Como era e como fica a Lei Geral de Proteção de Dados

Como era e como fica a Lei Geral de Proteção de Dados

Rony Vainzof*

31 de maio de 2019 | 13h00

Rony Vainzof. FOTO: DIVULGAÇÃO

Depois da votação na Câmara dos Deputados nesta terça-feira, 28, foi aprovada na quarta, 29, também no Senado, a MP 869/18, conforme projeto de lei de conversão (PLV) apresentado no relatório de dep. Orlando Silva e algumas emendas. Agora o texto final segue para sanção pelo Presidente da República.

Para lembrar: um resumo do processo legislativo da LGPD

· 2010: consulta pública sobre o tema pelo Ministério da Justiça (cerca de 2.500 contribuições);
· 13.5.16: consulta pública do MJ resulta no PL 5.276/16, de autoria do Poder Executivo;
· 17.3.18: caso Cambridge Analytica/Facebook;
· 25.5.18: eficácia plena do GDPR;
· 29.5.18: PL 5.276/2016 e 4.060/12 declarados prejudicados em face de Subemenda Substitutiva de Plenário (PLC 53/2018 – Orlando Silva). Texto aprovado na Câmara;
· 10.7.18: PLC 53/18 aprovado no Senado, nos termos do parecer do CAE, restando prejudicado o PLS 330/13;
· Sanção: 14/8/2018, com veto à criação da Autoridade Nacional de Proteção de Dados (ANPD), sob a alegação de um possível vício de iniciativa (Projeto de lei de iniciativa parlamentar que cria órgão ou entidade da Administração Pública atingiria o desenho de competências legislativas. Haveria, pois, inconstitucionalidade insuperável e insanável, a justificar o veto). Porém, os mais de 40 artigos que se referem diretamente a ANPD não foram vetados, felizmente;
· Publicação no Diário Oficial da União: 15/8/2018 (inicialmente com 18 meses de prazo para sua eficácia plena – vacacio legis);
· MP 869/18: 28/12/2018 (entre outras questões cria a ANPD e acrescenta mais seis meses de vacacio legis);
· Eficácia plena da LGPD: 16.08.20.

COMO ERA A MP 896/18, DE 28/12/18

Criação da Autoridade Nacional de Proteção de Dados

Quatro meses após ter sua criação vetada pela Presidência da República quando da promulgação da LGPD, a Autoridade Nacional de Proteção de Dados (ANPD) é constituída:

· Sem aumento de despesa;

· Como órgão da administração pública federal, integrante da Presidência da República;

· Assegurando a sua autonomia técnica;

· Com um Conselho Diretor da ANPD composto por cinco diretores, incluído o diretor-presidente:

· Nomeados pelo presidente da República;
· Ocupando cargo em comissão do Grupo-Direção e Assessoramento Superior – DAS de nível 5;
· Escolhidos dentre brasileiros, de reputação ilibada, com nível superior de educação e elevado conceito no campo de especialidade dos cargos para os quais serão nomeados;
· Com mandato dos membros de quatro anos, sendo os mandatos dos primeiros de dois, de três, de quatro, de cinco e de seis anos, conforme estabelecido no ato de nomeação.
· Os membros do Conselho Diretor somente perderão seus cargos em virtude de renúncia, condenação judicial transitada em julgado ou pena de demissão decorrente de processo administrativo disciplinar, cabendo ao Ministro Chefe da Casa Civil da Presidência da República instaurar o processo administrativo disciplinar e competindo ao Presidente da República determinar o afastamento preventivo, caso necessário, e proferir o julgamento.

· Com previsão de ato do Presidente da República para dispor sobre a sua estrutura regimental. Enquanto isso, recebendo apoio técnico e administrativo da Casa Civil para o exercício de suas atividades.

· Com cargos em comissão e funções de confiança remanejados de outros órgãos e entidades do Poder Executivo federal, mediante indicação do Conselho Diretor e nomeados ou designados pelo Diretor-Presidente.

