Direito Digital e Compliance

Categorias


Direito Digital e Compliance

A criação da Autoridade Nacional de Proteção de Dados (ANDP) e as alterações na LGPD

Medida Provisória nº 869 altera altera a Lei Geral de Proteção de Dados e cria a Autoridade Nacional de Proteção de Dados (ANPD).

Ricardo Córdoba BaptistaRicardo Córdoba Baptista

Apesar das dúvidas, conforme prometido, o governo publicou no dia 28 de dezembro de 2018 a Medida Provisória nº 869. A MP criou a Autoridade Nacional de Proteção de Dados (ANPD) e promoveu algumas alterações na Lei n° 13.709, de 14 de agosto de 2018, conhecida como Lei Geral de Proteção de Dados (LGPD).

A criação da Autoridade Nacional de Proteção de Dados estava prevista no texto aprovado pelo Congresso, mas o dispositivo foi vetado pela Presidência da República, sob o fundamento de inconstitucionalidade formal.

Na época, muitas críticas foram feitas ao veto, pois a existência de uma autoridade pública e independente com o objetivo de controlar a aplicação da LGDP seria fundamental para sua eficácia. No entanto, em razão do erro de procedimento, corria-se o risco dos atos emanados pela Autoridade serem colocados em xeque, já que o órgão teria sido criado de forma inadequada.

Criação da Autoridade Nacional de Proteção de Dados

Apesar da conversão em lei da Medida Provisória nº 869 estar condicionada à apreciação do Congresso Nacional no prazo de sessenta dias, prorrogável uma vez por igual período, a sua aplicação é imediata. De acordo com o texto da MP/869, a partir da sua data de publicação fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados – ANPD, órgão da administração pública federal, integrante da Presidência da República. (Art. 55-A).

A ANPD, no texto original, integraria a administração pública federal indireta e seria vinculada ao Ministério da Justiça. Sua natureza seria de autarquia especial, caracterizada por independência administrativa, ausência de subordinação hierárquica, mandato fixo e estabilidade de seus dirigentes e autonomia financeira. Na nova redação, mesmo não sendo um ente da administração pública federal indireta, a sua autonomia técnica foi assegurada (Art. 55-B).

Portanto, como já mencionado, a ANPD foi criada sem aumento de despesa, como órgão da administração pública federal, integrante da presidência da República e com autonomia técnica.

De todo modo, apesar da Autoridade ter sido criada, o fato de estar subordinada à presidência tem suscitado algumas dúvidas em relação à independência das suas decisões. A autonomia técnica não seria suficiente, faltando autonomia administrativa, financeira e institucional.

Nada impede, entretanto, que o novo governo revise e discuta com mais profundidade a MP/869.

Composição da Autoridade Nacional de Proteção de Dados

No tocante à estrutura da ANPD, a nova redação, no art. 55-C, definiu que será composta por:

I- Conselho Diretor, órgão máximo de direção;
II- Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;
III – Corregedoria;
IV – Ouvidoria;
V – Órgão de assessoramento jurídico próprio;
VI – Unidades administrativas e unidades especializadas necessárias à aplicação do disposto na lei.

O Conselho Diretor da ANDP será formado por cinco diretores, incluído o Diretor Presidente. Seus membros serão escolhidos dentre brasileiros, de reputação ilibada, com nível superior de educação e elevado conceito no campo de especialidade dos cargos (comissionados) para os quais serão nomeados, com mandato de 4 anos (Art. 55-D).

Espera-se, portanto, que as nomeações realizadas pelo Presidente da República atendam critérios objetivos, levando em consideração conhecimentos no campo da privacidade e da proteção de dados.

Ainda, no que diz respeito à Autoridade, a MP/869 trouxe dispositivos que tratam:

O Conselho Nacional de Proteção de Dados e da Privacidade contará com 23 representantes de diversos setores, como Executivo, Câmara, Senado, CNJ e sociedade civil. A participação será considerada atividade de relevante interesse público, não remunerada (Art. 58-A).

O Conselho Nacional terá caráter consultivo, sem poder sancionatório ou de investigação, auxiliando a ANPD na elaboração da Política Nacional de Proteção de Dados Pessoais e na sua atuação. Ainda, faz parte do seu escopo de atuação: a elaboração de relatórios a fim de avaliar as ações da Política Nacional; elaborar estudos, realizar debates e audiências públicas relacionadas à privacidade e proteção de dados; disseminar conhecimento sobre o tema à população em geral (Art. 58-B). Lá

Competências da Autoridade Nacional de Proteção de Dados

As competências da ANPD estão elencadas no art. 55-J da Lei nº 13.709. São elas:

Tendo em vista que a imposição de obrigações e responsabilidades traz efeitos econômicos, a ANPD, na edição de suas normas, deverá observar a exigência da mínima intervenção, assegurados os fundamentos, princípios e direitos previstos no art. 170 da CRFB/88 e na LGPD.

