiro corpo sem alma, já que, sendo aprovado, teremos uma norma que exige conformidade, mas não tem seus meios coercitivos de aplicação.

Diante deste cenário, muito antes da aprovação da PL 1.179/20 pela Câmara dos Deputados, as empresas brasileiras vêm se preparando para estar em conformidade com a LGPD, seja realizando due diligence sobre dados pessoais, auditorias, investimentos em segurança da informação, nomeando seus encarregados (DPO), data mapping etc. Enfim, independentemente do início da vigência, certo é que a nova legislação tem causado várias mudanças de atitudes nas organizações e, dentre todas as exigências acima mencionadas, encontra-se a necessidade de revisão dos contratos com clientes e fornecedores.

De certo que as empresas que já deram o pontapé inicial para promover a adequação de suas atividades à LGPD não poderiam esperar a vigência da lei para, somente a partir de então, também revisar os contratos, notadamente, com os principais parceiros de negócios, sejam clientes ou fornecedores, de modo que, nesse interim entre a data de publicação da lei e a data de vigência, muitas empresas já se adiantaram, revisaram seus contratos e já incluíram cláusulas específicas sobre a exigência mínima de segurança da informação.

Assim, cláusulas e anexos contratuais relacionadas à segurança cibernética para proteção de tratamento de dados pessoais, exigência de plano de ação para respostas à incidentes de vazamento, exigências de nível de proteção e outras inúmeras medidas de segurança organizacional para proteção de dados pessoais, já são realidade contratual, e tem plena validade, independentemente da vigência da LGPD.

Ademais, vale dizer, muito se fala nas sanções administrativas impostas pela LGPD aos agentes de tratamento de dados em caso de cometimento de infrações, porém, importante ressaltar que os contratos também possuem suas sanções em caso de descumprimento de suas cláusulas, sendo, em determinadas situações, caso de resolução do contrato. Há algo pior do que isso em tempos crise?

Com isso, ao contrário do que se pensa, mesmo que a LGPD ainda não esteja em vigência, ou mesmo havendo mais uma prorrogação de vigência, certo é que cláusulas específicas sobre proteção de dados e segurança da informação também já estão sendo incorporadas aos contratos e, por sua vez, fazem lei entre as partes, já que os contratos existem para serem cumpridos, sendo este o brocardo do latim pacta sunt servanda.

Ainda, independentemente da LGPD, órgãos de fiscalização como o Banco Central, por meio da resolução 4.658 de 26 de abril de 2018⁵, já vêm estabelecendo a obrigação de uma política de segurança cibernética e os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, de modo prevenir vulnerabilidades a incidentes relacionados ao ambiente cibernético, e se estende a todos os prestadores de serviços.

Também se pode dizer que a proteção de dados pessoais já encontra guarida jurisdicional. Recentemente o Superior Tribunal de Justiça, em sua Terceira Turma, ao julgar o REsp 1.758.799/MG⁶ destacou que o compartilhamento de informações de banco de dados exige notificação prévia ao consumidor. Mesmo não fazendo referência à LGPD, não se ignora que a questão envolva o tratamento de dados pessoais, em especial, o armazenamento e transferência.

Com isso, verifica-se que a trajetória evolutiva de proteção de dados pessoais teve inicio com a publicação da Lei Geral de Proteção de Dados Pessoais, e já criou a cultura nas organizações empresariais, de modo que, com ou sem prorrogação de sua vigência, a cultura de proteção de dados pessoais já se encontra fartamente disseminada e prevista nos contratos comerciais e deve ser observada pelas partes, afinal, tanto a lei como o contrato são fontes de obrigações.

Em conclusão, não obstante a LGPD ainda não estar em vigência e independente da possibilidade da terceira prorrogação da sua vacatio legis, a cultura da segurança da informação já se encontra semeada nas organizações, e mesmo que ainda se relatem que a maioria das empresas ainda não está preparada para a LGPD, por outro lado, há as que já deram inicio a suas políticas internas e com seus parceiros comerciais, portanto, a atenção não deve se conter somente na LGPD, mas no sistema normativo e nos contratos.

_________

1 BRASIL. LEI 13.979, DE 6 DE FEVEREIRO DE 2020. Dispõe sobre as medidas para enfrentamento da emergência de saúde pública de importância internacional decorrente do coronavírus responsável pelo surto de 2019.

_________

*Marco Aurélio F. Yamada é advogado, mestre em Sistema Constitucional de Garantia de Direitos pela Instituição ITE-Bauru/SP, com MBA em Direito Empresarial pela Fundação Getúlio Vargas-SP. É gerente jurídico cível no escritório JBM Advogados.

*Thiago de Miranda Aguilera Campos é advogado, com especialização em Direito dos Contratos pela Fundação Getúlio Vargas/FGV e em Direito Digital pelo INSPER. Gestor e consultor sênior de equipe estratégica do escritório JBM Advogados.