A Lei Geral de Proteção de Dados (LGPD) estabeleceu dez princípios que devem ser observados nas atividades de tratamento de dados pessoais:
1. Finalidade
2. Adequação
3. Necessidade
4. Livre acesso
5. Qualidade dos dados
6. Transparência
7. Segurança
8. Prevenção
9. Não discriminação
10. Responsabilização e prestação de contas
Embora não seja compreensível o legislador destacar a boa-fé no caput do artigo da lei que dispõe sobre os princípios em vez de adicioná-la aos mesmos listados acima, a lista auxilia sobremaneira a interpretação de questões controversas que poderiam gerar ilações diversas.
Todavia, um aspecto relevante e aparentemente ignorado pelo legislador é a questão da proporcionalidade.
Segundo o princípio da legalidade, insculpido na Constituição Federal de 1988 como um dos direitos e garantias fundamentais, “ninguém será obrigado a fazer ou deixar de fazer alguma coisa senão em virtude de lei”. Dessa forma, é uma prática contumaz e comezinha na Nação brasileira a publicação de leis que obrigam a todos os indivíduos e pessoas jurídicas a cumpri-las de forma uniforme.
A propósito, o Art. 3º da Lei de Introdução às Normas do Direito Brasileiro preconiza que “ninguém se escusa de cumprir a lei, alegando que não a conhece“. É importante salientar que o termo “lei” aqui citado contextualiza o sentido amplo da norma, ou seja, inclui normas constitucionais, legais e infralegais.
Na data de elaboração desse artigo, se tomarmos como exemplo apenas as leis ordinárias federais, já são no total 14.187, sendo a última publicada em 15 de julho de 2021, dispondo sobre a autorização para que estruturas industriais destinadas à fabricação de vacinas de uso veterinário sejam utilizadas na produção de insumos farmacêuticos ativos (IFA) e vacinas contra a Covid-19 no Brasil. Assim, desde o mais humilde dos indivíduos à pessoa jurídica mais bem estruturada terão que cumprir e respeitar todas as normas que sejam criadas para governar o Estado Brasileiro, sob a esfera federal, estadual, municipal ou distrital.
O racional acima foi construído para fundamentar a importância de discutir a importância da proporcionalidade, com respeito à aplicabilidade da LGPD. Pessoas jurídicas com recursos suficientes para pagar especialistas para implementar programas de adequação à LGPD sabem que é preciso fazer um investimento razoável para conseguir atender a todas as exigências que a lei impõe.
Ao utilizar a lei europeia de proteção de dados (GDPR) como exemplo, fomos do 8 ao 80 de uma só vez. Um leigo que pretenda ler a lei e tente implementá-la, sem conhecimento jurídico, terá muita dificuldade para fazê-lo, devido à sua complexidade de interpretações e à sua aplicação ao caso concreto.
Acertadamente, o legislador excluiu da cobertura da lei o tratamento de dados pessoais realizado para fins exclusivamente particulares e não econômicos. Entretanto, o fez apenas para os indivíduos, não isentando organizações sem fins lucrativos, por exemplo. Dessa forma, ONGs, OSCIPs, associações, fundações e sociedades civis tiveram que literalmente “se virar” para adequar o tratamento de dados pessoais por seu pessoal em conformidade com a LGPD – se é que conseguiram. Adicionalmente, microempresários individuais, sociedades unipessoais, microempresas e empresas de pequeno porte, considerando o seu conceito de exercer atividade lucrativa, tiveram também que adequar o tratamento de dados pessoais por seu pessoal em conformidade com a LGPD.
As penalidades da LGPD entrarão em vigor em 1º de agosto de 2021. A situação de vulnerabilidade das pessoas jurídicas descritas no parágrafo anterior quanto à conformidade com a LGPD é assaz preocupante.
Assim, é imperioso discutir a proporcionalidade do grau de exigência quanto à conformidade que será demandada de indivíduos e pessoas jurídicas – algo que, atualmente, não tem nenhuma gradação no que concerne à conformidade com todas as exigências impostas pela LGPD.