A lei que cria a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) foi sancionada nesta terça-feira (09), com vetos, pelo presidente Jair Bolsonaro. A ANPD será o principal órgão responsável por regulamentar, orientar, fiscalizar e aplicar sanções referentes à Lei Geral de Proteção de Dados (LGPD). A criação da Autoridade Nacional estava prevista no texto original da LGPD, mas foi vetada pelo então presidente Michel Temer, que entendeu que sua criação caberia ao Poder Executivo.
A lei de proteção de dados brasileira, inspirada na legislação europeia (GDPR), foi aprovada em 2018 e entrará em vigor completamente em agosto de 2020. No entanto, sem uma autoridade nacional em funcionamento, empresas e governos estavam tendo dificuldade em se adaptar à nova legislação (o texto da LGPD é vago em diversos pontos). A criação da ANPD permitirá enfim as empresas entender quais serão as regras e os parâmetros de aplicação da LGPD, bem como deverá dar aos cidadãos maior segurança e entendimento sobre seus direitos.
A lei sancionada ontem (Lei nº 13.853/2019) é oriunda da Medida Provisória nº 869/2018, editada ainda no governo Temer, e debatida no Congresso Nacional durante cinco meses. Ao sancionar a nova lei, Bolsonaro vetou diversos trechos – em sua maioria, trechos que foram adicionados à MP durante sua tramitação no Congresso. Pode-se destacar quatro destes:
O primeiro é o Art. 20, § 3º, que dava ao chamado titular dos dados (isto é, o cidadão) o direito de exigir a revisão de decisões tomadas unicamente com base em tratamento automatizado (via computadores e algoritmos) de dados pessoais que afetem seus interesses (por exemplo, um banco que rejeite um empréstimo a alguém com base em uma análise feita por computadores). A lei previa que tal revisão deveria ocorrer por uma pessoa física, mas isto foi vetado.
O segundo veto de destaque é o Art. 23, IV, que assegurava que cidadãos que pedissem acesso a informações públicas com base na Lei de Acesso a Informação teriam seus dados pessoais preservados.
Em relação à figura do encarregado (“DPO”), que é o responsável por administrar o fluxo de dados pessoais em uma empresa de sua coleta até seu descarte, o Art. 41, § 4º, determinava que este profissional deveria ser “detentor de conhecimento jurídico regulatório”, o que também foi vetado.
Por fim, os incisos X, XI e XII do art. 52 previam as punições de suspensão ou proibição do exercício de atividades relacionadas a tratamento de dados entre as sanções possíveis de serem aplicadas em caso de violação da lei. Curiosamente, estas punições estavam previstas no texto original da LGPD, foram vetadas por Temer, foram adicionadas novamente ao texto da MP aprovado pelo Congresso, e agora foram vetadas novamente por Bolsonaro.
Os vetos presidenciais serão novamente submetidos à apreciação do Congresso Nacional, de modo que o texto final da Lei Geral de Proteção de Dados pode passar por novas alterações.
ANPD sem independência – Por outro lado, a lei aprovada consolida diversas alterações trazidas pela MP nº 869/2018. Enquanto o texto original da LGPD propunha uma Autoridade Nacional com independência funcional e administrativa, a MP criou uma agência sem independência, vinculada diretamente à Presidência da República, o que foi mantido no texto final aprovado por Bolsonaro.
Destaca-se que isto pode vir a prejudicar empresas brasileiras, pois pode dificultar que a União Europeia e o Japão, entre outros países, reconheçam o Brasil como país com nível com proteção adequada de dados, impedindo o livre fluxo de dados internacional.
Contudo, o Congresso Nacional inseriu no texto da lei sancionada dispositivo dando à ANPD “natureza jurídica transitória”, podendo ser transformada em órgão da administração pública indireta nos próximos dois anos.
Outra alteração trazida pela lei e que foi sancionada sem vetos diz respeito ao uso de dados pessoais sensíveis (dados sobre origem racial ou étnica, convicção religiosa, opinião política, bem como dados referentes a saúde, genéticos ou biométricos) para obter vantagem econômica.
O texto aprovado permite o uso compartilhado entre controladores de dados com objetivo econômico somente se a troca de dados for necessária para “a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, (…) em benefício dos interesses dos titulares de dados”, mas proíbe que operadoras de planos privados de saúde procedam ao tratamento de dados sensíveis para praticar seleção de riscos na contratação de qualquer modalidade ou na exclusão de beneficiários.