A ANPD deverá, ainda, articular suas atividades com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação, além de zelar pela preservação do segredo empresarial e do sigilo das informações, nos termos da lei, sob pena de responsabilidade.

Em relação às sanções, serão aplicadas exclusivamente pela ANPD. Elas prevalecerão, inclusive, no que se refere à proteção de dados, sobre competências correlatas de outras entidades ou órgãos da administração pública. Num eventual conflito de competência, por exemplo, com os órgãos de defesa do consumidor, a competência da ANPD prevalecerá (Art. 55-K). A propósito, a ANPD será o órgão central de interpretação da LGPD e do estabelecimento de normas e diretrizes para sua implementação.

Artigos da Lei Geral de Proteção de Dados que foram alterados pela Medida Provisória nº 869

Enquanto a MP/869 determinava imediata aplicação para o dispositivo que criou a ANPD, para os demais artigos, o prazo de vacatio legis foi estendido para vinte e quatro meses. Os dezoito meses previstos originalmente não seriam suficientes diante das diversas medidas técnicas e administrativas necessárias para as organizações se adequarem à lei. Sendo assim, a LGPD passará a vigorar em agosto de 2020.

Dentre as alterações, destacamos aquelas que poderão impactar na redução da proteção dos titulares de dados pessoais.

Tratamento de dados com finalidades acadêmicas

Vamos começar pela alteração do artigo 4º, II, b da LGPD. O artigo 4° visa delimitar a aplicação da lei a alguns tipos de dados. Por exemplo, no uso doméstico com fins não econômicos ela não tem aplicabilidade. De acordo com o texto original, a lei não se aplicaria aos dados coletados para finalidades acadêmicas, contudo, era de observância obrigatória os requisitos dos artigos 7º e 11, que tratam, respectivamente, sobre as hipóteses de tratamento de dados pessoais e de dados sensíveis. Com a alteração, a aplicação da LGPD para tratamento de dados com finalidades acadêmicas deixa de ser obrigatória.

Evidentemente, isso não significa que o tratamento desses dados não seguirá nenhum regramento. A Carta Magna, bem como os princípios que regem o tratamento de dados poderão muito bem harmonizar os interesses dos envolvidos.

Tratamento de dados pelo poder público

A redação original dos parágrafos 2º e 3º do artigo 4º da LGPD vedava o tratamento de dados por pessoa jurídica de direito privado nas hipóteses relacionadas à segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais, exceto em procedimentos sob tutela de pessoa jurídica de direito público.

Tais procedimentos, caso realizados, deveriam ser esclarecidos à autoridade nacional, sendo que em nenhum caso poderia haver tratamento da totalidade dos bancos de dados relacionados às hipóteses acima mencionadas.

A MP/869 flexibilizou a regra, revogando a previsão que impedia o tratamento integral dos bancos de dados. A nova redação dos parágrafos do artigo 4º permitiu às pessoas jurídicas de direito privado controladas pelo Poder Público tratá-los.

Por fim, deixou de ser necessária a requisição pela autoridade nacional de relatórios de impacto à proteção de dados, nos casos de tratamentos de dados pessoais para as quatro hipóteses do inciso III do Art. 4º.

O encarregado (Data Protection Officer – DPO)

O artigo 5º, ao longo dos seus dezenove incisos, pontua as definições dos principais termos utilizados ao longo da Lei n° 13.709 (LGPD).

A MP/869 alterou o seu inciso VIII, o qual traz o conceito de “encarregado“. No texto original, o encarregado, também conhecido como Data Protection Officer (DPO), seria uma pessoa natural, indicada pelo controlador, que atuaria como canal de comunicação entre o controlador e os titulares e a autoridade nacional. A alteração suprimiu o termo “natural”, sendo possível a indicação de uma pessoa jurídica como encarregada, por exemplo, um escritório de advocacia.

Do mesmo modo, o inciso XIX foi alterado, suprimindo o termo “indireta” da definição de autoridade nacional. Como já vimos, a Autoridade Nacional de Proteção de Dados será um órgão da administração pública, diretamente ligada à presidência.

