O governo deve sancionar nos próximos dias a Medida Provisória (MP) 869, de 2018, que altera a Lei Geral de Proteção de Dados (13.709/18). A LGPD disciplina como empresas e entes públicos podem coletar e tratar informações de pessoas, estabelecendo direitos, exigências e procedimentos nesses tipos de atividades.
Nessa quarta-feira (29) o Senado Federal aprovou a matéria que também cria a Autoridade Nacional de Proteção de Dados (ANPD), ente responsável pela fiscalização da LGPD, além de definir sua estrutura e prerrogativas. Além disso, a MP alterou trechos da lei, como na flexibilização do tratamento de dados pelo Poder Público, na revisão de decisões automatizadas, no compartilhamento de dados de saúde e na diferenciação do alcance da lei para pequenas empresas de tecnologia.
A LGPD foi aprovada em julho do ano passado definindo direitos de pessoas e organizações, limites a empresas e governos no momento de coletar e tratar dados, além de formas de fiscalização e punição em caso de violação à Lei, prerrogativas que ficariam a cargo de uma Autoridade Nacional de Proteção de Dados.
Contudo, o então presidente Michel Temer vetou o artigo que criava a Autoridade Nacional, com a justificativa de que havia um problema legal na sua proposição pelo Congresso, o que seria consertado com uma MP. Esta veio às vésperas do fim do mandato, criando uma autoridade diferente da proposta na redação aprovada pelo Congresso e alterando outros pontos da Lei.
A LGPD propunha uma Autoridade Nacional com independência funcional e administrativa, vetada pelo presidente Michel Temer. Para preencher este vácuo, a MP de dezembro trouxe a proposta de uma Autoridade vinculada à Presidência da República e retirou algumas medidas fiscalizatórias previstas na redação original da Lei. A MP restabeleceu poderes à Autoridade Nacional, como para realizar auditorias e requerer informações a órgãos públicos sobre o tratamento de dados que realizam.
O texto aprovado ontem pelo Congresso criou uma solução alternativa, quanto à natureza da Autoridade: ela será vinculada à Presidência da República, mas com uma “natureza jurídica transitória”, podendo ser transformada em órgão da administração pública indireta em avaliação a ocorrer nos próximos dois anos. Ou seja, a depender da decisão do Executivo Federal, a ANPD, que deverá ser uma estrutura semelhante a uma secretaria, poderá se tornar uma autarquia, como as agências reguladoras.
Na avaliação do professor do Data Privacy Brasil Renato Leite, embora a criação da autoridade seja positiva, o modelo adotado não garantiu autonomia suficiente: “Isso vai dificultar o reconhecimento do Brasil pela União Europeia como país com nível com proteção adequada de dados, o que pode criar obstáculos ao livre fluxo de dados com a Comunidade Europeia”. Outra complicação, na avaliação do professor, é o risco de influência política de autoridades do Executivo nas investigações e sanções que a Autoridade possa vir a conduzir contra uma empresa por uma violação da lei.
A Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação (Brasscom) avaliou positivamente a aprovação da MP, especialmente diante do prazo exíguo e do risco da medida caducar. Segundo o presidente-executivo da entidade, Sérgio Paulo Galindo, os investimentos na transformação digital dependem de segurança jurídica para as empresas que trabalham com tratamento de dados. “Se a gente não tivesse autoridade de dados, não teríamos o órgão regente da aplicação da Lei e teríamos alto grau de insegurança jurídica. A existência da autoridade transfere calma ao setor, pois agora teremos um farol”, argumenta.
A Lei Geral já trazia menos exigências ao Poder Público no tocante ao tratamento de dados, como o fato das regras não valerem para casos de Segurança Pública. A MP flexibilizou ainda mais as exigências, admitindo, por exemplo, que uma instituição pública compartilhe informações quando tal repasse estiver previsto em convênios ou contratos ou quando o objetivo for a prevenção de fraudes e irregularidades.
O advogado do escritório Pereira Neto e Macedo Associados Rafael Zanatta entende que um dos desafios será como a Autoridade conseguirá fiscalizar órgãos públicos do próprio governo federal, um dos maiores tratadores de dados pessoais (como as bases de documentos pessoais ou de dados fiscais).
“Com a Autoridade vinculada à Casa Civil [da Presidência da República], a grande questão é o quanto esse tipo de subordinação não impediria uma atuação mais vigorosa sobre atos ilegais cometidos por órgãos do Executivo”, pondera o advogado, especializado em direito digital.
A LGPD previa a possibilidade de que uma pessoa pudesse pedir a revisão de uma decisão automatizada, que é todo tipo de escolha feita por um sistema sem a intervenção de uma pessoa, podendo incluir questões como notas de crédito, concessão de empréstimos, oferta de preços de um produto ou serviço e até mesmo a remoção de uma publicação em uma rede social.
A MP editada por Temer retirou essa possibilidade. A redação final aprovada pelo Congresso retomou esse direito, mas submetendo-o a uma regulamentação da Autoridade Nacional. Ou seja, o ente regulatório vai decidir em que tipos de decisão o usuário poderá pedir revisão.
A LGPD proibiu a comunicação ou uso compartilhado de dados pessoais sensíveis referentes à saúde das pessoas (como diagnósticos e resultados de exames) para obter vantagem econômica, a não ser em caso de portabilidade. A MP abriu possibilidades dessa comercialização, na forma de “prestação de serviços de saúde”, “assistência farmacêutica” e “assistência à saúde”.
Diante das preocupações de que tais registros fossem usados por planos de saúde para definir preços, foi incluído um trecho vedando a operadoras desses serviços “o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários”.
Uma das novidades da redação aprovada ontem foi a possibilidade de a Autoridade Nacional editar normas e procedimentos simplificados e diferenciados “para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei”.
Na avaliação da coordenadora do coletivo Intervozes Beatriz Barbosa, que acompanhou as negociações do texto, essa medida é preocupante. “Basta que qualquer empresa que faça tratamento de dados e trabalhe com tecnologia se declare uma empresa de inovação e passe a se beneficiar de um eventual regulamento mais flexibilizado da Autoridade. E todas as empresas que operam com tratamento de dados podem fazer essa autodeclaração”. A expectativa, completa Beatriz, é de que a ANPD restrinja esse tratamento diferenciado, sob risco das regras específicas da Lei passarem a ser descumpridas na prática.
Para o especialista em política e indústria da Confederação Nacional da Indústria (CNI) Fabiano Barreto, a medida foi positiva porque as micro e pequenas empresas não terão a mesma condição das grandes para entender e implementar a lei. “Esse tratamento diferenciado para essas empresas recebemos com muita felicidade”, comenta. À Agência Brasil, ele também elogiou o prazo de transição até a vigência, de 24 meses (com início da validade em agosto de 2020). “Que as empresas e a Autoridade consigam aproveitar este prazo maior para ver a interpretação da lei, como ela vai ser interpretada e cobrada”.