Nesta terça-feira, 9 de julho, foi publicada e convertida em lei (Lei nº 13.853/2019) a Medida Provisória Nº 869/2018 (MP) que altera uma série de dispositivos da Lei Geral de Proteção de Dados Pessoais (LGPD) (Lei nº 13.709/2018), e que cria a Autoridade Nacional de Proteção de Dados (ANPD), anteriormente vetada por Michel Temer.

A nova redação da MP, em debate desde fevereiro na Comissão Mista formada no Congresso Nacional, já havia sido aprovada em 28 de maio deste ano na forma de Projeto de Lei de Conversão (PLV Nº7/2019) pela Câmara dos Deputados e no dia seguinte pelo Senado Federal.

Dentre outras alterações importantes à Lei Geral de Proteção de Dados Pessoais, ressalte-se a autorização mais ampla para o tratamento de dados sensíveis relativos à saúde, incluindo, dentre o rol de autorizados a tratar dados sob a hipótese de 'tutela da saúde', não apenas os profissionais de saúde e a autoridade sanitária, como também 'serviços de saúde', conceito que não está definido no texto da LGPD. Além disso, prevê que dados publicamente acessíveis podem ser utilizados para novas finalidades diferentes das que fizeram os dados originalmente se tornarem públicos, desde que preservados os propósitos legítimos, direitos do titular e princípios estabelecidos na LGPD.

Em relação à ANPD, destacamos que a Lei estabeleceu uma natureza jurídica transitória à Autoridade. A princípio criada como um órgão da Administração Pública Federal Direta, o texto concebeu a possibilidade de sua transformação em até dois anos, pelo Executivo, em órgão da Administração Indireta, submetido a regime autárquico especial e vinculado à Presidência da República.

Tal possibilidade de mudança da natureza da ANPD é benéfica às empresas que transferem dados para a União Europeia, visto que a Regulação Europeia de Dados (GDPR) prevê como uma das exigências para considerar um país com grau de proteção adequado, a independência de suas autoridades supervisoras em relação a seu governo. Figurar como país com proteção adequada na lista da Comissão Europeia permite uma maior facilidade no cenário de transferência internacional de dados com a UE, dispensando eventuais procedimentos burocráticos envolvidos nas demais bases legais que são permitidas pela GDPR.

Embora as disposições antes mencionadas tenham sido mantidas pela lei publicada na terça feira passada, a MP encaminhada pelo Congresso Nacional também sofreu uma série de vetos pelo Presidente, dentre os quais destacamos:

  • Revisão das decisões automatizadas por pessoa natural: Foi vetado o dispositivo que previa o direito do titular em obter a revisão sobre as decisões automatizadas tomadas com base em seus dados exclusivamente por pessoa natural. Considerado pela Presidência como prejudicial a modelos de negócios atuais, especialmente de startups, o Art. 20 da LGPD passa a constar sem a obrigatoriedade de revisão de decisões automatizadas por pessoa natural, isto é, os próprios algoritmos podem rever decisões relativas a perfis pessoais, profissionais, de consumo e de crédito ou aos aspectos da personalidade do titular de dados.
  • Encarregado ou DPO: O texto original da MP previa a obrigatoriedade de o encarregado (versão brasileira do data protection officer - DPO) de deter conhecimento jurídico-regulatório para exercer suas atividades profissionais de comunicação entre agentes de tratamento, titulares de dados e a ANPD. De acordo com mensagem presidencial, tal propositura legislativa seria uma exigência excessivamente rigorosa e intervencionista do Estado afetando a discricionariedade das próprias empresas em selecionar seus quadros de empregados e, por isso, foi vetado no texto da nova Lei.
  • Lei de Acesso à Informação: A redação da MP buscava, por meio do inciso IV ao Art. 23 da LGPD, proteger e preservar dados pessoais de requerentes no âmbito da Lei de Acesso à Informação (Lei nº 12.527/2001), vedando seu compartilhamento na esfera do poder público e com pessoas de direito privado. No entanto, a inclusão do referido inciso também foi vetada pela Presidência.
  • Sanções: Originalmente, a LGPD previa as seguintes sanções administrativas em caso de descumprimento: (i) advertência; (ii) multas de até 2% do faturamento do grupo empresarial no Brasil, limitada a R$ 50.000.000,00 por infração; (iii) multa diária de até R$ R$ 50.000.000,00 por infração; (iv) publicização da infração; (v) bloqueio; e (vi) eliminação dos dados. Apesar de mantidas as sanções acima, outras previsões de sanção da MP sofreram veto. São elas: a suspensão parcial do funcionamento do banco de dados infrator, a suspensão do exercício da atividade de tratamento de dados relativa à infração, ambas, por até 6 meses prorrogáveis por igual período, e a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
  • Taxas: Por fim, ainda em relação à ANPD, o Presidente vetou o inciso V do Art. 55-L, proposto pelo Legislativo, que incluía como receita do órgão o produto da cobrança de taxas por serviços prestados. Em razão da natureza transitória da Autoridade, inicialmente de Administração Direta, o veto prevê que não haja cobrança de taxas para o desempenho das competências da Autoridade até sua transformação em autarquia.

A LGPD entra oficialmente em vigor em 16 de agosto de 2020.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.