· Competindo a ela, entre outras funções:

· Zelar pela proteção dos dados pessoais;
· Editar normas e procedimentos sobre a proteção de dados pessoais;
· Deliberar, na esfera administrativa, sobre a interpretação da LGPD;
· Requisitar informações aos controladores e operadores de dados pessoais;
· Implementar mecanismos para o registro de reclamações;
· Fiscalizar e aplicar sanções na hipótese de tratamento de dados realizado em descumprimento à legislação;
· Difundir na sociedade o conhecimento sobre as normas e as políticas públicas de proteção de dados pessoais e sobre as medidas de segurança;
· Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle e proteção dos titulares sobre seus dados pessoais, consideradas as especificidades das atividades e o porte dos controladores;
· Elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
· Realizar consultas públicas para colher sugestões sobre temas de relevante interesse público na área de atuação da ANPD;
· Realizar, previamente à edição de resoluções, a oitiva de entidades ou órgãos da administração pública que sejam responsáveis pela regulação de setores específicos da atividade econômica;

· Devendo, na edição de suas normas, observar a exigência de mínima intervenção.

· Coordenando suas atividades com os órgãos e entidades públicas responsáveis pela regulação de setores específicos da atividade econômica e governamental, nas correspondentes esferas de atuação, com vistas a assegurar o cumprimento de suas atribuições com a maior eficiência e promover o adequado funcionamento dos setores regulados, conforme legislação específica.

· Zelando pela preservação do segredo empresarial e do sigilo das informações.

· Com competência exclusiva para aplicar as sanções previstas na LGPD, articulando sua atuação com o Sistema Nacional de Defesa do Consumidor do Ministério da Justiça e com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais, sendo o órgão central de interpretação da LGPD e do estabelecimento de normas e diretrizes para a sua implementação.

Criação o Conselho Nacional de Proteção de Dados e da Privacidade (CNPDP)

· Composto por vinte e três representantes, titulares suplentes, dos seguintes órgãos:

· Seis do Poder Executivo federal;
· Um do Senado Federal;
· Um da Câmara dos Deputados;
· Um do Conselho Nacional de Justiça;
· Um do Conselho Nacional do Ministério Público;
· Um do Comitê Gestor da Internet no Brasil;
· Quatro de entidades da sociedade civil com atuação comprovada em proteção de dados pessoais;
· Quatro de instituições científicas, tecnológicas e de inovação; e
· Quatro de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais.

· Representantes designados pelo Presidente da República e seus suplentes indicados pelos titulares dos respectivos órgãos e entidades da administração pública.

· Mandato de dois anos, permitida uma recondução;

· Participação no CNPDP é considerada prestação de serviço público relevante, não remunerada;

· Competência, entre outras, de:

· Propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD;
· Sugerir ações a serem realizadas pela ANPD;
· Elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; e
· Disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população em geral.

Alteração da data de vigência

· Além de imediatamente criar a ANPD, a MP n.º 869/18 também adia a vigência da LGPD para agosto de 2020, antes determinada para fevereiro de 2020. A alteração adiciona seis meses ao prazo de vacatio legis e, consequentemente, de adequação à lei – uma das maiores preocupações de empresas e entidades que se encontram no processo de adequação às novas regras de proteção de dados.

Demais alterações à Lei

Além do destacado acima, a MP n.º 869/18 fez outras pontuais alterações ao texto da LGPD. Abaixo destacamos as mais relevantes modificações:

· DPO: Não existe mais a restrição a que o Encarregado seja pessoa física;

· Tratamento para fins acadêmicos: Não se exige mais base legal para tratamento de dados pessoais para fins acadêmicos, sendo adicionada exceção expressa à aplicação da lei;

· Tratamento de dados para investigações pelo setor privado: o tratamento de dados pessoais realizados exclusivamente para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais pode ser realizado também por pessoas de direito privado, desde que controladas pelo Poder Público e não necessita ser especificamente informado à Autoridade Nacional;

· Compartilhamento de dados sensíveis da área da saúde: é possível a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica (além dos casos de portabilidade quando consentido pelo titular), se a comunicação é necessária para a adequada prestação de serviços de saúde suplementar;

· Decisões automatizadas: a revisão das decisões tomadas unicamente com base em tratamento automatizado de dados pessoais não precisa mais ser feita por pessoa natural;

· Poder público: foram alargadas as possibilidades de transferências a entidades privadas de dados pessoais constantes de bases de dados do Poder Público; e a comunicação ou uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa jurídica de direito privado não precisa mais ser informada à Autoridade Nacional.

