Foi publicada no DOU desta sexta-feira, 28, a MP 869/18, que altera a lei 13.709/18, que dispõe sobre a proteção de dados, e cria a Autoridade Nacional de Proteção de Dados – ANPD.
De acordo com a medida, a ANPD integrará a Presidência da República e fará parte do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. Essa autoridade exercerá as competências estabelecidas pela lei 13.709/18.
A medida também altera dispositivos da norma que tratam do tratamento de dados por pessoas jurídicas de Direito Privado, dos dados pessoais constantes em bancos de dados e da vedação de comunicação ou uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com o objetivo de se obter vantagem econômica.
Opinião da especialista
A advogada Ana Carolina Moreira Cesar, do escritório Daniel Advogados, explica mais sobre a nova lei. Confira.
Em ato coordenado com o novo governo, o ex-presidente Michel Temer sancionou em 27 de dezembro de 2018 a Medida Provisória nº 869, que alterou a Lei Geral de Proteção de Dados Pessoais para dispor sobre a proteção de dados pessoais e criar a Autoridade Nacional de Proteção de Dados (ANPD).
Entre as principais alterações, estão: (i) criação da Autoridade Nacional de Proteção de Dados (ANPD) e das suas competências, conforme já adiantado; (ii) alteração da vigência da lei que passa de 18 para 24 meses para os demais dispositivos da lei, já que as disposições sobre a ANPD já entraram em vigor em 28 de dezembro de 2018; (iii) possibilidade de exercício da função de Encarregado de Proteção de Dados por empresa ou terceirizados, além da pessoa natural, como era anteriormente disposto e o (iv) direito à explicação das decisões tomadas com base em tratamento automatizado por outro meio além da revisão por pessoa natural.
A medida provisória nº 870 de 1º de janeiro de 2019, sancionada pelo presidente Jair Bolsonaro, prevê a Autoridade Nacional de Proteção de Dados Pessoais como órgão integrante da Presidência da República, conforme dispõe seu art. 2º, inciso VI.
Competência e Autonomia da ANPD
Uma das alterações também se refere às competências da ANDP, principalmente quanto ao poder de auditoria. Essa previsão foi retirada da MP, permanecendo os poderes de fiscalização e aplicação de sanções no caso de descumprimento. Um dos maiores desafios é a questão da autonomia da ANPD. Apesar de ser assegurada autonomia técnica, a ANPD. Além disso, a MP ainda poderá sofrer alterações já que tem 60 dias para ser convertida em Lei, podendo ser prorrogada por mais 60 dias. Durante o processo legislativo, a MP poderá ser emendada, derrubada ou aprovada como foi proposta. Aguardamos os próximos passos.
Confira a íntegra da MP 869/18:
____________
MEDIDA PROVISÓRIA Nº 869, DE 27 DE DEZEMBRO DE 2018
Altera a Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados, e dá outras providências.
O PRESIDENTE DA REPÚBLICA, no uso da atribuição que lhe confere o art. 62 da Constituição, adota a seguinte Medida Provisória, com força de lei:
Art. 1º A Lei nº 13.709, de 14 de agosto de 2018, passa a vigorar com as seguintes alterações:
"Art. 3º ....................................................................................................................
..............................................................................................................................................
II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
.................................................................................................................................." (NR)
"Art. 4º ....................................................................................................................
............................................................................................................................................
II - ............................................................................................................................
............................................................................................................................................
b) acadêmicos;
............................................................................................................................................
§ 2º O tratamento dos dados a que se refere o inciso III do caput por pessoa jurídica de direito privado só será admitido em procedimentos sob a tutela de pessoa jurídica de direito público, hipótese na qual será observada a limitação de que trata o § 3º.
§ 3º Os dados pessoais constantes de bancos de dados constituídos para os fins de que trata o inciso III do caput não poderão ser tratados em sua totalidade por pessoas jurídicas de direito privado, não incluídas as controladas pelo Poder Público." (NR)
"Art. 5º ...................................................................................................................
...........................................................................................................................................
VIII - encarregado: pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados;
............................................................................................................................................
XVIII - órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e
XIX - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei." (NR)
"Art. 11. ...................................................................................................................
............................................................................................................................................
§ 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses de:
I - portabilidade de dados quando consentido pelo titular; ou
II - necessidade de comunicação para a adequada prestação de serviços de saúde suplementar." (NR)
"Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
.................................................................................................................................." (NR)
"Art. 26. ...................................................................................................................
§ 1º .........................................................................................................................
...........................................................................................................................................
III - se for indicado um encarregado para as operações de tratamento de dados pessoais, nos termos do art. 39;
IV - quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres;
V - na hipótese de a transferência dos dados objetivar a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados; ou
VI - nos casos em que os dados forem acessíveis publicamente, observadas as disposições desta Lei.
