Entenda de uma vez por todas como fica a versão final da LGPD
A semente do direito à proteção de dados no Brasil foi definitivamente plantada pelo legislador.
quarta-feira, 10 de julho de 2019
Atualizado às 10:52
Desde que foi sancionada, a lei federal 13.709/18 (agora oficialmente denominada Lei Geral de Proteção de Dados - LGPD) foi alvo de muitas especulações, quedas de braço e curiosidades. Entre idas e vindas de debates legislativos, inserções e remoções de dispositivos legais, em pouco menos de 1 ano, a versão final da LGPD já conta com mais de 20 pontos de alterações significativas em relação à versão original, o que, certamente, desprestigia a tão buscada segurança jurídica e pode gerar muitas dúvidas para aqueles que tentam ficar a par do andamento da nova legislação e seus impactos.
Para tentar amenizar o problema, destaco abaixo as principais alterações na versão atual do texto, que conta com as modificações provocadas pela lei 13.853/19 (publicada no Diário Oficial de hoje, 9/7/19), em relação à redação originalmente publicada em 15/8/18:
1. Encarregado (DPO) deve também ser indicado por empresas que atuem como operadora de dados pessoais? Versão final da Lei traz conflito.
Diferentemente do que previa a versão inicial da LGPD, mas seguindo a lógica do Regulamento Europeu (GDPR), a definição do conceito de encarregado (também conhecido como data protection officer - DPO) dispõe que tal função deve existir não apenas para aquelas empresas que decidem "como" e "por que" tratar dados pessoais (controladoras), mas também para aquelas que agem a seu mando (operadoras). No entanto, a versão final da LGPD traz nítido conflito entre a definição do artigo 5o, VIII (que menciona a figura do operador) e regra do artigo 41, que, ao disciplinar a função do DPO, apenas faz referência aos controladores de dados.
Esse conflito é decorrente do veto presidencial à nova redação que seria implementada pela Lei sancionada hoje. De forma a tentar saná-lo, caso interpretemos a presente questão de acordo com a vontade do legislador, parece certo que empresas na posição de operadoras de dados também deveriam se preocupar com a nomeação de um encarregado, mesmo porque, atualmente, é raro encontrar situação em que determinada empresa seja tão-somente operadora de dados. Em outras palavras, é bastante comum, portanto, que durante a oferta de produtos ou serviços que envolvam tratamento de dados, a empresa acabe exercendo papel de controladora, o que atrai a necessidade do DPO, pelo menos até que a Autoridade Nacional de Proteção de Dados (ANPD) regulamente as situações de exceção.
2. A autorização legal para tratamento de dados relativos à saúde está mais ampla e flexível.
Na versão final da LGPD, a hipótese legal que autoriza o uso de dados para "tutela da saúde" acabou ficando bem mais flexível se comparada à versão original da Lei. Agora, tanto os dados pessoais "comuns" quanto os sensíveis poderão ser tratados para a tutela da saúde durante procedimento realizado por profissionais de saúde, autoridade sanitária ou serviços de saúde, sendo esse último trecho destacado a grande novidade introduzida na LGPD. Apesar de tal alteração ter sido tratada como mero ajuste de redação durante os debates legislativos mais recentes, é fato que isso resultou em uma significativa expansão das possibilidades de uso de dados na área da saúde.
3. Estende-se a possibilidade de utilização de dados que estejam publicamente acessíveis.
Embora um dado pessoal tornado público (pelo próprio titular ou terceiros, inclusive pelo Estado) siga sendo um dado pessoal protegido pela LGPD, a nova redação do artigo 7o, §7o, deixa claro que tal informação poderá ser utilizada para novas finalidades (diferentes daquelas pelas quais o dado se fez público), desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos na LGPD. Isso significa que, embora claramente seja possível utilizar um dado de acesso público para novas finalidades, será necessário que a empresa realize um teste de proporcionalidade e balanceamento de suas intenções, para que se avalie se estão de acordo com os requisitos trazidos por esse dispositivo legal, quais sejam: (i) propósito legítimo e específico, (ii) preservação dos direitos dos titulares e (ii) fundamentos e princípios da LGPD.
4. A possibilidade de compartilhamento de dados de saúde com finalidade econômica está mais flexível em relação à redação inicial da LGPD, mas mais rígida em comparação ao que se pretendia pela MP 869/18 (MP).