COMO FICA A LGPD (MP 869/18 e PLV 7/19)?

Conforme redação final da Medida Provisória n.º 869/18, e do Projeto de Lei de Conversão n.º 7 de 2019, que alteram a Lei n.º 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados; e dá outras providências, segue o que muda na LGPD (ainda pendente de sanção presidencial). O restante permanece igual, conforme redação original da MP 869/18.

Área da saúde

· Na base legal de tutela de saúde, exclusivamente, em procedimento realizado por profissionais de saúde ou autoridade sanitária, acrescenta-se também os profissionais de serviços de saúde;

· Na vedação já existente da comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, há exceção para hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o disposto abaixo, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir: a portabilidade de dados quando solicitada pelo titular; ou as transações financeiras e administrativas resultantes do uso e da prestação dos serviços;

· Veda-se às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.

Tratamento de dados pessoais cujo acesso é público ou tornados manifestamente públicos pelo titular

· Poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos na Lei.

Decisões automatizadas

· A revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade, deverá ser realizada por pessoa natural.

Requerentes de acesso à informação

· No âmbito da Lei n.º 12.527/11, passam a ter proteção e preservação de seus dados pessoais, vedado seu compartilhamento na esfera do poder público e com pessoas jurídicas de direito privado.

Encarregado (DPO)

· Deverá ser detentor de conhecimento jurídico-regulatório e ser apto a prestar serviços especializados em proteção de dados;

· A ANPD também regulamentará: os casos em que o operador deverá indicar encarregado; a indicação de um único encarregado, desde que facilitado o seu acesso, por empresas ou entidades de um mesmo grupo econômico; a garantia da autonomia técnica e profissional no exercício do cargo.

Sanções

· Acrescenta-se a possibilidade de suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; de suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; de proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

· As novas sanções previstas, dispostas acima, serão aplicadas somente após já ter sido imposta ao menos uma das sanções já anteriormente previstas na Lei, como advertência, publicização da infração, bloqueio ou eliminação de dados pessoais, para o mesmo caso concreto; e em caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias, ouvidos esses órgãos.

· O produto da arrecadação das multas aplicadas pela ANPD, inscritas ou não em dívida ativa, será destinado ao Fundo de Defesa de Direitos Difusos.

· Vazamentos individuais ou os acessos não autorizados poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades.

Autoridade Nacional de Proteção de Dados (ANPD)

· A natureza jurídica da ANPD é transitória e poderá ser transformada pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República.

· A avaliação quanto à referida transformação deverá ocorrer em até dois anos da data da entrada em vigor da estrutura regimental da ANPD.

· O provimento dos cargos e das funções necessários à criação e à atuação da ANPD está condicionado à expressa autorização física e financeira na lei orçamentária anual e à permissão na lei de diretrizes orçamentárias.

· Além da autonomia técnica, agora também está assegurada a autonomia decisória à ANPD.

· Os membros do Conselho Diretor da ANPD serão escolhidos pelo Presidente da República e por ele nomeados, mas agora após aprovação pelo Senado Federal, nos termos da alínea f do inciso III do art. 52 da Constituição Federal.

· Ainda é de competência do Presidente da República determinar o afastamento preventivo dos membros do Conselho Diretor, mas agora somente quando assim recomendado pela comissão especial.

· O Conselho Diretor disporá sobre o regimento interno da ANPD.

· Competência da ANPD, com os seguintes acréscimos ou alterações:

· Zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos;
· Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
· Apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;
· Dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial;
· Solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei;
· Além de editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, também sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;
· Ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;
· Arrecadar e aplicar suas receitas e publicar, em relatório de gestão, o detalhamento de suas receitas e despesas;
· Realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público;
· Celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos;
· Editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei;
· Garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento;
· Deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos.

