O presidente Jair Bolsonaro converteu em lei a medida provisória que recriou a Autoridade Nacional de Proteção de Dados (ANPD), que tinha sido vetada na gestão de Michel Temer. A nova lei veio publicada no Diário Oficial da União (DOU) desta terça-feira, 9, com 14 vetos.
O novo órgão estatal terá o desafio de garantir a aplicação da Lei Geral de Proteção de Dados (LGPD), que entra em vigor em 2020 e estabelece uma série de regras para o tratamento das informações de particulares por entes públicos e privados no Brasil.
Entre os principais vetos, está o de que decisões tomadas por algoritmos não terão de ser obrigatoriamente revisadas, quando solicitada pelo usuário, por uma pessoa natural. Foi um assunto bastante polêmico durante a tramitação da medida provisória no Congresso Nacional. De um lado, ativistas argumentavam que algoritmos revisando algoritmos trariam riscos aos cidadãos. Do outro, empresas de TI e startups argumentaram que tal decisão prejudicaria seus modelos de negócios, especialmente na era da inteligência artificial e da análise de dados (big data).
Outro veto importante foi sobre artigos que traziam requisitos para o cargo de Data Protection Officer (DPO), profissional que deverá ser empregado pelas empresas para cuidar da proteção de dados dos clientes e consumidores. Em sugestão feita pela Brasscom (Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação), havia receio de que o conhecimento jurídico criasse um nicho para advogados e gerasse intervenção do governo na atividade econômica das empresas.
Além disso, houve uma redução nas possíveis sanções às empresas que cometam falhas com os dados pessoais dos usuários. Outro ponto que foi vetado foi aquele que protegia os dados pessoais de requerentes de acesso à informação, uma demanda da sociedade civil, mas que também havia sido vetada por Temer ao sancionar a LGPD. Os vetos ainda podem ser derrubados pelo Congresso. Além disso, será necessário um decreto para estruturar a ANPD, bem como a indicação dos diretores do órgão e subsequente sabatina no Senado Federal.
Na Europa, onde vigora a Regulação sobre Proteção Geral de Dados (GDPR, na sigla em inglês), legislação bastante parecida com a LGPD, o Google foi multado em € 50 milhões, no começo deste ano, depois que a Justiça da França considerou que a empresa não era transparente com os usuários sobre o trato dos dados pessoais.
Elogiada por especialistas do setor, a criação da ANPD não fica imune a críticas. Um dos pontos questionados é a vinculação do órgão público à Presidência da República, que deve vigorar ao menos em um primeiro momento.
"A lei prevê que a ANPD começa como parte da administração pública direta, mas poderá ser desvinculada da Presidência em um período de dois anos. O ideal seria se a autoridade de dados já fosse criada nos moldes do Cade, da Anatel ou de alguma outra agência regulatória, com maior autonomia técnica e orçamentária", diz Renato Leite Monteiro, professor do Data Privacy Brasil.
Ele afirma que mais de 100 países com leis de proteção de dados contam com agências reguladoras autônomas em relação ao governo. "É um ponto fundamental para que a lei funcione".
O tamanho da estrutura prevista para a autoridade de dados também preocupa os especialistas. O texto da MP cita a criação de um Conselho Diretor para a ANPD, com cinco membros, e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, com 23 integrantes. Além disso, indica de maneira genérica que o órgão público contará com uma Corregedoria, uma Ouvidoria, uma área própria de assessoramento jurídico e unidades "necessárias à aplicação do disposto na lei".
Para Marcelo Crespo, coordenador do curso de Direito Digital da Damásio Educacional, é importante que a ANPD tenha escritórios espalhados pelo país e uma equipe qualificada. "Orientar, fiscalizar e impor multas em todo o Brasil não é algo simples. A princípio, a medida provisória garante uma equipe enxuta para realizar essas tarefas, é necessário que o governo vá além", afirma.
Também há incerteza em relação à abordagem da autoridade de dados com as centenas de empresas que estarão submetidas às novas regras. "Há algumas dúvidas sobre qual será a forma de agir da ANPD. Imaginamos que, em um primeiro momento, a atuação seja mais baseada em denúncias do que na fiscalização, até porque a ANPD ainda estará se estruturando", diz Adriana Rollo, associada da área de TI da Veirano Advogados.
A lista de sanções previstas na LGPD inclui a multa de até 2% do faturamento para as pessoas jurídicas que desrespeitarem às novas regras. A ANPD também poderá realizar advertências e bloquear o banco de dados das empresas que violarem a lei.
Segundo Adriana, boa parte do setor privado ainda está se adequando às exigências da LGPD. A nova lei, diz ela, demanda mudanças no tratamento de dados de clientes e funcionários, o que afeta desde o setor de recursos humanos até a direção das empresas. "Temos um ano até a entrada em vigor da lei, ainda há tempo para resolver eventuais pendências."