Opinião & Análise

Dados pessoais

Primeiras impressões sobre as alterações da Medida Provisória 869/2018 na LGPD

Medida dá um passo na contramão da convergência normativa internacional

LGPD
Crédito: Pexels

Knowledge is power. To scrutinize others while avoiding scrutiny oneself is one of the most important forms of power. Firms seek out intimate details of potential customers’ and employees’ lives, but give regulators as little information as they possibly can about their own statistics and procedures. Internet companies collect more and more data on their users but fight regulations that would let those same users exercise some control over the resulting digital dossiers.[1]

 

Frank Pasquale

As palavras de Pasquale sintetizam com clareza o ambiente atual no tocante ao fluxo massivo de dados pessoais propiciado pelas Tecnologias da Informação e Comunicação. Ao mesmo passo em que os provedores desenvolvem ferramentas e aplicações cada vez mais sofisticadas para a captação dos dados e categorização dos consumidores, pressionam para que a legislação os isente de deveres e obrigações relativos à tutela da privacidade dos usuários.

Nos últimos anos temos assistido a um aumento de preocupação na esfera pública relativo à tutela jurídica do direito fundamental à proteção de dados pessoais, cuja autonomia se impõe,  na  exata medida em que a informação se tornou a substância essencial da composição de uma nova morfologia estruturante da sociedade. Isso  implica considerar que os dados pessoais chegam a fazer às vezes da própria pessoa. E, nesse cenário, o tratamento de tais dados adquire notável relevância, a ponto de se definir a proteção constitucional para as informações e para os dados pessoais.[2]

A evolução da chamada sociedade da informação[3] impôs aos Estados um dever, consubstanciado na “promoção de um equilíbrio entre os valores em questão, desde as consequências da utilização da tecnologia para o processamento de dados pessoais, suas consequências para o livre desenvolvimento da personalidade, até a sua utilização pelo mercado”.[4]

A Europa saiu na frente.

A Carta de Direitos Fundamentais prevê não somente um direito autônomo, pois também consagra os princípios do consentimento e da finalidade da coleta e do processamento de dados com status normativo diferenciado, além de prever, no plano do direito fundamental, a necessidade de uma autoridade independente (grifamos) para a aplicação de sanções nesse caso.[5]

O Regulamento nº 2.016/679, popularmente conhecido como “Regulamento Geral sobre Proteção de Dados” – RGPD –, por sua vez, foi pioneiro em reforçar e tornar mais próximos da realidade atual institutos considerados avançados como direito a deletar dados, direito ao esquecimento, além de conter normas que vão além das já estabelecidas autoridades de proteção de dados em cada um dos países, disciplinando o Comitê Europeu de Proteção de Dados.[6]

O Brasil, atrasado, contava com menções à proteção de dados no Marco Civil da Internet (Lei nº 12.965/14 – MCI), mas apenas em 2018 aprovou a Lei Geral de Proteção de dados (Lei nº 13.709/18 – LGPD), com vigência postergada.

A lei brasileira é expressão da convergência internacional em torno de princípios básicos da proteção de dados pessoais no mundo, ensejando uma aproximação entre as diversas legislações, em conteúdo e forma, para além das peculiaridades nacionais, trazendo consigo a identidade de um padrão normativo entre os diversos sistemas internacionais. [7]

No apagar das luzes, o governo anterior editou a Medida Provisória nº 869/2018, que já traz alterações a seu texto, dentre elas uma dilatação do prazo de vacatio legis da LGPD, aumentando ainda mais o lapso para sua entrada em vigor no tocante à matéria da proteção de dados (art. 65, inciso II).[8]

Além disso, enfraqueceu a proteção dos dados acadêmicos (art. 4º, II, “b”), que antes contavam com as proteções dos arts. 7º e 11. Agora, integram as já vagas noções de “segurança pública”, “defesa nacional”, “segurança do Estado” etc. (art. 4º, III).

Alterou o conceito de ‘encarregado’ (art. 5º, VIII), que, antes, deveria ser uma pessoa natural. Agora, permitiu-se que tal função seja realizada por tratamento automatizado de dados, regido pelos mesmos algoritmos que dão ensejo ao que Pasquale chama de “Sociedade da caixa preta”.

