Constituição, Empresa e Mercado

Dados pessoais

Nova LGPD: balanço preliminar da MP 869/2018

A última parte da série que analisa as repercussões da nova lei para a atividade empresarial

Imagem: Pixabay

Diante da edição da Medida Provisória nº 869, de 27 de dezembro de 2018, alterando vários pontos da LGPD e incluindo novos dispositivos em seu texto, é importante fazer um balanço preliminar das novidades propostas, pois, ainda que a norma não seja convertida em lei, é um importante sinalizador sobre o que poderia ou deveria ser complementado e modificado do texto original da LGPD.

Dentre os pontos mais importantes trazidos pela Medida Provisória, estão a criação e estruturação da Autoridade Nacional de Proteção de Dados e o aumento do prazo geral da vacatio legis para 24 meses, salvo no que diz respeito aos próprios dispositivos disciplinadores da ANPD, os quais têm eficácia a partir de 28.12.2018.

No que diz respeito à ANPD, já se viu a sua importância central para a eficácia da LGPD. Com efeito, além da competência de fiscalizar e aplicar sanções, os artigos anteriores da presente série destacaram expressamente algumas das várias importantes atribuições da autoridade nacional, dentre as quais as de (i) solicitar aos controladores relatórios de impacto à proteção de dados, (ii) determinar o término do tratamento de dados quando houver violação à lei, (iii) determinar o bloqueio ou eliminação de dados, (iv) receber e se pronunciar sobre reclamações dos usuários e todas as manifestações decorrentes do direito de petição e (vi) realizar auditorias em casos de decisões totalmente automatizadas.

Ademais, destaca-se igualmente a competência da autoridade nacional para regulamentar matérias fundamentais para a eficácia e a aplicação coerente da LGPD, tais como (i) padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, bem como tempo de guarda de registros, (ii) termos de tratamento de dados para fins de cumprimento de obrigação legal ou regulatória, (iii) requisitos para a comunicação ou uso compartilhado de dados pessoais sensíveis entre controladores com o objetivo de obter vantagem econômica, inclusive com possibilidade de vedação, (iv) requisitos para tratamento de dados relacionados à saúde pública, (v) exercício do direito de solicitar cópia eletrônica integral dos dados pessoais, (vi) padrões e técnicas utilizados em processos de anonimização, (vii) critérios para que uma política de proteção de dados seja considerada adequada, dentre outros.

Daí a imprescindibilidade da autoridade nacional, lacuna de certa forma suprida pela Medida Provisória que, em seu art. 55-A, dispõe que “Fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados – ANPD, órgão da administração pública federal, integrante da Presidência da República”.

Dois pontos chamam logo a atenção: O fato de a autoridade ser criada sem aumento de despesa – tanto que o art. 55-H .prevê que “Os cargos em comissão e as funções de confiança da ANPD serão remanejados de outros órgãos e entidades do Poder Executivo federal” – e a sua integração à Presidência da República. Tais aspectos podem comprometer, na prática, a autonomia financeira e técnica da autoridade nacional, subordinando-a indevidamente aos interesses do Poder Executivo.

Verdade seja dita que o art. 55-B expressamente dispõe que “É assegurada autonomia técnica à ANPD.” Entretanto, em se tratando de autonomia, é saber comum que não basta prevê-la como princípio; é necessário assegurar as garantias institucionais sem as quais ela não tem como ser implementada.

Sob essa perspectiva, é motivo de preocupação que a ANPD, apesar de suas relevantíssimas atribuições, apresente, do ponto de vista organizacional, estrutura que revela fragilidade institucional e dependência em relação à Presidência da República.

No que diz respeito à sua organização interna, prevê o art. 55-C que a ANPD é composta por diversos órgãos: (i) o Conselho Diretor, órgão máximo de direção; (ii) o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade; (iii) a Corregedoria; (iv) a Ouvidoria; (v) órgão de assessoramento jurídico próprio; e (vi) unidades administrativas e unidades especializadas necessárias à aplicação do disposto na lei.

Nos termos do art. 55-D e seus parágrafos, o Conselho Diretor da ANPD é composto por cinco diretores, incluído o Diretor-Presidente, todos nomeados pelo Presidente da República, de acordo com critérios de reputação ilibada e especialidade na área, para exercerem mandatos de quatro anos. Nos termos do art. 55-E, os membros do Conselho Diretor podem perder seus mandatos, além das hipóteses de renúncia e condenação judicial transitada em julgado, como resultado da pena de demissão decorrente de processo administrativo disciplinar instaurado pelo presidente da República.

Já o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade é composto por vinte e três representantes dos poderes, de órgãos públicos importantes, da sociedade civil, de instituições científicas e do setor empresarial, que participarão de forma não remunerada.

No que diz respeito às atribuições da ANPD, o art. 55-J assim as enumera: (i) zelar pela proteção dos dados pessoais; (ii) editar normas e procedimentos sobre a proteção de dados pessoais;(iii) deliberar, na esfera administrativa, sobre a interpretação desta Lei, suas competências e os casos omissos; (iv) requisitar informações, a qualquer momento, aos controladores e operadores de dados pessoais que realizem operações de tratamento de dados pessoais; (v) implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei; (vi) fiscalizar e aplicar sanções na hipótese de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso; (vii) comunicar às autoridades competentes as infrações penais das quais tiver conhecimento; (viii) comunicar aos órgãos de controle interno o descumprimento da Lei praticado por órgãos e entidades da administração pública federal; (ix) difundir na sociedade o conhecimento sobre as normas e as políticas públicas de proteção de dados pessoais e sobre as medidas de segurança; (x) estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle e proteção dos titulares sobre seus dados pessoais, consideradas as especificidades das atividades e o porte dos controladores; (xi) elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;(xii) promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;(xiii) realizar consultas públicas para colher sugestões sobre temas de relevante interesse público na área de atuação da ANPD;(xiv) realizar, previamente à edição de resoluções, a oitiva de entidades ou órgãos da administração pública que sejam responsáveis pela regulação de setores específicos da atividade econômica; (xv) articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e (xvi) elaborar relatórios de gestão anuais acerca de suas atividades.

Tais atribuições são desejáveis e compatíveis com as obrigações e determinações já previstas na redação original da LGPD, valendo a pena ressaltar o papel de advocacy que é dado à ANPD, a fim de que esta assuma o processo de consolidação de cultura de cumprimento das normas de proteção de dados. Tal atribuição foi, inclusive, expressamente conferida ao Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, cujas competências específicas, nos termos do art. 58-A, são as de (i) propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD; (ii) elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade; (iii) sugerir ações a serem realizadas pela ANPD; (iv) elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; e (v) disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população em geral.

Na descrição das competências e atribuições da nova autoridade nacional, causa estranhamento o 1º do art. 55-J, segundo o qual “A ANPD, na edição de suas normas, deverá observar a exigência de mínima intervenção, assegurados os fundamentos e os princípios previstos nesta Lei e o disposto no art. 170 da Constituição.” (grifos nossos). Afinal, diante das alterações estruturais necessárias para o enforcement da LGPD, indaga-se o que seria essa mínima intervenção e em que medida ela seria suficiente para assegurar a transformação profunda que a lei propõe.

Apesar de se basear no diálogo com as demais autoridades, o art. 55-K faz questão de deixar clara a primazia da ANPD, ao afirmar que “A aplicação das sanções previstas nesta Lei compete exclusivamente à ANPD, cujas demais competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública.”

A intenção de evitar conflitos com outras autoridades reguladoras e os próprios órgãos de defesa do consumidor é reforçada no § único do art. 55-K, ao afirmar que “A ANPD articulará sua atuação com o Sistema Nacional de Defesa do Consumidor do Ministério da Justiça e com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais, e será o órgão central de interpretação desta Lei e do estabelecimento de normas e diretrizes para a sua implementação.”

Como se observa, não obstante a previsão de diálogo e articulação com o Sistema Nacional de Defesa do Consumidor e outros órgãos com competências afetas, a Medida Provisória deixa clara a primazia da ANPD inclusive do ponto de vista interpretativo, o que também pode causar inúmeras discussões.

Além da criação da ANPD, vale ressaltar que a Medida Provisória também realiza modificações pontuais no texto da LGPD. Dentre aquelas que dizem respeito aos assuntos já tratados nos artigos anteriores da presente série, destacam-se:

(i) a mudança na definição de encarregado, já que a nova redação do inciso VIII, do art. 5º, deixa de se referir à pessoa natural, limitando-se a considerar o encarregado como “pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados”;

(ii) a revogação dos §§ 1º e 2º do art. 7º, da LGPD, que exigiam expressamente que o titular de dados fosse informado nos casos de tratamento de dados para cumprimento de obrigação legal ou regulatória pelo controlador ou pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;

(iii) a alteração do § 4º, do art. 11, que agora prevê também a possibilidade de comunicação ou uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica quando houver necessidade de comunicação para a adequada prestação de serviços de saúde suplementar; e

(iv) a mudança no art. 20 da LGPD, que deixa de fazer menção à necessidade de revisão de decisão totalmente automatizada por pessoa natural, prevendo tão somente que “O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.”

É necessário que tais modificações sejam analisadas com atenção, pois podem causar preocupações e dificuldades. No que diz respeito ao direito de informação do titular anteriormente contemplado nos §§ 1º e 2º do art. 7º, poder-se-ia até sustentar que não havia necessidade de previsão expressa nesse sentido, pois o direito de ser informado já decorreria dos direitos básicos dos titulares de dados e dos princípios da LGPD, dentre os quais o da transparência e o da finalidade. Entretanto, é importante lembrar que os referidos parágrafos reforçavam a oponibilidade do direito mesmo ao poder público e mesmo diante do interesse público que justifica o tratamento. Dessa maneira, o receio é que a revogação possa dar margem à indesejável interpretação de que, nesses casos, o titular não precisaria ser informado.

No que diz respeito ao §4º do art. 11, é necessário salientar que a redação original da LGPD procurava restringir a comunicação ou compartilhamento de dados pessoais ou sensíveis com o objetivo de favorecer o controlador, possibilitando que obtivesse vantagem econômica. Não tratava, portanto, da hipótese de necessidade para a adequada prestação de serviços. Dessa maneira, a modificação trazida pela Medida Provisória pode mais confundir do que esclarecer.

Por fim, a supressão da revisão, por pessoa natural, de decisões totalmente automatizadas é bastante criticável, pois, como já se explicou em artigos antecedentes da série, o direito à explicação e revisão de decisões automatizadas apenas pode ser compreendido diante da preocupação mais abrangente de evitar que titulares de dados estejam sujeitos a decisões exclusivamente automatizadas.

Dessa maneira, com a exclusão da revisão por pessoa natural, admite-se que a insurgência do titular de dados seja também decidida por uma máquina, sujeitando-o novamente a processos decisórios totalmente automatizados, ainda que em diferentes esferas, com o que se esvazia o próprio conteúdo do direito originalmente previsto no art. 20 da LGPD.

Em síntese, são essas as principais modificações da MP em relação aos pontos que já foram abordados anteriormente. Resta agora saber se serão ou não mantidas e quais os seus reais impactos para a eficácia da LGPD e dos direitos por ela previstos.


Faça o cadastro gratuito e leia até 10 matérias por mês. Faça uma assinatura e tenha acesso ilimitado agora

Cadastro Gratuito

Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito