Buscar
  • Henrique Barbieri

A criação da ANPD e a MP nº 869/2018

As nove mudanças mais relevantes




No último texto sobre os principais acontecimentos de 20181, em que foram identificados 8 elementos fundamentais para compreender a importância do ano passado para o Direito Digital, já era possível prever que 2019 seria um ano tão ou mais importante. Mas antes mesmo do ano novo começar, no dia 28 de dezembro, foi publicada a Medida Provisória nº 8692 promovendo 9 alterações significativas na Lei Geral de Proteção de Dados.


A primeira e mais importante das mudanças é, sem sombra de dúvidas, a criação da Autoridade Nacional de Proteção de Dados – ANPD. Vetada em um primeiro momento na LGPD, por vício de iniciativa na propositura da matéria3, a MP cria a ANPD “sem aumento de despesa”, como órgão da Administração Pública Federal integrante da Presidência da República (art. 55-A). Sua organização, competências, governança e hierarquia são dispostas por novas adições ao artigo 55 da LGPD.


Composta por um Conselho Diretor, pelo Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, pela Corregedoria, pela Ouvidoria, por órgão de assessoramento jurídico próprio e por demais unidades administrativas e especializadas que se fizerem necessárias (arts. 55-C a 55-I), à ANPD é assegurada a autonomia técnica (art. 55-B), essa previsão é muito relevante para blindar ao máximo a Autoridade de interferências políticas e de outras ordens. A ideia é que a última palavra interpretativa e sancionatória sobre a LGPD seja de fato e de Direito da ANPD, respeitados seus limites em homenagem ao princípio da legalidade (art. 37 da CF).


A Autoridade era o elo faltante para a sistemática de proteção de dados trazida pela LGPD, afinal a Lei prevê 16 atribuições à Autoridade, demonstrando seu papel fundamental na efetividade da LGPD e no funcionamento da disciplina de proteção de dados no país.


Assim, nos termos do art. 55-J da LGPD compete: (I) zelar pela proteção dos dados pessoais (informações relacionadas a pessoa natural identificada ou identificável); (II) editar normas e procedimentos sobre essa proteção (v.g. o estabelecimento de padrões técnicos); (III) deliberar na esfera administrativa sobre a interpretação da lei (v.g. estabelecer normas complementares sobre a definição e as atribuições do encarregado ou DPO – art. 41, §3º); (IV) requisitar informações aos agentes de tratamento de dados pessoais (controladores e operadores, como a determinação para elaboração de Relatórios de Impacto); (V) implementar mecanismos simplificados para registros de reclamações (v.g. a criação de canal online e anônimo de denúncias); (VI) fiscalizar e aplicar sanções (aquelas previstas nos incisos do art. 52 – advertência, multas, publicização da infração, bloqueio e eliminação dos dados).


Compete, também, (VII) comunicar ao Ministério Público e às Polícias Judiciárias a ocorrência de possíveis infrações penais (a exemplo o crime de invasão de dispositivo informático previsto no art. 154-A do Código Penal); (VIII) comunicar aos órgãos de controle interno o descumprimento da lei por parte de órgãos da Administração Pública Federal (lembra-se aqui que as pessoas jurídicas de direito público também são agentes de tratamento); (IX) difundir na sociedade o conhecimento sobre a matéria (como, v.g. promovendo fóruns e congressos de debate ou cursos sobre o tema no Brasil); (X) estimular a adoção de padrões para serviços e produtos que facilitem o exercício do controle e proteção de dados pessoais por seus titulares (como exemplo, pode se pensar na exigência de que os contratos de licença de softwares indiquem especificamente as informações coletadas durante o uso, em consonância com o princípio da transparência – art. 6º, VI); (XI) elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade (v.g. a avaliação de cláusulas e jurisdições estrangeiras sobre o tema); (XII) promover ações de cooperação com autoridades de proteção de dados em outros países (v.g. estabelecendo protocolos de cooperação com os países da União Europeia a respeito da GDPR);


E, ainda, (XIII) realizar consultas públicas para colher sugestões sobre temas de relevante interesse público na área de atuação da ANPD; (XIV) ouvir as entidades ou órgãos da Administração Pública que regulamentam setores específicos da atividade econômica antes de realizar a edição de normas complementares (v.g., consultar o CADE se nova resolução da ANPD puder de alguma forma comprometer a livre concorrência); (XV) articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e, finalmente, (XVI) elaborar relatórios de gestão anuais acerca de suas atividades.