A Medida Provisória retrocede em relação à redação original da Lei 13.709/18 ao alargar as exceções ao sistema geral de proteção dos dados sensíveis, baseado, em última análise, no consentimento informado acrescendo ao artigo 11 o parágrafo 4º.

O novo parágrafo quarto do artigo 11 veda a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto em duas hipóteses: I – portabilidade de dados quando consentido pelo titular; ou II – necessidade de comunicação para a adequada prestação de serviços de saúde suplementar.”

No tocante aos dados do Poder Público (artigo 26, §1º), fez o mesmo, alargando o rol de exceções e facilitando, por conseguinte, seu fluxo fora das hipóteses em que há consentimento do cidadão, dispensando-se também da comunicação por parte do Poder Público nestas hipóteses (art. 27).

Mas o principal aspecto do texto da Medida Provisória é a criação da Autoridade Nacional de Proteção de Dados e do Conselho Nacional (arts. 55-A e ss.),  objetos de veto presidencial no texto original da lei, não obstante fundamental para a efetividade dos direitos fundamentais ali previstos.

A partir da visão das mais de 40 hipóteses do texto legal em que a Autoridade é chamada a atuar, sua competência é ampla, abrangendo desde a solicitação e análise de relatórios de impacto de privacidade, determinação de medidas para reverter efeitos de vazamentos de dados, disposição sobre padrões técnicos de segurança da informação e até mesmo a autorização para a transferência internacional de dados pessoais. Mais do que um mero coadjuvante, trata-se do arcabouço normativo e principiológico do novo sistema[9], ainda que integrado com outras fontes, como o Código Civil, o Código de Defesa do Consumidor e o Marco Civil da Internet.

É inegável que a ideia de um direito autônomo à proteção dos dados pessoais surge  relacionada ao controle de acesso, que restringe quem pode visualizar determinado conteúdo, assegurando-se aos indivíduos que produzem ou influenciam informações relacionadas a si mesmos o direito de determinar as permissões (de acesso e até de compartilhamento) que desejam conceder a outrem,[10] mas, também, sanções e mecanismos de controle e fiscalização – funções da ANPD. Tratava-se de ausência sentida, na medida em que a lei trouxe inúmeras menções à Agência Nacional, em seu texto original, ao modelo de outros países, como forma de regulamentar e fiscalizar a concretização de tal direito fundamental na contemporaneidade.

A autoridade, no texto vetado, seria uma autarquia especial, vinculada ao Ministério da Justiça, com independência administrativa, ausência de subordinação hierárquica, mandato fixo e estabilidade de seus dirigentes e autonomia financeira (art. 55 caput e § 3º), o que inegavelmente era visto com bons olhos.

No tocante às suas atribuições (art. 56), convém destacar o seguinte quadro comparativo entre o texto atual, definido pela medida provisória, e o que foi objeto de veto:

Texto atualTexto vetado
Art. 55-J.  Compete à ANPD:  (Incluído pela Medida Provisória nº 869, de 2018)Art. 56.  A ANPD terá as seguintes atribuições:
I – zelar pela proteção dos dados pessoais;  (Incluído pela Medida Provisória nº 869, de 2018)I – zelar pela proteção dos dados pessoais, nos termos da legislação;

 

II – editar normas e procedimentos sobre a proteção de dados pessoais;  (Incluído pela Medida Provisória nº 869, de 2018)II – zelar pela observância dos segredos comercial e industrial em ponderação com a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º desta Lei;

 

III – deliberar, na esfera administrativa, sobre a interpretação desta Lei, suas competências e os casos omissos;  (Incluído pela Medida Provisória nº 869, de 2018)III – elaborar diretrizes para Política Nacional de Proteção de Dados Pessoais e da Privacidade;

 

IV – requisitar informações, a qualquer momento, aos controladores e operadores de dados pessoais que realizem operações de tratamento de dados pessoais;  (Incluído pela Medida Provisória nº 869, de 2018)IV – fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;

 

V – implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei;  (Incluído pela Medida Provisória nº 869, de 2018)V – atender petições de titular contra controlador;

 