· Os regulamentos e as normas editados pela ANPD deverão ser precedidos de consulta e audiência públicas, bem como de análises de impacto regulatório.

· Agora há previsão expressa sobre a forma de receita da ANPD:

· As dotações, consignadas no orçamento geral da União, os créditos especiais, os créditos adicionais, as transferências e os repasses que lhe forem conferidos;
· As doações, os legados, as subvenções e outros recursos que lhe forem destinados;
· Os valores apurados na venda ou aluguel de bens móveis e imóveis de sua propriedade;
· Os valores apurados em aplicações no mercado financeiro das receitas;
· O produto da cobrança de emolumentos por serviços prestados;
· Os recursos provenientes de acordos, convênios ou contratos celebrados com entidades, organismos ou empresas, públicos ou privados, nacionais ou internacionais;
· O produto da venda de publicações, material técnico, dados e informações, inclusive para fins de licitação pública.

Conselho Nacional de Proteção de Dados e da Privacidade (CNPDP)

· Composição:

o De seis para cinco do Poder Executivo federal;
o De quatro para três de entidades da sociedade civil com atuação relacionada a proteção de dados pessoais;
o De quatro para três de instituições científicas, tecnológicas e de inovação;
o Três de confederações sindicais representativas das categorias econômicas do setor produtivo;
o De quatro para dois de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais;
o Dois de entidades representativas do setor laboral.

Há década se discutia no Brasil um marco legal em proteção de dados pessoais, diante da sua relevância para o nosso país, principalmente para trazer maior segurança jurídica mediante a harmonização de conceitos, elevando a proteção aos direitos individuais das pessoas e ao fomento da economia digital, bem como, com um nível de legislação compatível com outros países, da facilitação ao fluxo de transferência internacional de dados.

A Autoridade era o elo faltante para a sistemática de proteção de dados trazida pela LGPD.

Se não no modelo ideal de completa independência, ao menos ela está confirmada em uma versão transitória e necessária para gerar os parâmetros efetivos de adequação à Lei, ainda durante o seu período de implementação (eu espero).

Ademais, um cuidado que se deve ter, é que a Autoridade de Proteção de Dados, sob pena de ausência de confiança do mercado, priorize um engajamento construtivo com a iniciativa privada, no seguinte sentido:

· Ao invés de inquisição e sanção, dar prioridade ao diálogo, apoio, mutua cooperação, orientação, conscientização e informação;

· Estimular relações abertas e construtivas com negócios que lidem com dados pessoais, primando pela boa-fé das empresas e nos seus esforços em cumprir a lei;

· Criação de ambientes para inovações responsáveis, como “Regulatory Sandboxes”, nos quais novos projetos são testados em atmosferas controladas visando avaliar eventuais e futuras necessidades regulatórias, conforme o caso, mas a posteriori;

· Empresas que se esforcem em agir de forma responsável, sejam encorajadas a demonstrar seus programas de privacidade, segurança da informação, códigos de conduta e gerenciamento de risco, visando gerar o reconhecimento do mercado por suas boas práticas, incluindo certificações, entre outros padrões de accountability;

· As sanções devem ser a ultima ratio, principalmente e somente quando houver alguma violação dolosa, ou práticas exponencialmente negligentes, condutas reiteradas ou extremamente graves.

Portanto, é com grande satisfação que vejo a confirmação da MP 869/18, com as respectivas alterações, buscando um equilíbrio entre interesses sociais e econômicos, entre o público e o privado, entre liberdade, proteção e segurança, buscando tutelar, ao mesmo tempo, a proteção de dados pessoais, a dignidade da pessoa humana, a privacidade, a honra e a imagem das pessoas, assim como a livre iniciativa e o uso econômico dos dados, de forma legítima, séria, responsável, proporcional e razoável.

*Rony Vainzof é sócio do Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados, mestre em Soluções Alternativas de Conflitos, coordenador e professor da pós-graduação em Direito Eletrônico da Escola Paulista de Direito e diretor do Departamento de Defesa e Segurança da Fiesp

Tendências: