LGPD: perspectivas após a aprovação da Medida Provisória nº 869/2018
O governo está se preparando para a chegada da LGPD, mas ainda há muitas questões a serem acertadas
Com a aprovação da Medida Provisória nº 869/18, que alterou a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPDP), pelo Congresso Nacional e ainda pendente de sanção presidencial, novas perspectivas surgem neste cenário a partir de agosto de 2020.
A Medida Provisória nº 869 fez algumas importantes alterações na LGPD, trazendo de volta ao ordenamento jurídico diversos itens que haviam sido vetados pelo Presidente Michel Temer, bem como adicionando significativas alterações, que passaremos a destacar.
Com efeito, a principal medida da legislação é a recriação da Autoridade Nacional de Proteção de Dados (ANPD), que havia sido vetada na sanção presidência da LGPDP, e cujos membros do Comitê Diretor serão nomeados pelo Presidente da República, mediante aprovação pelo Senado Federal.
Apesar da preocupação inicial da ANPD estar vinculada à Presidência da República, em razão das dúvidas acerca da sua independência, após 2 (dois) anos esta relação será reavaliada para decidir a conveniência de sua transformação em um órgão da administração pública indireta do Poder Executivo.
É importante que a ANDP deixe de estar vinculada à Casa Civil, a fim de manter a independência necessária, a final de contas, será o principal órgão para dispor quanto normas, orientações e procedimentos aos interessados, bem como elaborar diretrizes para Política Nacional de Proteção de Dados Pessoais e privacidade e, estabelecer como serão realizadas as auditorias no âmbito da atividade de fiscalização do tratamento de dados pessoais junto a controladores e operadores.
A ANDP também deverá regular as exigências quanto aos relatórios de impacto quando o tratamento representar risco aos princípios gerais de proteção de dados pessoais previstos na LGPDP.
Outro aspecto importante, caracterizando a importância dos poderes dados à ANDP, e que foi novamente inserido na legislação de proteção de dados, é o retorno da possibilidade da autoridade nacional estabelecer a suspensão do funcionamento ou do tratamento do banco de dados, em caso de infração, pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador ou, mesmo, a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
E, a ANDP será responsável, em caráter terminativo, pela interpretação da LGPDP, suas competências e os casos omissos, ou seja, a autoridade nacional será a instância administrativa para consultas e recursos sobre a matéria.
Além do Comitê Diretor da ANPD, a Medida Provisória aprovada pelo Congresso Nacional trouxe de volta o Conselho Nacional de Proteção de Dados e da Privacidade (CNPDP), a quem compete propor diretrizes estratégicas e colaborar para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD. O CNPDP voltou a ser composto por 23 integrantes, sendo designadas novas vagas para a sociedade civil e categorias econômicas do setor produtivo.
Quanto à figura do encarregado pelo tratamento de dados (ou Data Protection Officer – DPO, como a GDPR), a nova legislação deixou de restringir que ele seja exclusivamente uma pessoa física, bem como estabeleceu que deverá ter conhecimentos jurídicos e regulatórios. Também poderá ser designado um único encarregado para um grupo econômico.
Vale ressaltar, ainda, que a ANPD poderá determinar quais empresas deverão ter a figura do encarregado. A legislação anterior dava a entender que todas as empresas, de qualquer tamanho que fosse, deveriam ter esta figura.
Vale ressaltar que a exigência de conhecimentos jurídicos e regulatórios não consiste em uma espécie de reserva de mercado para advogados, mas somente se exigirá que o encarregado ou DPO tenha mínimo conhecimento técnico e da legislação e regulamentos da ANPD.
Isto significa que a ANPD poderá exigir que o encarregado pelo tratamento de dados deverá realizar cursos específicos e até mesmo vir a ser certificado pela entidade ou por institutos autorizados para tanto, como ocorre, por exemplo, na legislação espanhola de proteção de dados, que demanda que o profissional seja aprovado em uma prova da agência reguladora.
Finalmente, importante aspecto relacionado ao direito do consumidor, é a possibilidade do titular dos dados solicitar a revisão, por pessoa natural, de decisões tomadas unicamente com base em tratamento automatizado de seus dados pessoais que afetem seus interesses, que havia sido retirada pela redação original da MP nº 869, com fundamentação na eficiência econômica das empresas.
Isso significa que, com o retorno da decisão, as empresas que utilizam análise através de algoritmos de processamento de dados precisarão prever uma instância interna para atendimento de solicitações de revisões do tratamento de dados de consumidor e que esta seja realizada por um humano.
Mais importante, todavia, no nosso entender é que o tratamento de dados seja efetuado de modo a garantir transparência para o consumidor, para se evitar uma profusão revisão das análises dos seus dados.
Como se vê, agora a legislação foi completada, competindo à ANPD, assim que seu conselho diretor for empossado, estabelecer as premissas e os regulamentos para o tratamento de dados. Ou seja, ainda falta muito o que fazer até agosto de 2020.
*Leandro Alvarenga Miranda é advogado do COTS Advogados. Atuou como consultor legislativo no processo de criação da LGPD e Ricardo Azevedo é advogado do COTS Advogados e Especialista em proteção de dados e privacidade.
