Culturalmente, as últimas semanas de dezembro e os primeiros dias de janeiro são momentos pouco movimentados no âmbito socioeconômico e dificilmente acontecem mudanças de grande impacto nesses dias. Mas na virada de 2018 para 2019 não foi bem assim.
No dia 27 de dezembro do ano passado foi publicada a MP 869/2018, que criou a Autoridade Nacional de Proteção de Dados (ANPD) e fez diversas mudanças na Lei Geral de Proteção de Dados (LGPD), iniciativa que regulamenta a coleta e processamento de informações pessoais no Brasil.
A seguir, veremos algumas das principais alterações dessa medida provisória que pegou boa parte da comunidade jurídica de surpresa.
Muda a vigência da LGPD
Quando publicada, foi definido que as regras da Lei Geral de Proteção de Dados passariam a vigorar em fevereiro de 2020, mas como a MP 869/2018 isso já mudou. O novo prazo é agosto de 2020, o que dá para as empresas mais 6 meses para se prepararem para a LGPD.
Apesar de o limite para implementação das diretrizes da LGPD ter sido ampliado, há um longo processo para diagnosticar, pesquisar e planejar as mudanças nos procedimentos de captação e processamento de dados em uma empresa. Para que essa transição seja eficiente e não prejudique o desempenho do negócio, o ideal é que as empresas comecem a se preocupar com a LGPD ainda em 2019.
Companhias que deixam as adequações para a última hora correm riscos de não estar em total compliance até o prazo e arcar com multas altíssimas.
Criação da Autoridade Nacional de Proteção de Dados
Apesar de boa parte dos artigos sobre ela terem sido vetados nos textos iniciais da LGPD, a figura Autoridade Nacional de Proteção de Dados volta a fazer parte da legislação brasileira efetivamente e ganha novos contornos.
O artigo 55 da MP 869 oficializa a criação da ANPD “sem aumento de despesas”. De acordo como o texto, o órgão fará parte da “da administração pública federal, integrante da Presidência da República” e terá autonomia técnica para zelar pela proteção de dados.
A instituição será composta por um Conselho Diretor (formado por 5 membros nomeados pelo Presidente), um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (constituído por 23 membros, incluindo representantes das esferas científica e empresarial), uma corregedoria, uma ouvidoria, um órgão de assessoramento jurídico próprio e unidades administrativas necessárias à aplicação da lei.
Fazem parte das obrigações da ANPD:
- Editar normas e procedimentos sobre a proteção de dados pessoais;
- Requisitar informações, a qualquer momento, aos controladores e operadores de dados pessoais que realizem operações de tratamento de dados pessoais;
- Implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei;
- Fiscalizar e aplicar sanções na hipótese de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
- Difundir na sociedade o conhecimento sobre as normas e as políticas públicas de proteção de dados pessoais e sobre as medidas de segurança;
- Realizar consultas públicas para colher sugestões sobre temas de relevante interesse público na área de atuação da ANPD.
Maior abertura para recolhimento de dados
Algumas mudanças promovidas pela MP 869/2018 parecem ter sido adotadas para facilitar a coleta de informações pessoais em algumas esferas.
O recolhimento com fins acadêmicos, por exemplo, ganhou menos restrições. O processamento de dados sensíveis (aqueles que podem gerar constrangimento ou outras situações desagradáveis para os usuários, como os relacionados à saúde, posição política e orientação sexual) também parece ter sido flexibilizado.
Por exemplo, em seu texto anterior, a LGPD permitia a comunicação de dados de saúde apenas nos casos de portabilidade solicitada pelo titular. Com a MP 869, existe agora uma exceção se houver “necessidade de comunicação para a adequada prestação de serviços de saúde suplementar”.
A grande questão em situações como essas é regulamentar essa “necessidade” em compartilhar dados tão delicados e entender se está realmente ligada a atender bem um consumidor.
Mudanças na figura do encarregado (DPO)
A LGPD sempre mencionou a existência de um encarregado pelo tratamento de dados (conhecido como DPO), mas a medida provisória divulgada no fim de 2018 também alterou o seu perfil.
Antes, o encarregado era tido como uma pessoa natural, ou seja, física. No texto atualizado, ele passa a ser apenas uma “pessoa”, o que abre espaço para que seja física ou jurídica.
Terceirizar a atividade e contratar empresas que façam o monitoramento dos dados pode criar novos nichos de negócios na área da segurança digital. Por outro lado, não ter um encarregado atuando internamente no negócio, pode reduzir a eficácia no monitoramento e fazer com que a empresa que recolhe os dados se sinta menos responsável por estar em compliance com as regras.
Menos transparência no tratamento
Outro ponto que tem gerado controvérsias é o fato de a MP 869/2018 ter suprimido alguns parágrafos que asseguravam ao titular os direitos sobre os seus dados.
O primeiro parágrafo do artigo 7º, por exemplo, descrevia que o titular deveria ser informado quando o tratamento de seus dados fosse utilizado mediante o cumprimento de obrigação legal ou pela administração pública, mas foi revogado pela nova medida provisória.
Com isso, os órgãos públicos podem se isentar de comunicar os titulares sobre a utilização de seus dados pessoais e os cidadãos perdem a chance de saber como o governo está usando suas informações.
Considerando que os órgãos públicos também possuem contratos e convênios com empresas de direito privado, os dados pessoais recolhidos pelo poder público também poderão ser repassados para essas contratadas, visto que se enquadram no “cumprimento de obrigação legal e de administração pública”.
Talvez você esteja se perguntando: “mas os governos já não tinham maior facilidade para recolher dados pessoais?” Sim, e isso é compreensível, uma vez que as instituições públicas precisam de certas informações para o cumprimento da legislação. Mas a alteração permite que façam uso dos dados pessoais dos cidadãos e os compartilhem com empresas privadas sem que tenham a obrigação de notificar os titulares. E, com isso, deve haver menos transparência e ciência sobre a proteção de dados, o que pode ser um grave retrocesso.
Ainda tem dúvidas sobre a MP 869/2018, a LGPD ou mesmo sobre o GDPR europeu? Entre em contato com os nossos advogados especialistas em direito digital e proteção de dados!