Foi sancionado com vetos relevantes, em 8 de julho de 2019, pelo Presidente da República, o Projeto de Lei de Conversão n. 7/2019, oriundo da Medida Provisória n. 869/2018, que altera a Lei Geral de Proteção de Dados e cria a Autoridade Nacional de Proteção de Dados (“ANPD”).

A criação da ANPD era considerada como elemento imprescindível para o desenvolvimento de uma estrutura regulatória de proteção de dados e privacidade clara e específica, em especial pela sociedade cada vez mais movida por meio de tratamento de dados pessoais.

Assim, com o propósito de auxiliar nossos clientes a compreenderem os principais aspectos da lei de conversão, a equipe de Direito Digital do Gomes Altimari Advogados, preparou este material elucidativo.

ANPD:

• será criada como órgão da administração pública federal, integrante da Presidência da República (Art. 55-A, LGPD);
• será responsável por zelar, implementar e fiscalizar o cumprimento da legislação em todo o território nacional (Art. 5, XIX, LGPD);
• terá natureza jurídica transitória, podendo ser transformada pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República;
• competências diversas: zelar pela proteção de dados; segredos comerciais e industriais; elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo; promover na população o conhecimento das normas e das políticas públicas sobre o assunto; estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados; editar normas, orientações e procedimentos simplificados e diferenciados para empresas que se autodeclarem startups ou de inovação, e entre outras melhor especificadas nos incisos do artigo 55-J, da LGPD;
• terá autonomia financeira, tendo como receitas as dotações consignadas no orçamento geral da União;
• os valores arrecadados com as multas aplicadas serão destinados ao Fundo de Defesa de Direitos Difusos.

Espera-se, desse modo, que a ANPD exerça as suas competências de forma independente e autônoma, com o objetivo de atender um nível de proteção adequado, além de aderir aos padrões internacionais de proteção de dados para facilitar a transferência internacional de dados. Trata-se de exigência estampada no Regulamento Geral de Proteção de Dados da União Europeia (GDPR).

Por outro lado, mostra-se relevante destacar as seguintes alterações:

•  Encarregado de dados pessoais: inicialmente, seria necessário indicar um encarregado com “conhecimento jurídico-regulatório” e aptidão para prestar serviços especializados em proteção de dados.

Tal exigência foi vetada sob o argumento de que a exigência do conhecimento jurídico-regulatório configuraria um rigor excessivo.

• O encarregado atuará como intermediador ou canal de comunicação entre o controlador, a ANPD e os titulares dos dados;
• O encarregado pode ser tanto pessoa jurídica, como pessoa natural, abrindo, assim, espaço para prestadores de serviço especializados (data protection officer as a service);
• Dados públicos: os dados pessoais disponíveis publicamente (tornados públicos pelo próprio titular ou disponibilizados por ente público) encontram-se protegidos pela LGPD e, consequentemente, a seu tratamento está sujeito aos dez princípios previstos na lei. Contudo, a MP 869/218 prevê nova hipótese para o tratamento dos referidos dados, podendo realizar o tratamento posterior para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento, os princípios, os fundamentos da LGPD, além da preservação dos direitos do titular (art. 7º, § 7º da LGPD).
• Revisão de decisões automatizadas: o titular dos dados terá direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesseis, como exemplo, mas não se limitando a perfil de consumo e de crédito. Isso significa dizer, então, que, em razão do veto previsto nesta nova lei, não será necessário que a revisão seja feita exclusivamente por pessoa natural.

Segundo as razões do veto, a revisão humana de decisão automatizada contraria o interesse público, já que poderia inviabilizar os modelos atuais de negócios, impactando, inclusive, a análise de risco de crédito.

• Sanções: o veto engloba, também, as três penalidades mais gravosas, originalmente previstas na LGPD: suspensão parcial do funcionamento do banco de dados pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; a suspensão do exercício da atividade de tratamento a que se refere a infração pelo período máximo de 6 meses; e a proibição parcial ou total do exercício das atividades relacionadas a tratamento de dados.

De acordo com as razões do veto, tais sanções causariam insegurança aos responsáveis por essas informações, além de impossibilitar a utilização e tratamento de bancos de dados essenciais a diversas atividades privadas e à continuidade de serviços públicos.

Diante do exposto, faz-se necessário destacar que os vetos ainda podem ser derrubados pelo Congresso Nacional e será necessário um decreto para estruturar a ANPD. Os cinco membros do Conselho Diretor da ANPD serão escolhidos pelo Presidente da República e serão sabatinados pelo Senado Federal.

Lucas Colombera (lucas@gomesaltimari.com.br)

Este material foi elaborado para fins de informação e debate e não deve ser considerado uma opinião legal para qualquer operação ou negócio específico.