Em 09/07/2019, foi publicada no Diário Oficial da União a Lei 13.853/2019 que altera e consolida a Lei Geral de Proteção de Dados Pessoais do Brasil (Lei 13.709/2018).
Fruto da análise e conversão da Medida Provisória 869/2019, a nova Lei manteve a criação da Autoridade Nacional de Proteção de Dados (ANPD) e permitiu uma ampliação dos poderes da Autoridade, ao incluir novos itens e trabalhar na correção pontual de algumas questões trazidas no texto original da LGPD.
De maneira geral, tanto as inclusões sugeridas pelo Congresso durante a tramitação da MP 869/2018, quanto a análise e sanção presidencial da Lei 13.853/2019 foram positivas e demonstram o interesse do governo na regulamentação e proteção de dados, bem como a preocupação de todos os envolvidos na criação de um texto que minimize dúvidas e seja aplicado a todos os tipos de empresas e mercados.
Diferente da União Europeia, continente que conta com Leis sobre proteção de dados há mais de 20 anos, o Brasil ainda caminhava na unificação de suas normas e entendimentos internos sobre os conceitos já aplicados lá fora e agora deverá debruçar seus esforços para garantir o mesmo nível de proteção de outros países.
Os vetos presidenciais foram poucos e precisos.
Considerando o contexto da legislação e poderes da Autoridade Nacional de Proteção de Dados, a retirada da obrigação de revisão por um humano das decisões automatizadas prevista no § 3º do artigo 20, faz sentido já que seria um custo maior para as empresas de base tecnológica. O veto deste parágrafo não retira nenhum direto ou modifica os princípios da Lei, tão pouco impede que os titulares possam pedir esclarecimentos e socorrer-se da legislação aplicável em caso de abuso ou erro nas decisões havidas.
“Art. 20.
§ 3º A revisão de que trata o caput deste artigo deverá ser realizada por pessoa natural, conforme previsto em regulamentação da autoridade nacional, que levará em consideração a natureza e o porte da entidade ou o volume de operações de tratamento de dados.”(NR)
O Tratamento de dados Pessoais pelo Poder Público também sofreu um veto presidencial no Art. 23, IV abaixo:
IV – sejam protegidos e preservados dados pessoais de requerentes de acesso à informação, no âmbito da Lei nº 12.527, de 18 de novembro de 2011, vedado seu compartilhamento na esfera do poder público e com pessoas jurídicas de direito privado.
Novamente, ainda sendo incipiente no Brasil, o diálogo das fontes e correção entre a LGPD e a Lei de Acesso à informação e todas as demais normas vigentes ainda dependerão de ajustes e revisões posteriores.
Da mesma forma, a nova Lei deixou claro no Artigo 5º. VII que o DPO (Data Protection Officer ou Encarregado em Português), responsável pela proteção de dados, será “a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”. Com esta nova redação, resta claro que as funções do DPO não precisão ser exercidas por uma única pessoa física e que seu vínculo profissional com a empresa pode se dar de várias formas, além da contratação direta via contrato de trabalho.
Com isso, tendo por base os artigos 37 a 39 da GDPR Europeia, a mera inclusão do § 4º do Artigo 41 seria prejudicial. Pensando num país continental como o Brasil e a abrangência da Legislação, a menção de conhecimento jurídico-regulatório já gerava nos bastidores mais receios do que benefícios aos controladores e operadores.
“Art. 41.
§ 4º Com relação ao encarregado, o qual deverá ser detentor de conhecimento jurídico-regulatório e ser apto a prestar serviços especializados em proteção de dados, além do disposto neste artigo, a autoridade regulamentará:
Em nosso entendimento, os vetos aos novos incisos do Artigo 52 não foram benéficos, ao retirar da ANPD a possibilidade de Autoridade exercer parte do seu Poder de Fiscalização e de enforcement, já previstas em outras legislações como o Marco Civil da Internet e Código de Defesa do Consumidor.
“Art. 52.
X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
O mesmo problema decorre dos vetos ao parágrafo 3º do Artigo 52. Mesmo cientes da preponderância dos interesses públicos sobre os privados, para que legislações como estas funcionem é necessário que sua aplicação seja isonômica e para todos:
Art. 52
§ 3º O disposto nos incisos I, IV, V, VI, X, XI e XII do caput deste artigo poderá ser aplicado às entidades e aos órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011.
Também há sentido no Veto Presidencial feito ao artigo 52 parágrafo sexto, já que previsão similar existe no Artigo 55-K da Lei aprovada:
Texto vetado:
§ 6º As sanções previstas nos incisos X, XI e XII do caput deste artigo serão aplicadas:
I – somente após já ter sido imposta ao menos 1 (uma) das sanções de que tratam os incisos II, III, IV, V e VI do caput deste artigo para o mesmo caso concreto; e II – em caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias, ouvidos esses órgãos.
Texto mantido:
“Art. 55-K A aplicação das sanções previstas nesta Lei compete exclusivamente à ANPD, e suas competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública.
Parágrafo único. A ANPD articulará sua atuação com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais e será o órgão central de interpretação desta Lei e do estabelecimento de normas e diretrizes para a sua implementação.”
Por fim, louvável o veto ao artigo Artigo 55-L, V para que fique claro que a ANPD não deverá cobrar e estabelecer taxas ou emolumentos para a prestação de seus serviços. O acesso à Autoridade e seus serviços deverão ser gratuitos:
“Art. 55-L Constituem receitas da ANPD:
V – o produto da cobrança de emolumentos por serviços prestados;
Com a Aprovação da Lei 13.853/2019 o Brasil passa, definitivamente, a figurar entre as quase 130 nações do mundo que possuem alguma legislação sobre Proteção de Dados. Com seus conceitos alinhados à OCDE e GDPR Europeia, este tipo de legislação permitirá ao Brasil tratar dados de pessoas naturais de outros países e também garantir um maior nível de proteção para os seus cidadãos frente aos novos negócios que exploram dados e informações em escala mundial.
Mas ainda há muito trabalho. Via Decreto Presidencial, os 5 diretores da ANPD deverão ser indicados. Só então, com a formação da ANPD, haverá o início dos trabalhos e emissão das orientações que regularão o mercado na necessária adequação e conformidade que já se iniciou e deverá maturar-se até 16 de Agosto de 2.020.
Torcemos para que os próximos passos sejam seguros e acertados, para que os novos direitos dos titulares e princípios da Lei passem a ser refletidos nas demais normas e que a aplicação da LGPD na prática tenha o viés de educação e nunca de punição.
* O texto consolidado da LGPD estará disponível a partir de hoje (10/07) através do link oficial: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm