Buscar
  • Henrique Barbieri

Primeiras impressões sobre as alterações da Medida Provisória 869/2018 na LGPD

Medida dá um passo na contramão da convergência normativa internacional

Knowledge is power. To scrutinize others while avoiding scrutiny oneself is one of the most important forms of power. Firms seek out intimate details of potential customers’ and employees’ lives, but give regulators as little information as they possibly can about their own statistics and procedures. Internet companies collect more and more data on their users but fight regulations that would let those same users exercise some control over the resulting digital dossiers.

Frank Pasquale


As palavras de Pasquale sintetizam com clareza o ambiente atual no tocante ao fluxo massivo de dados pessoais propiciado pelas Tecnologias da Informação e Comunicação. Ao mesmo passo em que os provedores desenvolvem ferramentas e aplicações cada vez mais sofisticadas para a captação dos dados e categorização dos consumidores, pressionam para que a legislação os isente de deveres e obrigações relativos à tutela da privacidade dos usuários.


Nos últimos anos temos assistido a um aumento de preocupação na esfera pública relativo à tutela jurídica do direito fundamental à proteção de dados pessoais, cuja autonomia se impõe,  na  exata medida em que a informação se tornou a substância essencial da composição de uma nova morfologia estruturante da sociedade. Isso  implica considerar que os dados pessoais chegam a fazer às vezes da própria pessoa. E, nesse cenário, o tratamento de tais dados adquire notável relevância, a ponto de se definir a proteção constitucional para as informações e para os dados pessoais.


A evolução da chamada sociedade da informação impôs aos Estados um dever, consubstanciado na “promoção de um equilíbrio entre os valores em questão, desde as consequências da utilização da tecnologia para o processamento de dados pessoais, suas consequências para o livre desenvolvimento da personalidade, até a sua utilização pelo mercado”.


A Europa saiu na frente.


A Carta de Direitos Fundamentais prevê não somente um direito autônomo, pois também consagra os princípios do consentimento e da finalidade da coleta e do processamento de dados com status normativo diferenciado, além de prever, no plano do direito fundamental, a necessidade de uma autoridade independente(grifamos) para a aplicação de sanções nesse caso.


O Regulamento nº 2.016/679, popularmente conhecido como “Regulamento Geral sobre Proteção de Dados” – RGPD –, por sua vez, foi pioneiro em reforçar e tornar mais próximos da realidade atual institutos considerados avançados como direito a deletar dados, direito ao esquecimento, além de conter normas que vão além das já estabelecidas autoridades de proteção de dados em cada um dos países, disciplinando o Comitê Europeu de Proteção de Dados.


O Brasil, atrasado, contava com menções à proteção de dados no Marco Civil da Internet (Lei nº 12.965/14 – MCI), mas apenas em 2018 aprovou a Lei Geral de Proteção de dados (Lei nº 13.709/18 – LGPD), com vigência postergada.


A lei brasileira é expressão da convergência internacional em torno de princípios básicos da proteção de dados pessoais no mundo, ensejando uma aproximação entre as diversas legislações, em conteúdo e forma, para além das peculiaridades nacionais, trazendo consigo a identidade de um padrão normativo entre os diversos sistemas internacionais.


No apagar das luzes, o governo anterior editou a Medida Provisória nº 869/2018, que já traz alterações a seu texto, dentre elas uma dilatação do prazo de vacatio legis da LGPD, aumentando ainda mais o lapso para sua entrada em vigor no tocante à matéria da proteção de dados (art. 65, inciso II).


Além disso, enfraqueceu a proteção dos dados acadêmicos (art. 4º, II, “b”), que antes contavam com as proteções dos arts. 7º e 11. Agora, integram as já vagas noções de “segurança pública”, “defesa nacional”, “segurança do Estado” etc. (art. 4º, III).


Alterou o conceito de ‘encarregado’ (art. 5º, VIII), que, antes, deveria ser uma pessoa natural. Agora, permitiu-se que tal função seja realizada por tratamento automatizado de dados, regido pelos mesmos algoritmos que dão ensejo ao que Pasquale chama de “Sociedade da caixa preta”.


A Medida Provisória retrocede em relação à redação original da Lei 13.709/18 ao alargar as exceções ao sistema geral de proteção dos dados sensíveis, baseado, em última análise, no consentimento informado acrescendo ao artigo 11 o parágrafo 4º.