Aliás, é interessante o que dispõe o §1º do art. 55-J, segundo o qual “A ANPD, na edição de suas normas, deverá observar a exigência de mínima intervenção, assegurados os fundamentos e os princípios previstos nesta Lei e o disposto no art. 170 da Constituição.”. A ideia parece ser manter o equilíbrio entre a proteção de dados e o desenvolvimento econômico, o que, inclusive, pode ser considerada uma preocupação histórica em relação à matéria. A exemplo, é o preâmbulo da Convenção de Strasbourg nº 108 de 19814, art. 1º, 2, da Diretiva 95/46/CE do Conselho da União Europeia de 19955 e, notadamente, na consideranda nº 4 da GDPR.


Motivo de apreensão é a estruturação administrativa da ANPD como órgão vinculado à Presidência da República e sem orçamento. Muito possivelmente, durante o debate no Congresso Nacional sobre a MP, serão propostas emendas relacionadas ao funcionamento e autonomia da Autoridade, colocando o Poder Executivo frente a frente com a necessidade de articulação política.


Além da criação da ANPD, como dito, a MP nº 869 promoveu outras alterações relevantes na LGPD.


A dois, de muita importância, a MP dilatou o prazo de vacatio legis da lei. Agora, com exceção dos dispositivos que versam sobre a própria criação da ANPD – que já estão vigentes, todos os demais estarão vigentes apenas agosto de 2020, antes fevereiro do mesmo ano.7 A alteração adiciona, assim, mais seis meses ao prazo de vacatio e, consequentemente, de adequação à lei, essa uma das maiores preocupações das empresas e entidades.


A três, foi alterada a redação do art. 5º, VIII, da LGPD que dispõe sobre a definição do encarregado ou DPO, ou seja, a pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a própria ANPD. Antes da MP, o texto continha a expressão “pessoa natural”, que foi suprimida pela nova redação, indicando, a princípio, a possibilidade de que pessoas jurídicas assumam a posição do encarregado.


A quatro, também foi readequada a parte atinente à finalidade acadêmica como exceção de aplicabilidade da Lei (art. 4º, b). Antes ao tratamento de dados para finalidade acadêmica eram aplicados os requisitos dos arts. 7º a 11. Com a MP, foi suprimida a última parte em referência a esse artigo, afastando a incidência da LGPD para fins acadêmicos. A cinco, o tratamento de dados pessoais realizados exclusivamente para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais pode ser realizado também por pessoas de direito privado, desde que controladas pelo Poder Público e não necessita ser especificamente informado à ANPD.


A seis, é possível a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica (além dos casos de portabilidade quando consentido pelo titular), se a comunicação é necessária para a adequada prestação de serviços de saúde suplementar. A sete, a revisão das decisões tomadas unicamente com base em tratamento automatizado de dados pessoais não precisa mais ser feita por pessoa natural.


A oito, foram alargadas as possibilidades de transferências a entidades privadas de dados pessoais constantes de bases de dados do Poder Público. E, por fim, a nove, a comunicação ou uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa jurídica de direito privado não precisa mais ser informada à ANPD.


É, a promessa de que as discussões sobre a matéria seriam ainda mais intensas em 2019, começou a ser cumprida antes mesmo da virada do calendário. Resta agora acompanhar a apreciação da MP pelo Congresso Nacional, a estruturação prática da ANPD e a acomodação de todas essas questões pelo mercado e academia!




Fonte: Maurício Antoni Tamer, Rony Vainzof e Caio César Carvalho Lima - JOTA (https://www.jota.info/opiniao-e-analise/colunas/direito-digital/a-criacao-da-anpd-e-a-mp-no-869-2018-25012019), acesso em 07/02/2019

1 visualização

A Go Contratos

Soluções

Conteúdos

Dúvidas e Vendas

(11) 97255-5532

São Paulo/SP

  • LinkedIn ícone social

All Rights Reserved. Go Contratos Software de Serviços LTDA. - CNPJ  31.312.080/0001-44 -  São Paulo/SP