De acordo a versão atual da LGPD, fica vedado o compartilhamento de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, a menos que sejam respeitadas as seguintes condições cumulativas (teste dos 4 "SE"):
(i) Se ocorrer no contexto da prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde;
(ii) Se não tiver como objetivo a prática, pelas operadoras de planos privados de assistência à saúde, de seleção de riscos na contratação, assim como na contratação e exclusão de beneficiários (atividades que, por sinal, com as recentes alterações, ficam vedadas pela LGPD, em qualquer circunstância);
(iii) Se for em benefício dos interesses dos titulares dos dados; e
(iv) Se for relativo a pelo menos uma das atividades abaixo:
- a portabilidade de dados quando solicitada pelo titular; ou
- as transações financeiras e administrativas resultantes do uso e da prestação dos respectivos serviços.
Vale lembrar que, enquanto a LGPD "original" apresentava vedação genérica em relação ao compartilhamento de dados de saúde para finalidades econômicas (com exceção apenas para hipóteses de portabilidade de dados solicitada pelo titular ou de consentimento - sendo que essa última, em nosso entendimento, ainda pode ser apoiada na própria base legal do consentimento específico e destacado para tratamento de dados sensíveis), a MP pretendia ampliar a autorização legal para compartilhamentos dessa natureza sempre e quando fossem necessários para "adequada prestação de serviços de saúde suplementar", expressão genérica e ampla que acabou não vingando na versão final da Lei, como visto acima.
5. Revisão das decisões automatizadas não precisa mais ser por pessoa natural.
A LGPD inicialmente previa que qualquer titular de dados teria o direito de solicitar revisões das decisões tomadas exclusivamente de forma automatizada, sendo que tal revisão deveria ser feita, necessariamente, por um agente humano. A MP já havia retirado a necessidade de participação humana no processo de revisão, mas a lei 13.853/19 pretendia reintroduzir tal obrigação, não fosse o veto presidencial quanto a essa parte.
Portanto, não há mais a necessidade de que as revisões sejam feitas por humanos, tendo sendo apresentado o seguinte argumento para o veto:
"A propositura legislativa, ao dispor que toda e qualquer decisão baseada unicamente no tratamento automatizado seja suscetível de revisão humana, contraria o interesse público, tendo em vista que tal exigência inviabilizará os modelos atuais de planos de negócios de muitas empresas, notadamente das startups, bem como impacta na análise de risco de crédito e de novos modelos de negócios de instituições financeiras, gerando efeito negativo na oferta de crédito aos consumidores, tanto no que diz respeito à qualidade das garantias, ao volume de crédito contratado e à composição de preços, com reflexos, ainda, nos índices de inflação e na condução da política monetária."
6. Apesar de ser um dos requisitos a serem exigidos pelo mercado para exercício do cargo, a LGPD não traz a necessidade expressa de que o DPO (encarregado) detenha conhecimento jurídico-regulatório em proteção de dados.
Sobre esse ponto, vale lembrar que a LGPD originalmente também não previa tal necessidade. No entanto, esperava-se que essa fosse uma das alterações trazidas pela legislação aprovada hoje, não fosse outro veto do presidente da República, sob o seguinte argumento:
"A propositura legislativa, ao dispor que o encarregado seja detentor de conhecimento jurídico regulatório, contraria o interesse público, na medida em que se constitui em uma exigência com rigor excessivo que se reflete na interferência desnecessária por parte do Estado na discricionariedade para a seleção dos quadros do setor produtivo, bem como ofende direito fundamental, previsto no art. 5º, XIII da Constituição da República, por restringir o livre exercício profissional a ponto de atingir seu núcleo essencial."
Independentemente de tal veto, fato é que um bom DPO, entre outras habilidades necessárias para o adequado desempenho da função, deverá dominar não só a LGPD, mas também sua regulamentação-mãe, que é o GDPR europeu.
7. Mantidas as sanções que já existiam na versão da LGPD publicada em agosto do ano passado.
Apesar da tentativa do Legislativo de contornar os vetos do então presidente Michel Temer, ficam mantidas na LGPD as sanções administrativas da forma como já as conhecíamos, sendo elas:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- multa diária, observado o limite total acima;
- publicação da infração
- bloqueio dos dados pessoais a que se refere a infração até a sua regularização; e
- eliminação dos dados pessoais a que se refere a infração;
A meu ver, as três últimas sanções, apesar de normalmente perderem audiência para as sanções financeiras, são ainda mais graves, pois podem causar abalo reputacional (às vezes não contornável) e, ainda, suspensão das atividades da empresa. Portanto, independentemente dos reiterados vetos presidenciais, pode-se dizer que as punições existentes na Lei já são rigorosas o suficientes para justificar todo o movimento de mercado em relação à adequação à LGPD que estamos presenciando.
Ainda com relação às sanções, a nova versão da LGPD traz algumas novidades que merecem destaque:
- O produto da arrecadação das multas aplicadas pela ANPD será destinado ao Fundo de Defesa de Direitos Difusos;
- Os vazamentos individuais ou os acessos não autorizados a dados pessoais poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades da LGPD.
