O Congresso Nacional rejeitou os vetos presidenciais referentes às sanções aplicáveis a empresas que violarem as disposições da Lei Geral de Proteção de Dados Pessoais (LGPD). Com isso, os incisos X, XI e XII do art. 52, que preveem as punições de suspensão parcial do funcionamento do banco de dados a que se refere a infração até a proibição total do exercício de atividades relacionadas a tratamento de dados, voltarão a integrar o texto da lei.
Controversas e de constitucionalidade questionável, estas punições haviam sido previstas no texto original aprovado em 2018, mas foram vetadas pelo então presidente Michel Temer; em seguida, foram novamente acrescentadas à LGPD pela Lei nº 13.853/2019, somente para ser novamente vetadas (desta vez por Jair Bolsonaro). Tanto Temer quanto Bolsonaro argumentaram, em suas razões do veto, que a possibilidade de aplicação de sanções de suspensão ou proibição do funcionamento/exercício da atividade relacionada ao tratamento de dados “gera insegurança aos responsáveis por essas informações, bem como impossibilita a utilização e tratamento de bancos de dados essenciais a diversas atividades privadas, a exemplo das aproveitadas pelas instituições financeiras, podendo acarretar prejuízo à estabilidade do sistema financeiro nacional, bem como a entes públicos, com potencial de afetar a continuidade de serviços públicos.” Com a derrubada dos vetos, estas punições passam a ser enfim previstas em lei.
De fato, é preciso lembrar que a definição de “tratamento de dados” na LGPD é muito extensa, abarcando desde a coleta e armazenamento até o uso e processamento destes dados. Deste modo, a proibição total do tratamento de dados inviabilizaria o uso de dados pessoais mesmo para a execução de atividades essenciais de uma empresa, como, por exemplo, o uso de dados pessoais dos funcionários para a realização de seu pagamento.
No entanto, outros vetos de relevância foram mantidos pelo Congresso:

• Destaca-se a manutenção do veto ao parágrafo 4º do art. 41 da Lei, que determinava que o encarregado de proteção de dados (o chamado Data Protection Officer ou DPO) deveria ser “detentor de conhecimento jurídico-regulatório e ser apto a prestar serviços especializados em proteção de dados”. Deste modo, não há, hoje, qualquer exigência específica para a posição de encarregado. O mesmo dispositivo mencionava ainda que a Autoridade Nacional regulamentaria os casos em que o operador deveria indicar encarregado, de modo que hoje cabe apenas ao controlador de dados indicá-lo.
• Manteve-se, igualmente, o veto ao inciso V do art. 55-L, que previa entre as fontes de receitas da Autoridade Nacional de Proteção de Dados a cobrança de emolumentos por serviços prestados. Assim, não se falará em cobrança de taxas pelos serviços prestados pela ANPD no momento.
• O veto ao inciso IV do art. 23, que vedava o compartilhamento de dados pessoais de cidadãos que pedissem acesso a informações públicas com base na Lei de Acesso a Informação na esfera do poder público e com pessoas jurídicas de direito privado, foi igualmente mantido.

Por fim, não foi apreciado o veto ao art. 20, § 3º (que dava ao chamado titular dos dados o direito de exigir a revisão, por pessoa natural, de decisões tomadas unicamente com base em tratamento automatizado, via computadores e algoritmos, de dados pessoais que afetem seus interesses). A argumentação presidencial é que “tal exigência inviabilizará os modelos atuais de planos de negócios de muitas empresas, notadamente das startups, bem como impacta na análise de risco de crédito e de novos modelos de negócios de instituições financeiras, gerando efeito negativo na oferta de crédito aos consumidores, tanto no que diz respeito à qualidade das garantias, ao volume de crédito contratado e à composição de preços, com reflexos, ainda, nos índices de inflação e na condução da política monetária”. A apreciação deste veto está prevista para ocorrer em 2 de outubro.