O Congresso Nacional encerrou anteontem (2) a análise dos vetos presidenciais à lei 13.853/2019, que alterou em diversos pontos a Lei Geral de Proteção de Dados Pessoais (LGPD). Os parlamentares decidiram manter o veto ao § 3º do art. 20 da lei, e, deste modo, afastaram a obrigatoriedade de revisão por pessoa natural (humana) em decisões tomadas unicamente com base em tratamento automatizado de dados pessoais.
No texto original, os cidadãos (“titulares de dados”) tinham o direito de requerer tal revisão de decisão que afete seus interesses – como, por exemplo, a decisão tomada por um algoritmo sobre a concessão ou não de crédito. Embora o titular de dados continue tendo o direito a requerer a revisão de uma decisão tomada com base em tratamento automatizado de dados, agora esta revisão poderá ser feita por outro sistema automatizado.
O assunto é polêmico. No Regulamento Geral de Proteção de Dados Pessoais (GDPR), a lei inspiradora da LGPD, o titular de dados tem o direito de revisão de decisões automatizadas por pessoa natural. Por outro lado, empresas do setor de tecnologia da informação argumentam que submeter o processo de revisão de decisões a um humano implicaria em um custo maior a seu modelo de negócios. O Executivo argumentou que tal dispositivo “inviabilizará os modelos atuais de planos de negócios de muitas empresas, notadamente das startups, bem como impacta na análise de risco de crédito e de novos modelos de negócios de instituições financeiras”.
Texto da LGPD finalmente está “pronto” – Na semana passada o Congresso Nacional já havia analisado os demais vetos, mantendo a maior parte deles, mas rejeitando (isto é, reinstituindo à lei) penalidades mais gravosas a empresas que violarem a LGPD. Com isto, pela primeira vez desde a aprovação da a lei de proteção de dados, em agosto de 2018, pode-se dizer finalmente que a lei encontra-se “pronta”, com seu texto final consolidado.
Apesar da adequação à lei continuar oferecendo dificuldades (notadamente, a Autoridade Nacional de Proteção de Dados, órgão responsável por editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, continua não operacional), com a definição dos vetos e a aproximação do prazo para entrada em vigor da lei em agosto de 2020, recomenda-se às empresas que já tomem medidas iniciais para que estejam na medida do possível em compliance com as novas determinações de proteção de dados no Brasil.
