Publicação

Voltar

jul
23

Lei Geral de Proteção de Dados – tudo que você precisa saber acerca da sanção presidencial

Em 08 de julho de 2019 foi sancionada a Lei 13.853/2019, convertida pela então MP 869/2018, que altera significativamente a Lei Geral de Proteção de Dados Pessoais (“LGPD” ou “Lei nº 13.709/2018”) e, principalmente, recria a Autoridade Nacional de Proteção de Dados (“ANPD”).

Após serem propostas 176 emendas para MP 869/2018, foi criada no Congresso uma Comissão Mista, que seria responsável por debater e aprovar ou reprovar cada uma delas. Assim, foi encaminhada ao chefe do Poder Executivo a redação final da MP 869/2018, tendo o Presidente Jair Bolsonaro decidido por vetar 14 dispositivos da lei, onde é possível se destacar como principais mudanças:

(i) o veto ao parágrafo 3º do artigo 20, onde revisões de decisões automatizadas não deverão ser necessariamente realizadas por pessoas naturais. A alteração expõe uma necessidade de economia financeira para o desenvolvimento de empreendedores e pequenas empresas responsáveis por tratar dados pessoais, uma vez que a depender do volume de solicitações de revisões, geraria um custo elevado para revisão por pessoas naturais.

(ii) o veto integral ao parágrafo 4º do artigo 41, que se refere diretamente à figura do Encarregado (ou também chamado de DPO (Data Protection Officer). Com o veto, não será necessário que esta figura detenha conhecimento jurídico-regulatório para aptidão de seu cargo. Esse ponto foi vetado para que fosse evitada uma “reserva de mercado” para advogados, sendo observada também a possível autorregulação do mercado quanto a qualidade e capacidade de seus funcionários. Além disso, um trecho deste veto também diz respeito sobre a dispensa da garantia de autonomia técnica e profissional do encarregado quanto a suas funções, bem como exclui a possibilidade de empresas ou entidades do mesmo grupo econômico indicarem apenas um encarregado para desempenhar as atividades a ele inerentes.

(iii) o veto dos incisos X, XI e XII do artigo 52, os quais enfraquecem parte do chamado enforcement da lei, especificamente na parte de sanções por infrações cometidas em face dela. A parte excluída traz prejuízo às sanções de suspensão parcial e integral, por tempo determinado ou definitivo de atividades de tratamento de dados por Controladores e Operadores. O veto se justifica se observado que tais suspensões impediriam atividades essenciais dos agentes de tratamento de dados, como tratar dados de folha de pagamento das empresas.

(iv) o veto ao inciso V do artigo 55-L traz outra importante modificação da lei, uma vez que impossibilita a ANPD de cobrar emolumentos por serviços prestados, restando poucas opções para arrecadação, sendo duas delas consideradas como principais: (i) inciso I – “as dotações, consignadas no orçamento geral da União, os créditos especiais, os créditos adicionais, as transferências e os repasses que lhe forem conferidos”; e (ii) inciso VI – “os recursos provenientes de acordos, convênios ou contratos celebrados com entidades, organismos ou empresas, públicos ou privados, nacionais ou internacionais”. Ou seja, fica em aberto a questão se a ANPD conseguirá se auto sustentar apenas com repasses da União.

Não só os efetivos vetos foram motivos de discussões após a sanção da lei, mas a falta de um deles também foi considerada um ponto de atenção. A chamada popularmente de “Emenda Russomano” foi mantida no texto final da conversão em lei da MP 896/18, fazendo com que resolução de conflitos por “vazamentos” individuais possam ser conciliados diretamente entre o titular dos dados e o controlador. A crítica atinge a equivocada redação da lei, que dispõe sobre um inexiste termo técnico: “vazamento”. O termo disposto em lei traz prejuízo ao titular, uma vez que limita a responsabilização por tratamento indevido dos dados pessoais aos atos de “vazamentos”, deixando de lado outras hipóteses de violações da lei, que também seriam passíveis de responsabilização civil e administrativa. Ademais, foram mantidas as disposições alteradas pela MP 869/18 aprovada pelo Congresso após a formação da Comissão mista supracitada, entre elas:

(i) a possibilidade de se haver comunicação ou uso compartilhado entre controladores de dados de pessoais sensíveis relacionados à saúde para obter vantagem econômica, apenas nas hipóteses de prestação de serviços de saúde e de assistência farmacêutica, incluindo os serviços de diagnóstico e terapia, com benefício aos interesses dos titulares de dados para permitir casos previstos na lei, como portabilidade requisitada pelo titular, por exemplo;

(ii) a edição de normas, orientações e procedimentos simplificados e diferenciados, para as chamadas microempresas, empresas de pequenos portes e até mesmo aquelas que se autodenominem startups e empresas de inovação.

(iii) a vinculação da ANPD com a Presidência da República, podendo sua natureza jurídica ser convertida após dois anos em administração pública federal indireta, submetida a regime autárquico especial.

Ainda no que tange a MP quanto à própria criação da Autoridade Nacional de Proteção de Dados, que inicialmente foi vetada pelo ex-presidente Michel Temer, as modificações ao texto legal representam um acréscimo nas especificidades e atribuições da Autoridade. O texto visa garantir autonomia à ANPD e estabelece a composição e as respectivas atribuições do órgão regulador, além de elencar suas competências.

Como próximos passos, deve-se observar possíveis retiradas de vetos por parte do Congresso, uma vez que o texto final passará por uma revisão das casas legislativas dentro de um período de 30 dias, o que ainda pode ser motivo para muita discussão. Após, é aguardada a indicação de 5 diretores para composição da ANPD via Decreto Presidencial.