Medida Provisória que altera a Lei Geral de Proteção de Dados foi publicada

Foi publicado no Diário Oficial da União, em 28 de dezembro de 2018, o texto da Medida Provısórıa n° 869, de 27 de dezembro de 2018 (“MP n° 869/18”) que, além de promover alterações na Lei  n° 13.709, de 14 de agosto de 2018, conhecida como Lei Geral de Proteção de Dados (“LGPD”) também cria a Autoridade Nacional de Proteção de Dados (“ANPD”), devendo entrar em vigor apenas em agosto de 2020, apesar da Medida Provisória ter aplicação imediata, a sua conversão em lei está condicionada à apreciação do Congresso Nacional em 120 dias.

A LGPD,  em agosto de 2018, sofreu vetos presidenciais de Michel Temer, principalmente no que se refere aos artigos 55 a 59 que constituíam e organizavam a ANPD e o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. A justificativa dada para o veto foi que houve “vício de iniciativa”, ou seja, quando um poder propõe algo que não é de sua competência, neste caso, o Congresso Nacional. Assim, a iniciativa para a criação destes órgãos deveria vir do Poder Executivo, como acaba de ser feito via Medida Provisória.

Entre as principais alterações da LGPD com a Medida Provisória, destacam-se:

– Criação da Autoridade Nacional de Proteção de Dados, que:

• Será vinculada à Presidência da República;
• Terá 5 diretores;
• Criação do Conselho Nacional de Proteção de Dados, com 23 representantes de diversos setores;
• É criada a partir do dia 28 de dezembro de 2018, com a publicação da MP.

– Alteração da vacatio legis para 24 meses. Logo, com exceção da ANPD, que deverá exercer uma função colaborativa e consultiva a partir de dezembro de 2018, a LGPD entrará em vigor em agosto de 2020;

– O encarregado, também conhecido como Data Protection Officer (“DPO”), não precisa mais ser uma pessoa natural, abrindo espaço, desta forma, para a possibilidade de indicação de pessoas jurídicas, comitês, ou grupos de trabalho, que podem exercer tais funções. Ainda, deixa clara a possibilidade de terceirização de tal serviço;

– Revogada a previsão que impedia que a totalidade dos dados pessoais de banco de dados de segurança nacional e pública fossem tratados por pessoa de direito privado, permitindo agora que as controladas pelo Poder Público possam tratá-los;

– Retirada a possibilidade de requisição de relatórios de impacto à proteção de dados no caso de tratamentos para finalidades de segurança nacional e pública, o que pode impactar obrigações de transparência pelo Poder Público;

– Obrigações de transparência e informações para o titular dos dados foram diminuídas quando o tratamento for fundamentado nas bases legais de (i) cumprimento de obrigação legal e (ii) política pública;

– Foi incluído inciso que deixa claro ser possível compartilhar dados de saúde quando a finalidade for a prestação de serviços de saúde suplementar, mesmo se houver obtenção de vantagem econômica. O que continua vetado é a comercialização simples e pura de dados de saúde (raw data);

– Não será mais necessário a revisão por pessoa natural de decisões totalmente automatizadas que afetem interesses dos titulares dos dados. Com a nova redação, os titulares continuam a ter direito à revisão, mas não necessariamente por uma pessoa natural. Atribui-se à ANPD a competência para requisitar informações, a qualquer momento, aos controladores e operadores de dados pessoais que realizem operações de tratamento de dados pessoais;

– O Art. 26 trata do uso compartilhado de dados pessoais pelo Poder Público. O § 1º trata de exceções ao compartilhamento de tais dados com entes privados, aumentando o seu rol. Com a nova redação, fica possível a transferência de dados pessoais de responsabilidade do Poder Público para entidades privadas quando: (i) o ente privado tiver indicado um encarregado; (ii) quando houver previsão legal ou em instrumentos jurídicos administrativos; (iii) quando a transferência for para fins de prevenção à fraude, segurança e integridade do titular dos dados; e (iv) dados forem publicamente acessíveis;

– As competências da ANPD foram alteradas quando comparadas com o texto enviado ao Congresso Nacional. Dentre as alterações significativas, destacam-se:

• Retirada de previsão expressa do poder de auditoria em entes privados e públicos para averiguar o cumprimento destes com as normas de proteção de dados, mantendo-se, todavia, o poder de requisição de informações e de fiscalização na hipótese de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo;
• A ANPD deverá articular-se com as autoridades reguladoras públicas (como, por exemplo, BACEN e agências reguladoras) para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação;
• Não estará mais dentre as suas obrigações elaborar a Política Nacional de Proteção de Dados Pessoais e da Privacidade, apesar de a Política ser mencionada na parte da MP que cria o Conselho Nacional de Proteção de Dados Pessoais e Privacidade;
• Haverá um fórum permanente de comunicação, inclusive por meio de cooperação técnica, com órgãos e entidades da administração pública que sejam responsáveis pela regulação de setores específicos da atividade econômica e governamental, a fim de facilitar as competências regulatória, fiscalizatória e punitiva da ANPD.

Fonte: CIO from IDG

Créditos: Pedro H. Ramos, Renato Leite Monteiro, Pamela Michelena De Marchi Gherini, Adriane Loureiro Novaes e Gabriela Tiemi Moribe

Manter-se atualizado é uma importante característica dentro da advocacia, estar atento as mudanças legislativas, entendimento jurisprudenciais, faz toda a diferença no momento de defender os interesses dos nossos clientes. Garanta a segurança jurídica da sua empresa, entre em contato.