VI – fiscalizar e aplicar sanções na hipótese de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;  (Incluído pela Medida Provisória nº 869, de 2018)VI – promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;

 

VII – comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;  (Incluído pela Medida Provisória nº 869, de 2018)VII – promover estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;

 

VIII – comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei praticado por órgãos e entidades da administração pública federal;   (Incluído pela Medida Provisória nº 869, de 2018)VIII – estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, que deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;

 

IX – difundir na sociedade o conhecimento sobre as normas e as políticas públicas de proteção de dados pessoais e sobre as medidas de segurança;   (Incluído pela Medida Provisória nº 869, de 2018)IX – promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;

 

X – estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle e proteção dos titulares sobre seus dados pessoais, consideradas as especificidades das atividades e o porte dos controladores;  (Incluído pela Medida Provisória nº 869, de 2018)X – dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, observado o respeito aos segredos comercial e industrial;

 

XI – elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;  (Incluído pela Medida Provisória nº 869, de 2018)XI – solicitar, a qualquer momento, às entidades do Poder Público que realizem operações de tratamento de dados pessoais, informe específico sobre o âmbito e a natureza dos dados e os demais detalhes do tratamento realizado, podendo emitir parecer técnico complementar para garantir o cumprimento desta Lei;

 

XII – promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;  (Incluído pela Medida Provisória nº 869, de 2018)XII – elaborar relatórios de gestão anuais acerca de suas atividades;

 

XIII – realizar consultas públicas para colher sugestões sobre temas de relevante interesse público na área de atuação da ANPD;  (Incluído pela Medida Provisória nº 869, de 2018)XIII – editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, assim como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco para a garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;

 

XIV – realizar, previamente à edição de resoluções, a oitiva de entidades ou órgãos da administração pública que sejam responsáveis pela regulação de setores específicos da atividade econômica;   (Incluído pela Medida Provisória nº 869, de 2018)XIV – ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante, assim como prestar contas sobre suas atividades e planejamento;

 

XV – articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e   (Incluído pela Medida Provisória nº 869, de 2018)XV – arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e despesas; e

 

XVI – elaborar relatórios de gestão anuais acerca de suas atividades.   (Incluído pela Medida Provisória nº 869, de 2018)XVI – realizar ou determinar a realização de auditorias, no âmbito da atividade de fiscalização, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluindo o Poder Público.

 

§ 1º  A ANPD, na edição de suas normas, deverá observar a exigência de mínima intervenção, assegurados os fundamentos e os princípios previstos nesta Lei e o disposto no art. 170 da Constituição.   (Incluído pela Medida Provisória nº 869, de 2018)§ 1º  Ao impor condicionamentos administrativos ao tratamento de dados pessoais por agente de tratamento privado, sejam eles limites, encargos ou sujeições, a ANPD deve observar a exigência de mínima intervenção, assegurados os fundamentos, os princípios e os direitos dos titulares previstos no art. 170 da Constituição Federal e nesta Lei.

 

§ 2º  A ANPD e os órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental devem coordenar suas atividades, nas correspondentes esferas de atuação, com vistas a assegurar o cumprimento de suas atribuições com a maior eficiência e promover o adequado funcionamento dos setores regulados, conforme legislação específica, e o tratamento de dados pessoais, na forma desta Lei.   (Incluído pela Medida Provisória nº 869, de 2018)Sem correspondente
§ 3º  A ANPD manterá fórum permanente de comunicação, inclusive por meio de cooperação técnica, com órgãos e entidades da administração pública que sejam responsáveis pela regulação de setores específicos da atividade econômica e governamental, a fim de facilitar as competências regulatória, fiscalizatória e punitiva da ANPD.   (Incluído pela Medida Provisória nº 869, de 2018)Sem correspondente
§ 4º  No exercício das competências de que trata o caput, a autoridade competente deverá zelar pela preservação do segredo empresarial e do sigilo das informações, nos termos da lei, sob pena de responsabilidade.  (Incluído pela Medida Provisória nº 869, de 2018)Sem correspondente
§ 5º  As reclamações colhidas conforme o disposto no inciso V do caput poderão ser analisadas de forma agregada e as eventuais providências delas decorrentes poderão ser adotadas de forma padronizada.  (Incluído pela Medida Provisória nº 869, de 2018)Sem correspondente

Na versão da Medida Provisória, já em vigor (art. 65, I), a ANPD não faz mais parte da Administração Indireta, tendo sido instituída agora como órgão da Administração Direta, nem tampouco goza de independência – aspecto central destacado no início deste texto.

