Publicada Lei que cria a Autoridade Nacional de Proteção de Dados e traz alterações à LGPD

10 jul.2019

Foi convertida na Lei 13.853/2019, no dia 08 de julho de 2019, a Medida Provisória (MPV) nº 869/18, que instituiu a criação da Autoridade Nacional de Proteção de Dados (ANPD), responsável pela fiscalização e aplicação de sanções decorrentes da Lei Geral de Proteção de Dados (Lei n° 13.709/18).

Com o objetivo de facilitar a compreensão das alterações que a nova lei promove na LGPD, segue abaixo um resumo das principais alterações:

Lei Nacional:
A nova lei firma o caráter de lei nacional à LGPD, estabelecendo que a lei deverá ser observada pela União, Estados, Distrito Federal e Municípios. O dispositivo busca limitar a proliferação de leis estaduais e municipais sobre o tema, muitas vezes com decisões contraditórias e não padronizadas. Um levantamento realizado pela FEBRABAN de 159 casas legislativas (Assembleias Legislativas, Câmaras Municipais de capitais e de municípios com mais de 200 mil habitantes) – identificou 14 (quatorze) projetos de lei em andamento.

Exceção à LGPD:
A MPV retirava a aplicabilidade da LGPD às pessoas controladas pelo poder público, todavia, pelo texto da nova lei, apenas será exceção ao âmbito da aplicabilidade da LGPD o tratamento de dados pessoais realizados para fins exclusivos de segurança pública, defesa nacional, segurança do estado ou atividades de investigação e repressão penal, para as pessoas de capital integralmente constituído pelo poder público.

Encarregado
: O texto redefine o termo “encarregado” como pessoa (natural ou jurídica) indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD. Na MPV a definição se restringia a pessoa natural.

Foi vetado
pelo Presidente da República o trecho da propositura de lei que criava a exigência de que o encarregado detivesse conhecimento jurídico-regulatório apto a prestar serviços especializados em proteção de dados. Segundo a Mensagem de Veto n° 288/2019, a disposição contrariaria o interesse público pelo fato de (i) ser exigência com rigor excessivo e refletir interferência desnecessária por parte do Estado na discricionariedade para a seleção dos quadros do setor produtivo, além de (ii) ofender direito fundamental, por restringir o livre exercício profissional a ponto de atingir o seu núcleo essencial.

Saúde e Dados Pessoais Sensíveis: A nova lei expande o campo de exceções à comunicação e ao uso compartilhado de dados pessoais sensíveis no setor da saúde e atividades relacionadas, permitindo-as na hipótese de transações financeiras e administrativas decorrentes da uso ou prestação desses serviços. Segundo a nova lei, fica vedado o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.

Direito de Revisão ao Tratamento de Dados Automatizado e Compliance Fit:
O titular dos dados terá direito a solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive de decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

Foi vetado pelo Presidente da República o trecho da propositura de lei que obrigaria a revisão a ser realizada por pessoa natural, considerando, ainda, a natureza e o porte da entidade ou o volume de operações de tratamento de dados. A razão alegada pela Mensagem de Veto n° 288/2019 foi de que tal disposição contrariaria o interesse público, tendo em vista que inviabilizaria os modelos atuais de planos de negócios de muitas empresas e a análise de risco de crédito de instituições financeiras, gerando efeitos negativos na oferta de crédito, e reflexos indesejados nos índices de inflação e na condução da política monetária.

Compartilhamento de Dados Pessoais pelo Poder Público com as Pessoas Jurídicas de Direito Privado:
Foi vetado pelo Presidente da República o trecho da propositura de lei que vedava o compartilhamento de dados pessoais na esfera do poder público com pessoas jurídicas de direito privado. De acordo com a Mensagem de Veto n° 288/2019, a disposição em questão geraria insegurança jurídica, haja vista que o compartilhamento de informações relacionadas à pessoa natural identificável não deve ser confundido com a quebra do sigilo ou com o acesso público, e o compartilhamento de dados pessoais é medida recorrente e essencial para o regular exercício de diversas atividades e pessoas políticas públicas.

Sanções Administrativas:
Foram vetados pelo Presidente da República os trechos da propositura legislativa que estabeleciam sanções de suspensão e proibição do funcionamento/exercício da atividade relacionada ao tratamento de bancos de dados. Para tanto, foi alegado na Mensagem de Veto n° 288/2019 que essas disposições gerariam insegurança aos responsáveis por essas informações, bem como impossibilitaria a utilização e tratamento de bancos de dados essenciais a diversas atividades privadas.

Conciliação: De acordo com a nova lei, será permitida a conciliação direta entre controlador e titular dos dados em casos de vazamentos individuais ou acessos não autorizados.

ANPD:
A ANPD, responsável pelo zelo, implementação e fiscalização pelo cumprimento da lei em todo o território nacional, continuará vinculada à Presidência da República, podendo, todavia, ser transformada em entidade da administração pública indireta, desde que dentro de 2 anos do início de vigência de sua estrutura regimental. Conforme o texto da lei, a autoridade nacional terá, além de autonomia técnica, autonomia decisória e contará com receitas próprias.

As alterações relativas ao funcionamento da ANPD entram em vigor a partir da data de publicação da nova lei, mas as empresas terão até agosto de 2020 para se adequarem às disposições legais da LGPD.

Neste sentido o ROLIM encontra-se à disposição para esclarecer dúvidas quanto ao compliance da LGPD.

Advogado Relacionado: Luis Gustavo Miranda / Paulo Teixeira Fernandes