.................................................................................................................................." (NR)
"Art. 27. A comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa jurídica de direito privado dependerá de consentimento do titular, exceto:
.................................................................................................................................." (NR)
"Art. 29. A autoridade nacional poderá solicitar, a qualquer momento, aos órgãos e às entidades do Poder Público a realização de operações de tratamento de dados pessoais, as informações específicas sobre o âmbito e a natureza dos dados e outros detalhes do tratamento realizado e poderá emitir parecer técnico complementar para garantir o cumprimento desta Lei." (NR)
"Art. 55-A. Fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados - ANPD, órgão da administração pública federal, integrante da Presidência da República." (NR)
"Art. 55-B. É assegurada autonomia técnica à ANPD." (NR)
"Art. 55-C. ANPD é composta por:
I - Conselho Diretor, órgão máximo de direção;
II - Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;
III - Corregedoria;
IV - Ouvidoria;
V - órgão de assessoramento jurídico próprio; e
VI - unidades administrativas e unidades especializadas necessárias à aplicação do disposto nesta Lei." (NR)
"Art. 55-D. O Conselho Diretor da ANPD será composto por cinco diretores, incluído o Diretor-Presidente.
§ 1º Os membros do Conselho Diretor da ANPD serão nomeados pelo Presidente da República e ocuparão cargo em comissão do Grupo-Direção e Assessoramento Superior - DAS de nível 5." (NR)
§ 2º Os membros do Conselho Diretor serão escolhidos dentre brasileiros, de reputação ilibada, com nível superior de educação e elevado conceito no campo de especialidade dos cargos para os quais serão nomeados.
§ 3º O mandato dos membros do Conselho Diretor será de quatro anos.
§ 4º Os mandatos dos primeiros membros do Conselho Diretor nomeados serão de dois, de três, de quatro, de cinco e de seis anos, conforme estabelecido no ato de nomeação.
§ 5º Na hipótese de vacância do cargo no curso do mandato de membro do Conselho Diretor, o prazo remanescente será completado pelo sucessor." (NR)
"Art. 55-E. Os membros do Conselho Diretor somente perderão seus cargos em virtude de renúncia, condenação judicial transitada em julgado ou pena de demissão decorrente de processo administrativo disciplinar.
§ 1º Nos termos do caput, cabe ao Ministro de Estado Chefe da Casa Civil da Presidência da República instaurar o processo administrativo disciplinar, que será conduzido por comissão especial constituída por servidores públicos federais estáveis.
§ 2º Compete ao Presidente da República determinar o afastamento preventivo, caso necessário, e proferir o julgamento." (NR)
"Art. 55-F. Aplica-se aos membros do Conselho Diretor, após o exercício do cargo, o disposto no art. 6º da Lei nº 12.813, de 16 de maio de 2013.
Parágrafo único. A infração ao disposto no caput caracteriza ato de improbidade administrativa." (NR)
"Art.55-G. Ato do Presidente da República disporá sobre a estrutura regimental da ANPD.
Parágrafo único. Até a data de entrada em vigor de sua estrutura regimental, a ANPD receberá o apoio técnico e administrativo da Casa Civil da Presidência da República para o exercício de suas atividades." (NR)
"Art. 55-H. Os cargos em comissão e as funções de confiança da ANPD serão remanejados de outros órgãos e entidades do Poder Executivo federal." (NR)
"Art. 55-I. Os ocupantes dos cargos em comissão e das funções de confiança da ANPD serão indicados pelo Conselho Diretor e nomeados ou designados pelo Diretor-Presidente." (NR)
"Art. 55-J. Compete à ANPD:
I - zelar pela proteção dos dados pessoais;
II - editar normas e procedimentos sobre a proteção de dados pessoais;
III - deliberar, na esfera administrativa, sobre a interpretação desta Lei, suas competências e os casos omissos;
IV - requisitar informações, a qualquer momento, aos controladores e operadores de dados pessoais que realizem operações de tratamento de dados pessoais;
V - implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei;
VI - fiscalizar e aplicar sanções na hipótese de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
VII - comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
VIII - comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei praticado por órgãos e entidades da administração pública federal;
IX - difundir na sociedade o conhecimento sobre as normas e as políticas públicas de proteção de dados pessoais e sobre as medidas de segurança;
X - estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle e proteção dos titulares sobre seus dados pessoais, consideradas as especificidades das atividades e o porte dos controladores;
XI - elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
XII - promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
XIII - realizar consultas públicas para colher sugestões sobre temas de relevante interesse público na área de atuação da ANPD;
XIV - realizar, previamente à edição de resoluções, a oitiva de entidades ou órgãos da administração pública que sejam responsáveis pela regulação de setores específicos da atividade econômica;
XV - articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e
XVI - elaborar relatórios de gestão anuais acerca de suas atividades.
§ 1º A ANPD, na edição de suas normas, deverá observar a exigência de mínima intervenção, assegurados os fundamentos e os princípios previstos nesta Lei e o disposto no art. 170 da Constituição.
§ 2º A ANPD e os órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental devem coordenar suas atividades, nas correspondentes esferas de atuação, com vistas a assegurar o cumprimento de suas atribuições com a maior eficiência e promover o adequado funcionamento dos setores regulados, conforme legislação específica, e o tratamento de dados pessoais, na forma desta Lei.
§ 3º A ANPD manterá fórum permanente de comunicação, inclusive por meio de cooperação técnica, com órgãos e entidades da administração pública que sejam responsáveis pela regulação de setores específicos da atividade econômica e governamental, a fim de facilitar as competências regulatória, fiscalizatória e punitiva da ANPD.
§ 4º No exercício das competências de que trata o caput, a autoridade competente deverá zelar pela preservação do segredo empresarial e do sigilo das informações, nos termos da lei, sob pena de responsabilidade.
§ 5º As reclamações colhidas conforme o disposto no inciso V do caput poderão ser analisadas de forma agregada e as eventuais providências delas decorrentes poderão ser adotadas de forma padronizada." (NR)
"Art. 55-K. A aplicação das sanções previstas nesta Lei compete exclusivamente à ANPD, cujas demais competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública.
Parágrafo único. A ANPD articulará sua atuação com o Sistema Nacional de Defesa do Consumidor do Ministério da Justiça e com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais, e será o órgão central de interpretação desta Lei e do estabelecimento de normas e diretrizes para a sua implementação." (NR)
"Art. 58-A. O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será composto por vinte e três representantes, titulares suplentes, dos seguintes órgãos:
I - seis do Poder Executivo federal;
II - um do Senado Federal;
III - um da Câmara dos Deputados;
IV - um do Conselho Nacional de Justiça;
V - um do Conselho Nacional do Ministério Público;
VI - um do Comitê Gestor da Internet no Brasil;
VII - quatro de entidades da sociedade civil com atuação comprovada em proteção de dados pessoais;
VIII - quatro de instituições científicas, tecnológicas e de inovação; e
IX - quatro de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais.
§ 1º Os representantes serão designados pelo Presidente da República.
§ 2º Os representantes de que tratam os incisos I a VI do caput e seus suplentes serão indicados pelos titulares dos respectivos órgãos e entidades da administração pública.
§ 3º Os representantes de que tratam os incisos VII, VIII e IX do caput e seus suplentes:
I - serão indicados na forma de regulamento;
II - terão mandato de dois anos, permitida uma recondução; e
III - não poderão ser membros do Comitê Gestor da Internet no Brasil.
§ 4º A participação no Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será considerada prestação de serviço público relevante, não remunerada." (NR)
"Art. 58-B. Compete ao Conselho Nacional de Proteção de Dados Pessoais e da Privacidade:
I - propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD;
II - elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade;
III - sugerir ações a serem realizadas pela ANPD;
IV - elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; e
V - disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população em geral." (NR)
"Art. 65. Esta Lei entra em vigor:
I - quanto aos art. 55-A, art. 55-B, art. 55-C, art. 55-D, art. 55-E, art. 55-F, art. 55-G, art. 55-H, art. 55-I, art. 55-J, art. 55-K, art. 58-A e art. 58-B, no dia 28 de dezembro de 2018; e
II - vinte e quatro meses após a data de sua publicação quanto aos demais artigos." (NR)
Art. 2º A Lei nº 13.502, de 1º de novembro de 2017, passa a vigorar com as seguintes alterações:
"Art. 2º ....................................................................................................................
...........................................................................................................................................
V - o Gabinete de Segurança Institucional;
VI - a Secretaria Especial da Aquicultura e da Pesca; e
VII - a Autoridade Nacional de Proteção de Dados Pessoais.
................................................................................................................................" (NR)
"SEÇÃO VI - A
DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS
Art. 12-A. À Autoridade Nacional de Proteção de Dados Pessoais compete exercer as competências estabelecidas na Lei nº 13.709, de 14 de agosto de 2018." (NR)
Art. 3º Ficam revogados os seguintes dispositivos da Lei nº 13.709, de 2018:
I - o § 4º do art. 4º;
II - os § 1º e § 2º do art. 7º; e
III - o art. 62.
Art. 4º Esta Medida Provisória entra em vigor na data de sua publicação.
Brasília, 27 de dezembro de 2018; 197º da Independência e 130º da República.
MICHEL TEMER
ESTEVES PEDRO COLNAGO JUNIOR