Neste ponto, convém tecer menção direta ao conceito legal de ‘autoridade nacional’: “Art. 4º…omissis…XIX – autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei.” Nota-se que foi suprimida expressamente a menção à independência do órgão.

Destaca-se, ainda, o fato de não mais se falar na autonomia para a elaboração de uma Política Nacional, já que esta agora remanesce atrelada à Presidência da República, com apoio da Casa Civil (art. 55-G).

A Medida Provisória, lamentavelmente, dá um passo na contramão da convergência normativa internacional, já que a regulação europeia determina que as autoridades deverão atuar de forma independente, livre de influências externas, diretas ou indiretas (art. 52, RGPD). As Autoridades de Proteção de Dados têm sua jurisdição restrita aos limites territoriais das suas normas, e são, em regra, parte da administração de cada país membro da União Europeia.[11]

Ao fazer parte da Administração Pública Direta, na esfera federal, a Autoridade brasileira surge com o risco de pouca ou nenhuma efetividade na fiscalização e aplicação de sanções, uma de suas principais atribuições. Aguarda-se a atuação do Congresso Nacional, com poucas chances de alteração de seus atributos-chave.

Enfim, a sorte está lançada.

 

 

—————————–

[1]PASQUALE, Frank. The black box society: the secret algorithms that control money and information. Cambridge: Harvard University Press, 2015, p. 4.

[2] MENDES, Laura Schertel. Privacidade, proteção de dados e defesa do consumidor: linhas gerais de um novo direito fundamental. São Paulo: Saraiva, 2014, p. 169.

[3] Para maiores detalhes, confira-se: CASTELLS, Manuel. The rise of the network society: information age. 2. ed. Oxford: Blackwell, 2010, v. 1, p. 469 et seq.

[4] DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar, 2006, p. 407.

[5] “Artigo 8º Proteção de dados pessoais 1. Todas as pessoas têm direito à proteção dos dados de carácter pessoal que lhes digam respeito.  2. Esses dados devem ser objecto de um tratamento leal, para fins específicos e com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei. Todas as pessoas têm o direito de aceder aos dados coligidos que lhes digam respeito e de obter a respectiva rectificação. 3. O cumprimento destas regras fica sujeito a fiscalização por parte de uma autoridade independente.”

[6]EUROPA, Regulamento Geral de Proteção de Dados. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679&from=PT. Acesso em 19 nov. 2018.

[7] MENDES, Laura Schertel; DONEDA, Danilo. Reflexões iniciais sobre a nova Lei Geral de Proteção de Dados. Revista de Direito do Consumidor. São Paulo, v.120, p.471, nov./dez. 2018.

[8]Art. 65.  Esta Lei entra em vigor:   (Redação dada pela Medida Provisória nº 869, de 2018) [omissis].

II – vinte e quatro meses após a data de sua publicação quanto aos demais artigos.    (Incluído pela Medida Provisória nº 869, de 2018)

[9] DONEDA, Danilo; MENDES, Laura Schertel, op.cit., p.478.

[10] Sobre o tema, confira-se: STALLINGS, William. Network security essentials: applications and standards. 6. ed. Londres: Pearson, 2007.

[11]Exceção é a Alemanha, que tem mais de uma Autoridade em seu território federal. Para uma detalhada enumeração das Autoridades dos países, com data de criação e os responsáveis, v. BLUM, Renato Ópice; ARANTES, Camila Rioja. Autoridades de controle, atribuições e sanções. In: BLUM, Renato Ópice; MALDONADO, Viviane Nóbrega. Comentários ao GDPR: Regulamento Geral de Proteção de Dados da União Europeia. São Paulo: Revista dos Tribunais, 2018, p. 229-232.


Faça o cadastro gratuito e leia até 10 matérias por mês. Faça uma assinatura e tenha acesso ilimitado agora

Cadastro Gratuito

Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito