No último dia 9, foi publicada a lei 13.853/19, que altera a lei 13.709/18 – Lei Geral de Proteção de Dados Pessoais. A norma é originária da MP 869/18, publicada no fim do ano passado, que passou por mudanças no Congresso e ao ter dispositivos vetados pelo presidente Jair Bolsonaro.
A nova lei tem como ponto principal a criação da ANPD – Autoridade Nacional de Proteção de Dados, órgão que terá natureza jurídica transitória e fiscalizará o tratamento de dados pessoais no país. No entanto, outros tópicos da norma são tema de discussão por parte de especialistas no tema.
ANPD
Sobre a criação da ANPD, o advogado e consultor Ricardo Maffeis, do escritório Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados, destaca a inclusão de dispositivo que define como transitória a natureza jurídica do órgão, com a possibilidade de que ele se transforme em uma autarquia.
"O texto original da MP 869 assegurava apenas sua autonomia técnica, ao passo que a redação final garante a autonomia técnica e decisória, o que é sempre muito importante para que um órgão ligado à Presidência não esteja tão sujeito a pressões políticas", pontua.
O advogado afirma que a intenção de prever uma natureza jurídica transitória à ANPD se dá, talvez, "para aplacar as críticas à criação como órgão da administração direta ligado à Presidência" e é uma possível resposta "às preocupações com a independência do órgão" – importante para adequação do Brasil à GDPR (Regulamento Geral de Proteção de Dados da União Europeia), na medida em que esta exige que as autoridades de controle de dados sejam independentes.
"Vale destacar que não há nenhuma garantia de que a ANPD terá alterada sua natureza jurídica daqui a dois anos, pois trata-se de mera possibilidade a ser decidida pelo (atual) Poder Executivo", afirma Maffeis.
A advogada Stella He Jin Kim, do núcleo de Direito Digital do escritório LTSA Advogados, ressalta que a Autoridade por si só, já possui uma estrutura que lhe confere certo nível de independência, posto que lhe é conferida a autonomia técnica e decisória, além de possuir em sua composição conselho diretor, conselho nacional de proteção de dados, corregedoria, ouvidoria, órgão de assessoramento jurídico próprio, e unidades administrativas e unidades especializadas.
- Tipos de dados
Informação relacionada a pessoa natural identificada ou identificável;
Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Funções
Quanto às funções do órgão, a advogada afirma que, além de incumbida de fiscalizar, a Autoridade possui a competência de editar normas, procedimentos e deliberar, na esfera administrativa, sobre a interpretação da LGPD, suas competências e dos casos omissos.
"Contudo, considerando o fato de a Autoridade não possuir orçamento independente, e pelo fato de não ter sido instituída por lei específica, não haveria a possibilidade de instituição imediata da natureza jurídica autônoma ideal. Tal transitoriedade traz assim, segurança jurídica para o texto da LGPD e suas implicações, possibilitando um direcionamento adequado da sociedade para o devido cumprimento da LGPD."
Em relação à fiscalização, por parte da ANPD, o advogado especialista em Direito Digital Luis Fernando Prado, do escritório Daniel Advogados, entende que a Autoridade terá papel fundamental na interpretação e na fiscalização do cumprimento da lei. No entanto, ele lembra que os cidadãos dividirão essa função com o órgão.
"Para além da Autoridade, teremos 209 milhões de potenciais fiscais da LGPD, vez que toda população localizada em nosso país está tutelada por essa lei (e começando a ganhar consciência sobre a nova regulamentação)."
Outras mudanças
O advogado especializado em privacidade e proteção de dados Fábio Aspis, do escritório Daniel Advogados, destaca as mudanças concretizadas pela nova lei quanto aos dispositivos das normas anteriores que afetam o setor de saúde. Segundo o advogado, a nova norma permite que dados pessoais e dados pessoais sensíveis possam ser utilizados para tutela da saúde, exclusivamente, em procedimentos realizados por profissionais de saúde, serviços de saúde ou autoridade sanitária.
"Anteriormente, a lei não previa a expressão 'serviços de saúde', razão que claramente ampliou e flexibilizou as possibilidades de utilização de dados pessoais e dados pessoais sensíveis."
Segundo o especialista, a norma ainda alterou as possibilidades de compartilhamento com finalidade econômica de dados pessoais sensíveis de saúde.
Revisão de dados
Conforme o advogado Ricardo Maffeis outra mudança trazida pela lei 13.853/19 é em relação à previsão da LGPD segundo a qual o titular dos dados teria direito de solicitar a revisão de decisões automatizadas, exigindo que ela fosse feita por pessoa natural.
"As empresas poderão determinar a revisão humana, mas não há mais a obrigatoriedade, de modo que a revisão pode ser efetuada também de forma automatizada. A decisão também é salutar, na medida em que, a depender do tamanho do banco de dados em questão, a exigência de revisão por pessoa natural poderia tornar inviável o trabalho."
Nesse ponto, Stella He Jin Kim pontua que tal exigência "poderia, de certo modo conceder mais transparência às relações sobre o tratamento de dados, o que acabaria por tornar tal previsão importante, principalmente, para a garantia plena dos direitos dos titulares dos dados".
No entanto, para ela, a exclusão da exigência não necessariamente possuirá impacto significativo imediato, "principalmente pela possibilidade de sua regulamentação futura em caso de configuração de prejuízo a proteção dos dados pessoais pela própria ANPD".
- Tratamento de dados
Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); (Redação dada pela Lei nº 13.853, de 2019)
O controlador e o operador.
Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional. (Redação dada pela Lei nº 13.853, de 2019)
Conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.
Impacto
A LGPD entra em vigor em agosto de 2020. No entanto, os impactos já começam a ter reflexos agora, enquanto os cidadãos e as empresas precisam se adequar a elas. "Neste sentido, será interessante observar, nesse período de vacatio legis, qual será a composição da ANPD, cuja atuação influenciará diretamente nos mais diversos setores", diz o advogado Fábio Aspis.
Segundo o causídico, é "importante destacar que enquanto não existe uma ANPD criada, são muito importantes os movimentos de grupos de empresas no sentido de implementarem internamente a nova legislação, bem como de criar guias, cartilhas e diretrizes para a aplicação da LGPD".
A nova lei é comemorada por Ricardo Maffeis, que afirma que, até o momento atual, não há uma preocupação efetiva do Brasil – e dos brasileiros – com a privacidade e proteção de dados pessoais.
"A LGPD tem potencial para representar uma mudança tão relevante quanto foi o surgimento do Código de Defesa do Consumidor nos anos 1990."