O novo parágrafo quarto do artigo 11 veda a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto em duas hipóteses: I – portabilidade de dados quando consentido pelo titular; ou II – necessidade de comunicação para a adequada prestação de serviços de saúde suplementar.”


No tocante aos dados do Poder Público (artigo 26, §1º), fez o mesmo, alargando o rol de exceções e facilitando, por conseguinte, seu fluxo fora das hipóteses em que há consentimento do cidadão, dispensando-se também da comunicação por parte do Poder Público nestas hipóteses (art. 27).


Mas o principal aspecto do texto da Medida Provisória é a criação da Autoridade Nacional de Proteção de Dados e do Conselho Nacional (arts. 55-A e ss.),  objetos de veto presidencial no texto original da lei, não obstante fundamental para a efetividade dos direitos fundamentais ali previstos.


A partir da visão das mais de 40 hipóteses do texto legal em que a Autoridade é chamada a atuar, sua competência é ampla, abrangendo desde a solicitação e análise de relatórios de impacto de privacidade, determinação de medidas para reverter efeitos de vazamentos de dados, disposição sobre padrões técnicos de segurança da informação e até mesmo a autorização para a transferência internacional de dados pessoais. Mais do que um mero coadjuvante, trata-se do arcabouço normativo e principiológico do novo sistema, ainda que integrado com outras fontes, como o Código Civil, o Código de Defesa do Consumidor e o Marco Civil da Internet.


É inegável que a ideia de um direito autônomo à proteção dos dados pessoais surge  relacionada ao controle de acesso, que restringe quem pode visualizar determinado conteúdo, assegurando-se aos indivíduos que produzem ou influenciam informações relacionadas a si mesmos o direito de determinar as permissões (de acesso e até de compartilhamento) que desejam conceder a outrem, mas, também, sanções e mecanismos de controle e fiscalização – funções da ANPD. Tratava-se de ausência sentida, na medida em que a lei trouxe inúmeras menções à Agência Nacional, em seu texto original, ao modelo de outros países, como forma de regulamentar e fiscalizar a concretização de tal direito fundamental na contemporaneidade.

A autoridade, no texto vetado, seria uma autarquia especial, vinculada ao Ministério da Justiça, com independência administrativa, ausência de subordinação hierárquica, mandato fixo e estabilidade de seus dirigentes e autonomia financeira (art. 55 caput e § 3º), o que inegavelmente era visto com bons olhos.


Na versão da Medida Provisória, já em vigor (art. 65, I), a ANPD não faz mais parte da Administração Indireta, tendo sido instituída agora como órgão da Administração Direta, nem tampouco goza de independência – aspecto central destacado no início deste texto.


Neste ponto, convém tecer menção direta ao conceito legal de ‘autoridade nacional’: “Art. 4º…omissis…XIX – autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei.” Nota-se que foi suprimida expressamente a menção à independência do órgão.

Destaca-se, ainda, o fato de não mais se falar na autonomia para a elaboração de uma Política Nacional, já que esta agora remanesce atrelada à Presidência da República, com apoio da Casa Civil (art. 55-G).


A Medida Provisória, lamentavelmente, dá um passo na contramão da convergência normativa internacional, já que a regulação europeia determina que as autoridades deverão atuar de forma independente, livre de influências externas, diretas ou indiretas (art. 52, RGPD). As Autoridades de Proteção de Dados têm sua jurisdição restrita aos limites territoriais das suas normas, e são, em regra, parte da administração de cada país membro da União Europeia.


Ao fazer parte da Administração Pública Direta, na esfera federal, a Autoridade brasileira surge com o risco de pouca ou nenhuma efetividade na fiscalização e aplicação de sanções, uma de suas principais atribuições. Aguarda-se a atuação do Congresso Nacional, com poucas chances de alteração de seus atributos-chave.


Enfim, a sorte está lançada.




Guilherme Magalhães Martins, João Victor Rozatti Longhi e José Luiz de Moura Faleiros Júnior - JOTA (https://www.jota.info/opiniao-e-analise/artigos/lgpd-mp-autoridade-dados-pessoais-14012019, acesso em 07/02/2019)

9 visualizações

A Go Contratos

Soluções

Conteúdos

Dúvidas e Vendas

(11) 97255-5532

São Paulo/SP

  • LinkedIn ícone social

All Rights Reserved. Go Contratos Software de Serviços LTDA. - CNPJ  31.312.080/0001-44 -  São Paulo/SP