Quem acompanha de perto as estratégias políticas predominantes em nosso país sabe que, há vários anos, se tornou hábito sancionar pacotes de medidas provisórias no término de mandato presidencial ou final de ano letivo.
Portanto, não chegou a ser surpresa a edição da Lei de Proteção de Dados Pessoais – LGPD, Lei 13.709/18 – via a publicação da Medida Provisória 869 em 28/12/2018, que trouxe novidades relevantes àquelas organizações ou pessoas físicas que são alvo da lei.
A MP 869/18 teve por objetivo preencher uma lacuna importantíssima, decorrente do veto presidencial que revogou a criação da Agência Nacional de Proteção de Dados – ANPD. A justificativa do veto era que o Poder Legislativo não tinha poderes para propor a criação de uma autarquia vinculada ao Ministério da Justiça que por sua vez exercesse suas atividades com independência orçamentária.
Daí a fórmula estratégica adotada na Medida Provisória foi modificar a vinculação hierárquica do órgão, mudando o conceito original para vinculá-lo diretamente à Presidência da República, sem aumento de despesas para a União e com autonomia técnica.
Essa escolha indubitavelmente afetará a autonomia, independência e as decisões de caráter essencialmente técnico inerentes ao tema em relação ao conceito previsto na primeira versão da Lei de Proteção de Dados Pessoais. Fica no ar uma dúvida: até que ponto uma futura decisão política da Presidência da República poderá suplantar uma análise técnica e independente sobre o escopo da LGPD?
Em outras palavras, a vinculação direta com a Presidência da República, poderá diminuir o alcance do poder das decisões da ANPD, sobretudo se comparado, por exemplo, com a atuação do CADE, quanto a fixação das penalidades ou decisório sobre temas essencialmente técnicos e avessos a interesses políticos?
A formação multissetorial do Conselho Nacional de Proteção de Dados mitiga a influência do Poder Executivo sobre as decisões tomadas pela Autoridade, mas pode não ser suficiente para impedir o sufocamento da autonomia do órgão.
A ANPD não terá função apenas reguladora, mas também sancionadora das penalidades previstas quanto a violação do tratamento de dados pessoais, em busca de efetividade ao controle e fiscalização. Órgãos com funções semelhantes já existem em mais de cem países, que já haviam aprovado anteriormente ao Brasil legislações correlatas para regulamentar a coleta de dados online e offline, o tratamento e transferência internacional de dados, a privacidade, além da implantação de mecanismos de proteção que assegurem ao titular meios para exercer seus direitos e evitar o uso inadequado ou abusivo de seus dados pessoais.
Os pontos relevantes modificados pela Medida Provisória 869/2018, para aqueles que deverão se adequar à Lei Geral de Proteção de Dados Pessoais, que entrará em vigor a partir de 15 agosto de 2020, são os seguintes:
1. Aumento do prazo para adequação aos requisitos da LGPD
A exemplo do que ocorreu na União Europeia, o prazo para a vigência efetiva da LGPD, foi dilatado de dezoito para vinte e quatro meses, ou seja, as adequações necessárias deverão ser efetivadas até 15 de agosto de 2020.
2. Ampliação do escopo de aplicação da LGPD
A primeira versão da LGPD teve o escopo bem ampliado para definir quem deveria se sujeitar ao seu cumprimento. Ou seja, serão alvo da lei aqueles cuja atividade de tratamento de dados tenha por objetivo, a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional. Anteriormente o foco se restringia apenas aos dados pessoais, cujo objeto do tratamento tenha sido coletado no território nacional.
3. Mudança quanto ao perfil do encarregado da Proteção de Dados Pessoais
A MP 869/18 modificou a atribuição do perfil deste profissional, que deverá existir em todas organizações que se submeterem à LGPD. Este encarregado exercerá o cargo de representante legal para interlocução junto a ANPD além diversas atividades operacionais previstas na lei. Ao contrário do que se interpretava inicialmente, sobre qual deveria ser a relação desta figura com a empresa, restou claro que este encargo não é mais referenciado como sendo contratação como celetista ou de exclusividade de uma pessoa natural. Com as mudanças, está claro que esta atividade poderá ser terceirizada, seja para um escritório de advocacia, prestador de serviço, comitê ou até mesmo um grupo de trabalho especializado sobre o tema.
4. Autorização para que entidades privadas possam tratar dados pessoais sensíveis
A MP 869/18, revogou o trecho da LGPD que impedia que entidades privadas tratassem dados pessoais referentes a órgãos públicos, tais como: segurança pública, defesa, segurança ou atividades de investigação e repressão de infrações penais.
Algumas destas mudanças recaem sobre os dados sensíveis, que informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde ou vida sexual.
5. Flexibilização quanto ao tratamento de dados pessoais no setor da saúde
A norma também ampliou a possibilidade do tratamento de dados pessoais sensíveis na área da saúde. A versão anterior da LGPD proibia a comunicação ou o uso compartilhado de dados sensíveis do setor da saúde, com o objetivo de obter vantagem econômica, exceto com o consentimento do titular nos casos de portabilidade.
Agora, a exceção foi ampliada e passa a valer também para casos de necessidade de comunicação para a adequada prestação de serviços de saúde suplementar, ou seja, as atividades que demandem a necessária troca de dados de vários serviços públicos de saúde suplementar.
6. Alcance da atuação da Agência Nacional de Proteção de Dados
A ANPD terá atribuições para criar normas regulamentadoras da Lei Geral de Proteção de Dados, tornando-a mais efetiva, além de determinar as diretrizes específicas que atendam as necessidades de cada ramo de atividade que trata com determinadas informações pessoais de brasileiros, de acordo com sua área de prestação de serviço.