Requisitos para o tratamento de dados pessoais

Outra flexibilização se refere à supressão dos parágrafos 1º e 2º do artigo 7º. O referido artigo lista as bases legais para o tratamento de dados pessoais não sensíveis. Os parágrafos suprimidos estabeleciam obrigação acessória de prestação de informação àqueles que fizessem uso das bases legais dos incisos II (para o cumprimento de obrigação legal ou regulatória pelo controlador) e III (pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres). Embora as bases legais para tratamento de dados pessoais dos incisos II e III so artigo 7° não dependam do consentimento do titular, este receberá menos informações sobre o tratamento dos seus dados pessoais.

Tratamento de dados pessoais no setor da saúde

No artigo 11 foi incluído inciso que possibilita compartilhar dados de saúde quando a finalidade for a adequada prestação de serviços de saúde suplementar, mesmo nos casos de obtenção de vantagem econômica. A versão original da lei vedava esse tipo de compartilhamento. Apenas admitia nos casos de portabilidade com o consentimento do titular, o que continua válido.

Com a alteração, organizações da área da saúde, como planos de saúde, poderão ter acesso a dados sensíveis. Os dados sensíveis estão relacionados à origem racial ou étnica do indivíduo, sua convicção religiosa, opinião política, dados genéticos ou biométricos, dentre outros. Será preciso ficar atento para possíveis práticas discriminatórias. No entanto, acreditamos que uma regulamentação por parte da ANPD determinará quais dados poderão ser compartilhados.

Revisão de dados pessoais

A modificação no artigo 20 da LGPD suprimiu a expressão “por pessoa natural”. A lei previa que o titular poderia requerer a revisão, por pessoa natural, de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive de decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. Os titulares continuam a ter o direito à revisão, a qual não precisará ser feita necessariamente por pessoa natural.

Comunicação e uso compartilhado de dados pessoais pelo poder público

De acordo com o comando do artigo 26 da LGPD, o uso compartilhado de dados pessoais pelo Poder Público deve atender a propósitos relacionados à execução de políticas públicas, sempre levando em consideração o respeito aos princípios de proteção de dados pessoais.

A transferência de dados pessoais às entidades privadas não é permitida, excetuadas as situações em que os dados forem publicamente acessíveis ou em que a execução descentralizada de atividade pública com fim específico e determinado exigir.

A MP/869 incluiu novas possibilidades de transferência de dados pessoais de responsabilidade do poder público para entidades privadas quando:

Com alteração do artigo 27, não haverá mais necessidade de comunicar à ANPD quando houver o compartilhamento de dados entre entes públicos e privados. O compartilhamento ainda dependerá do consentimento do titular dos dados, exceto nos casos previstos pela LGDP, por exemplo, para proteção do crédito.

Por fim, vale destacar que a alteração no artigo 29, aumentou o escopo de aplicação da ANPD, que poderá fiscalizar o tratamento de dados pessoais dos órgãos e entidades do Poder Público.

Algumas conclusões

A Medida Provisória nº 869 tem aplicação imediata, mas a sua conversão em lei está sujeita à aprovação do Congresso Nacional, na próxima legislatura, que tem início em 02 de fevereiro de 2019.

Apesar do formato da Autoridade Nacional de Proteção de Dados ser criticável, em razão da sua relativa autonomia, já que está submetida à Presidência da República, sem a existência do órgão não seria possível aperfeiçoar a proteção de dados no Brasil.

Em relação às mudanças na LGPD, houve flexibilização das operações de tratamento de dados pessoais, trazendo, principalmente, benefícios para o Poder Público na execução das suas atividades.

A LGPD (Lei 13.709/2018) é extremamente técnica. Obrigações legais trazidas pela lei atingirão diferentes organizações, grandes ou pequenas, não importa o segmento. Muitas delas convivem com problemas técnicos e operacionais nunca analisados. Apesar do prazo ampliado para as organizações se adequarem, é preciso ter consciência que um longo caminho precisará ser percorrido em busca da conformidade. É preciso, também, ter sensibilidade para compreender o cumprimento da legislação de proteção de dados não como uma mera questão de “melhores práticas”. Estamos falando de uma norma jurídica que sujeitará os seus destinatários a elevadas multas.

Advogado com pós-graduações em Direito Digital, Compliance e Segurança da Informação. Graduação em Filosofia. Certificado EXIN Data Protection Officer (PDPP). Membro da Internet Society. Faz parte do escritório Silva, Santana & Teston Advogados.

Comments 0
There are currently no comments.