8. Enfim criada a Autoridade Nacional de Proteção de Dados Pessoais (ANPD).
Vetada na ocasião da publicação da LGPD em agosto do ano passado, recriada pela MP 869/18 e alterada pela lei 13.709/18, enfim temos o nosso órgão responsável por fiscalizar e orientar sobre o cumprimento da LGPD.
Segundo a versão atual da Lei, a ANPD será órgão da administração pública federal direta, integrante da presidência da República, havendo possibilidade para que o próprio Poder Executivo reavalie tal condição em 2 anos a partir da entrada em vigor de sua estrutura regimental. Caso isso aconteça, o Poder Executivo, segundo a LGPD, poderá transformar a ANPD em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República, o que, em tese e ao menos legalmente, confere maior autonomia e independência à autoridade.
Vale lembrar que o grau de independência da ANPD em relação ao Governo é um fato que fatalmente será chave quando da análise, pela União Europeia, do nosso nível de adequação com o fim de que nos tornemos "território seguro" para o recebimento de dados protegidos pelo GDPR (o que eliminaria riscos e desgastes burocráticos por parte de empresas sujeitas ao Regulamento Europeu e, consequentemente, tende a trazer maior dinamismo à nossa economia digital).
No mais, a ANPD será composta por:
- Conselho diretor (5 membros que tomarão as decisões);
- Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (com formação multissetorial, composto por 23 membros de diversos setores da sociedade sem poderes de voto nas tomadas das decisões);
- Corregedoria;
- Ouvidoria;
- Órgão de assessoramento jurídico próprio; e
- Unidades administrativas e unidades especializadas necessárias à aplicação do disposto na LGPD.
Quanto à atuação da ANPD, abaixo estão alguns pontos interessantes:
- A ANPD poderá celebrar compromissos com as empresas;
- Tem a capacidade de editar normas (e afins) específicas (e mais flexíveis) para startups;
- Será o grau máximo, na esfera administrativa (não judicial), para interpretar a LGPD, o que não exclui o poder de fiscalização que outros órgãos terão, de forma limitada às suas competências;
- Poderá realizar auditorias;
- Deverá receber e processar as reclamações das pessoas físicas titulares de dados (em meios facilitados, especialmente eletrônicos), desde que tais titulares tenham procurado antes a própria empresa denunciada, e que esta não tenha resolvido a questão; e
- Comunicará às autoridades competentes as infrações penais das quais tiver conhecimento.
Por fim, independentemente do número de profissionais que formarão o staff da ANPD (o que ainda será definido), fato é que teremos no Brasil cerca de 210 milhões potenciais fiscalizadores da LGPD, o que certamente gerará um grande contencioso administrativo no tema, além, é claro, do aumento exponencial de ações judicias que discutirão a matéria (atuações de porta de data center!).
Para fechar...
Esses são, portanto, os pontos essenciais para entender como ficou a versão atual da LGPD, que, definitivamente, entra em vigor em 16 de agosto de 2020 (extensão de 6 meses em relação ao prazo inicialmente previsto). Mas os estudos e o acompanhamento do tema da proteção de dados no Brasil da cara leitora não podem parar por aqui.
Vêm aí: debate sobre a composição da ANPD (em relação ao corpo diretivo, a expectativa é que tenhamos definição já até o final do mês que vem), primeiras guidelines da ANPD sobre interpretações da LGPD e, ainda, edição da regulamentação da LGPD, que deverá incluir questões relacionadas ao tratamento de dados pelo Poder Público, à operacionalização e aos prazos para atendimento de direitos dos titulares, às medidas de segurança da informação, às especificações sobre o DPO, entre outros tópicos relevantes.
Como costumo dizer, a semente do direito à proteção de dados no Brasil foi definitivamente plantada pelo legislador. Agora, todos nós, profissionais da privacidade, seremos responsáveis por acompanhar e participar do processo de cultivo dessa área no país, desbravando todas as complexas questões que surgem no dia a dia. É um baita desafio, que, definitivamente, não dá lugar a aventureiros, mas traz infinitas oportunidades a todos aqueles que, de maneira responsável, se aprofundam na matéria.
______________
*Luis Fernando Prado Chaves é sócio responsável pela área de Direito Digital, Privacidade e Proteção de Dados do escritório Daniel Advogados. LLM em Direito Digital e Sociedade da Informação pela Universidade de Barcelona. Pós graduado em Propriedade Intelectual e Novos Negócios pela FGV Direito SP. Professor convidado do curso Data Protection Officer - Privacidade e Proteção de Dados da FGV Direito Rio.