A Lei Geral de Proteção de Dados (LGPD) estabeleceu dez princípios que devem ser observados nas atividades de tratamento de dados pessoais:

‍

1. Finalidade

2. Adequação

3. Necessidade

4. Livre acesso

5. Qualidade dos dados

6. Transparência

7. Segurança

8. Prevenção

9. Não discriminação

10. Responsabilização e prestação de contas

‍

Embora não seja compreensível o legislador destacar a boa-fé no caput do artigo da lei que dispõe sobre os princípios em vez de adicioná-la aos mesmos listados acima, a lista auxilia sobremaneira a interpretação de questões controversas que poderiam gerar ilações diversas.

Todavia, um aspecto relevante e aparentemente ignorado pelo legislador é a questão da proporcionalidade.

Segundo o princípio da legalidade, insculpido na Constituição Federal de 1988 como um dos direitos e garantias fundamentais, “ninguém será obrigado a fazer ou deixar de fazer alguma coisa senão em virtude de lei”. Dessa forma, é uma prática contumaz e comezinha na Nação brasileira a publicação de leis que obrigam a todos os indivíduos e pessoas jurídicas a cumpri-las de forma uniforme.

A propósito, o Art. 3º da Lei de Introdução às Normas do Direito Brasileiro preconiza que “ninguém se escusa de cumprir a lei, alegando que não a conhece“. É importante salientar que o termo “lei” aqui citado contextualiza o sentido amplo da norma, ou seja, inclui normas constitucionais, legais e infralegais.

Na data de elaboração desse artigo, se tomarmos como exemplo apenas as leis ordinárias federais, já são no total 14.187, sendo a última publicada em 15 de julho de 2021, dispondo sobre a autorização para que estruturas industriais destinadas à fabricação de vacinas de uso veterinário sejam utilizadas na produção de insumos farmacêuticos ativos (IFA) e vacinas contra a Covid-19 no Brasil. Assim, desde o mais humilde dos indivíduos à pessoa jurídica mais bem estruturada terão que cumprir e respeitar todas as normas que sejam criadas para governar o Estado Brasileiro, sob a esfera federal, estadual, municipal ou distrital.

O racional acima foi construído para fundamentar a importância de discutir a importância da proporcionalidade, com respeito à aplicabilidade da LGPD. Pessoas jurídicas com recursos suficientes para pagar especialistas para implementar programas de adequação à LGPD sabem que é preciso fazer um investimento razoável para conseguir atender a todas as exigências que a lei impõe.

Ao utilizar a lei europeia de proteção de dados (GDPR) como exemplo, fomos do 8 ao 80 de uma só vez. Um leigo que pretenda ler a lei e tente implementá-la, sem conhecimento jurídico, terá muita dificuldade para fazê-lo, devido à sua complexidade de interpretações e à sua aplicação ao caso concreto.

Acertadamente, o legislador excluiu da cobertura da lei o tratamento de dados pessoais realizado para fins exclusivamente particulares e não econômicos. Entretanto, o fez apenas para os indivíduos, não isentando organizações sem fins lucrativos, por exemplo. Dessa forma, ONGs, OSCIPs, associações, fundações e sociedades civis tiveram que literalmente “se virar” para adequar o tratamento de dados pessoais por seu pessoal em conformidade com a LGPD – se é que conseguiram. Adicionalmente, microempresários individuais, sociedades unipessoais, microempresas e empresas de pequeno porte, considerando o seu conceito de exercer atividade lucrativa, tiveram também que adequar o tratamento de dados pessoais por seu pessoal em conformidade com a LGPD.

As penalidades da LGPD entrarão em vigor em 1º de agosto de 2021. A situação de vulnerabilidade das pessoas jurídicas descritas no parágrafo anterior quanto à conformidade com a LGPD é assaz preocupante.

Assim, é imperioso discutir a proporcionalidade do grau de exigência quanto à conformidade que será demandada de indivíduos e pessoas jurídicas – algo que, atualmente, não tem nenhuma gradação no que concerne à conformidade com todas as exigências impostas pela LGPD.

‍