7. Exclusividade da Agência Nacional de Proteção de Dados para aplicar sanções
A ANPD atuará como o órgão central de interpretação das questões relativos à LGPD, podendo requisitar informações, relatórios sobre o tratamento de dados ou qualquer outro diligenciamento dirigido aos controladores e operadores que exerçam o tratamento de bases de dados pessoais, para exercício de suas atividades.
A agência terá exclusividade para aplicar sanções na hipótese de tratamento de dados em descumprimento à legislação, mediante processo administrativo. A Medida Provisória prevê ainda que a atuação da Agência seja articulada com o Sistema Nacional de Defesa do Consumidor e com outros órgãos e entidades ligadas ao tema de proteção de dados pessoais.
Esta exclusividade legal hoje conflitaria, com o papel exercido pelo Ministério Público, que tem atuado de forma proativa, mesmo antes da vigência da lei, para propor termos de ajustes de conduta e multas em caso de vazamento ou outros incidentes envolvendo dados pessoais.
8. A possibilidade de requisição de relatórios de impacto à proteção de dados
Segundo a versão anterior da LGPD, a Autoridade Nacional de Proteção de Dados poderia requisitar ao Poder Público ou as empresas, a apresentação de relatórios de impacto à proteção de dados, nos casos de tratamento de dados para fins públicos e de segurança. Com a nova redação, essa possibilidade deixa de existir, o que dificultará a fiscalização das atividades dos órgãos públicos ou empresas que estejam operando estes dados.
9. Obrigações quanto a transparência das comunicações para o titular dos dados nos casos de cumprimento de obrigação legal e política pública
A obrigação dos controladores de dados pessoais em informar ao titular de forma clara e transparente acerca de qualquer atividade quanto ao tratamento de dados foi reduzida. Com a mudança, não será mais necessário alertar ou buscar o consentimento do titular, quando seus dados forem tratados para fins de cumprimento de obrigação legal ou de política pública.
10. Tomada de decisões automatizadas sobre revisão de dados pessoais
O direito do titular à revisão de seus dados pessoais se mantém, mas esta atividade não demandará ser exercida obrigatoriamente por uma pessoa natural. Ou seja, poderá ocorrer atendimento sistêmico para sanar estas dúvidas.
Foi excluída a possibilidade da ANPD de conduzir auditoria, para verificação de aspectos discriminatórios no tratamento automatizado de dados pessoais. Entretanto, a autoridade poderá a qualquer momento requisitar informações acerca do assunto aos controladores e operadores.
11. Uso compartilhado de dados pessoais pelo poder público
Está preceituado na Medida Provisória, a transferência de dados pessoais de responsabilidade do Poder Público para entidades privadas. Será necessário, entretanto, que sejam atendidos os seguintes requisitos: i) o ente privado ter um encarregado; (ii) havendo previsão legal ou em instrumentos jurídicos administrativos; (iii) quando a transferência for para fins de prevenção à fraude, segurança e integridade do titular dos dados; e (iv) dados forem publicamente acessíveis.
Conclusão
Em resumo, se por um lado a MP 869/18 ampliou o prazo para a adequação à Lei de Proteção de Dados Pessoais em seis meses, por outro, a lacuna que faltava para garantir a maior efetividade do poder regulatório sobre dados pessoais em nosso país foi preenchida.
É inegável as mudanças no texto da LGPD flexibilizaram as operações envolvendo dados pessoais em vários níveis, sobretudo criando diversas vantagens para o Poder Público em suas atividades operacionais.
Ainda é duvidoso o alcance da autonomia que uma autoridade fiscalizadora de um absolutamente tema técnico, submissa a Presidência da República onde, como se sabe sempre prevalece o aspecto político como centro das decisões.
Embora a Medida Provisória 869/18 tenha aplicação imediata, sua conversão em lei, está sujeita a aprovação do Congresso Nacional no prazo máximo de 60 dias, o que significa dizer que sua aprovação será na próxima legislatura.
Sabemos que as diversas obrigações legais que estarão vigentes, afetarão inúmeras atividades operacionais de todos aqueles que se sujeitam à lei, ainda não foram nem de longe sanadas ou sequer analisadas de modo a dar início a rota pela conformidade.
Aqueles que exercem o poder decisório se tornaram alvo de possíveis sanções sobre proteção de dados pessoais tratados em suas organizações. Porém, estes ainda não foram sensibilizados sobre o tema. Sobretudo, devido a um equívoco costumeiro de confundir o assunto como sendo mais um projeto da área de tecnologia da informação. Esta premissa é falsa.
Na verdade, a adoção de medidas protetivas quanto aos dados pessoais deixou de ser uma boa prática para ser tornar obrigação legal. Estas atividades se somam a reputação na mídia digital, segurança cibernética, compliance para formar a estratégia de governança digital corporativa.
Como se sabe, governar não é atribuição operacional dos encarregados de tecnologia da informação, mas sim do board que exerce o poder decisório. Na maioria das vezes estes sequer sabem disso, a não ser que um dia uma sanção lhes venha a ser aplicada.
Isto não é um problema atinente apenas a quem exerce o poder decisório, mas também do titular de dados que sequer ainda amadureceu para conhecer de fato os seus direitos e possíveis violações.
O caminho da conformidade legal para a proteção de dados pessoais no Brasil é muito mais longo do que se imagina. Se existia um óbice legal em retardar que as empresas começassem esta rota, devido ao veto quanto a criação da Agência Nacional de Proteção de Dados pessoais, este óbice já não mais existe. O timer está ligado e o período de adequação é muito mais curto do que parece.
Você está preparado?
fonte: Congresso em Foco