Culturalmente, as últimas semanas de dezembro e os primeiros dias de janeiro são momentos pouco movimentados no âmbito socioeconômico e dificilmente acontecem mudanças de grande impacto nesses dias. Mas na virada de 2018 para 2019 não foi bem assim.

No dia 27 de dezembro do ano passado foi publicada a MP 869/2018, que criou a Autoridade Nacional de Proteção de Dados (ANPD) e fez diversas mudanças na Lei Geral de Proteção de Dados (LGPD), iniciativa que regulamenta a coleta e processamento de informações pessoais no Brasil.

A seguir, veremos algumas das principais alterações dessa medida provisória que pegou boa parte da comunidade jurídica de surpresa.

Muda a vigência da LGPD

Quando publicada, foi definido que as regras da Lei Geral de Proteção de Dados passariam a vigorar em fevereiro de 2020, mas como a MP 869/2018 isso já mudou. O novo prazo é agosto de 2020, o que dá para as empresas mais 6 meses para se prepararem para a LGPD.

Apesar de o limite para implementação das diretrizes da LGPD ter sido ampliado, há um longo processo para diagnosticar, pesquisar e planejar as mudanças nos procedimentos de captação e processamento de dados em uma empresa. Para que essa transição seja eficiente e não prejudique o desempenho do negócio, o ideal é que as empresas comecem a se preocupar com a LGPD ainda em 2019.

Companhias que deixam as adequações para a última hora correm riscos de não estar em total compliance até o prazo e arcar com multas altíssimas.

Criação da Autoridade Nacional de Proteção de Dados

Apesar de boa parte dos artigos sobre ela terem sido vetados nos textos iniciais da LGPD, a figura Autoridade Nacional de Proteção de Dados volta a fazer parte da legislação brasileira efetivamente e ganha novos contornos.

O artigo 55 da MP 869 oficializa a criação da ANPD “sem aumento de despesas”. De acordo como o texto, o órgão fará parte da “da administração pública federal, integrante da Presidência da República” e terá autonomia técnica para zelar pela proteção de dados.

A instituição será composta por um Conselho Diretor (formado por 5 membros nomeados pelo Presidente), um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (constituído por 23 membros, incluindo representantes das esferas científica e empresarial), uma corregedoria, uma ouvidoria, um órgão de assessoramento jurídico próprio e unidades administrativas necessárias à aplicação da lei.

Fazem parte das obrigações da ANPD:

  • Editar normas e procedimentos sobre a proteção de dados pessoais;
  • Requisitar informações, a qualquer momento, aos controladores e operadores de dados pessoais que realizem operações de tratamento de dados pessoais;
  • Implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei;
  • Fiscalizar e aplicar sanções na hipótese de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
  • Difundir na sociedade o conhecimento sobre as normas e as políticas públicas de proteção de dados pessoais e sobre as medidas de segurança;
  • Realizar consultas públicas para colher sugestões sobre temas de relevante interesse público na área de atuação da ANPD.

Maior abertura para recolhimento de dados

Algumas mudanças promovidas pela MP 869/2018 parecem ter sido adotadas para facilitar a coleta de informações pessoais em algumas esferas.

O recolhimento com fins acadêmicos, por exemplo, ganhou menos restrições. O processamento de dados sensíveis (aqueles que podem gerar constrangimento ou outras situações desagradáveis para os usuários, como os relacionados à saúde, posição política e orientação sexual) também parece ter sido flexibilizado.

Por exemplo, em seu texto anterior, a LGPD permitia a comunicação de dados de saúde apenas nos casos de portabilidade solicitada pelo titular. Com a MP 869, existe agora uma exceção se houver “necessidade de comunicação para a adequada prestação de serviços de saúde suplementar”.

A grande questão em situações como essas é regulamentar essa “necessidade” em compartilhar dados tão delicados e entender se está realmente ligada a atender bem um consumidor.

Mudanças na figura do encarregado (DPO)

A LGPD sempre mencionou a existência de um encarregado pelo tratamento de dados (conhecido como DPO), mas a medida provisória divulgada no fim de 2018 também alterou o seu perfil.

Antes, o encarregado era tido como uma pessoa natural, ou seja, física. No texto atualizado, ele passa a ser apenas uma “pessoa”, o que abre espaço para que seja física ou jurídica.

Terceirizar a atividade e contratar empresas que façam o monitoramento dos dados pode criar novos nichos de negócios na área da segurança digital. Por outro lado, não ter um encarregado atuando internamente no negócio, pode reduzir a eficácia no monitoramento e fazer com que a empresa que recolhe os dados se sinta menos responsável por estar em compliance com as regras.

Menos transparência no tratamento

Outro ponto que tem gerado controvérsias é o fato de a MP 869/2018 ter suprimido alguns parágrafos que asseguravam ao titular os direitos sobre os seus dados.

O primeiro parágrafo do artigo 7º, por exemplo, descrevia que o titular deveria ser informado quando o tratamento de seus dados fosse utilizado mediante o cumprimento de obrigação legal ou pela administração pública, mas foi revogado pela nova medida provisória.

Com isso, os órgãos públicos podem se isentar de comunicar os titulares sobre a utilização de seus dados pessoais e os cidadãos perdem a chance de saber como o governo está usando suas informações.

Considerando que os órgãos públicos também possuem contratos e convênios com empresas de direito privado, os dados pessoais recolhidos pelo poder público também poderão ser repassados para essas contratadas, visto que se enquadram no “cumprimento de obrigação legal e de administração pública”.

Talvez você esteja se perguntando: “mas os governos já não tinham maior facilidade para recolher dados pessoais?” Sim, e isso é compreensível, uma vez que as instituições públicas precisam de certas informações para o cumprimento da legislação. Mas a alteração permite que façam uso dos dados pessoais dos cidadãos e os compartilhem com empresas privadas sem que tenham a obrigação de notificar os titulares. E, com isso, deve haver menos transparência e ciência sobre a proteção de dados, o que pode ser um grave retrocesso.

Ainda tem dúvidas sobre a MP 869/2018, a LGPD ou mesmo sobre o GDPR europeu? Entre em contato com os nossos advogados especialistas em direito digital e proteção de dados!

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here