Os primeiros dois anos da ANPD serão cruciais e desafiadores
As mudanças na Lei Geral de Proteção de Dados Pessoais parecem finalmente ter chegado ao fim. Nesta terça-feira (09 de julho de 2019), foi publicada no Diário Oficial da União a Lei n° 13.853/2019, originária da Medida Provisória nº 869/2018 no Congresso Nacional.
Nesta Lei, o Presidente sancionou o texto do Congresso, mas vetou dispositivos ligados à capacidade regulatória da futura Autoridade Nacional de Proteção de Dados Pessoais (“ANPD”).
O que está em jogo nessa nova versão da LGPD?
Em agosto de 2018 foi sancionada a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 ou “LGPD”) com vetos na criação da Autoridade Nacional de Proteção de Dados Pessoais.
No final de dezembro, todavia, foi editada a Medida Provisória nº 869/2018, com mudanças ao conteúdo da LGPD, especialmente em relação à criação da Autoridade Nacional de Proteção de Dados e ao tratamento de dados pessoais pela administração pública.
Após intensa atividade legislativa – mais de 170 emendas, além de audiências públicas e reuniões bilaterais -, foi apresentado parecer com mudanças ao texto original da MP nº 869/2018 (na forma de PLV nº 07/2019).
Após apreciação desse texto pelo Presidente da República, foi publicada a Lei n° 13.853/2019, que aprovou o PLV nº 07/2019 com alguns vetos. Não obstante isso, a versão final dessa importante legislação pode, finalmente, trazer estabilidade jurídica e maior precisão com relação ao planejamento de negócios baseados em dados pessoais.
De imediato, destacamos que resolve-se a polêmica em torno da entrada em vigor da lei de dados pessoais. A partir de 16 de agosto de 2020, todos deverão estar em conformidade com a LGPD.
No entanto, como explicaremos neste artigo, essa estabilidade dependerá da independência de facto da Autoridade Nacional de Proteção de Dados pessoais e de nomeações que possuam respaldo técnico perante as partes afetadas pela lei.
A nova cara da Autoridade
A Autoridade Nacional de Proteção de Dados Pessoais tem sido alvo de polêmicas desde a sua formulação no Congresso. Dois argumentos colidiram em 2018. De um lado, o argumento da escassez: diante da situação econômica do país e da ausência de recursos suficientes para criação de mais uma agência reguladora, seria preciso pensar em alternativas, distribuindo as funções da Autoridade entre órgãos já existentes. Do outro, o argumento da capacidade regulatória: a autonomia e independência da Autoridade são o comum na experiência internacional, vez que asseguram maior confiança e qualidade técnica em Autoridades independentes e autônomas.
Nessa disputa, a solução encontrada foi um caminho intermediário. Por um período potencialmente provisório, a ANPD estará ligada à estrutura da Presidência, com vinculação à administração pública direta. Com isso, parte de seu staff poderá ser constituído de cargos já previstos na estrutura do governo. Aposta-se, no entanto, em uma suposta independência de facto: fica assegurada autonomia decisória e há promessa de que não haverá interferência no trabalho do Conselho Diretor, formado por profissionais com capacidade técnica demonstrada e empossados após sabatina no Senado.
Vale ressaltar a importância de previsão legal incluída após a tramitação da MP nº 869/2018 no Congresso: a sabatina pelo Senado dos membros da Autoridade equipara as exigências da ANPD com as das demais agências reguladoras sujeitas à Lei nº 9.986/2000, recentemente alterada pela Lei nº 13.848, de 25 de junho de 2019.
A última novidade da Autoridade é o seu caráter transitório. Conforme definido pela Lei n° 13.853/2019, a Autoridade passará por um processo de avaliação após dois anos.
Decorrido esse período, o Poder Executivo deverá avaliar os custos e benefícios de uma transição para um modelo de autarquia federal vinculada indiretamente à administração pública.
A desburocratização de setores estratégicos e as limitações regulatórias
O segundo conjunto de mudanças da LGPD, em sua versão final, consiste na adaptação de regras substanciais para o tratamento e compartilhamento de dados sensíveis, a revisão humana de decisões automatizadas e a aplicação de normas para startups (empresas emergentes com uso intensivo de tecnologia).
Primeiro, a Lei n° 13.853/2019 solucionou o impasse com relação à proibição do compartilhamento de dados sensíveis, entre controladores, com finalidade de obtenção de vantagem econômica. A regra do art. 11 prevista na redação original da LGPD inviabilizaria as atividades de hospitais, clínicas, laboratórios diagnóstico e operadoras de planos de saúde, que dependem do uso compartilhado de dados para uma série de operações de prestação do serviço de saúde. A solução adotada permite o compartilhamento desde que serviços de saúde, serviços de assistência à saúde e serviços de assistência farmacêutica demonstrem (i) benefício aos interesses dos titulares dos dados e (ii) para permitir a portabilidade dos dados ou as transações financeiras e administrativas resultantes do uso e da prestação dos serviços.
Segundo, a Lei n° 13.853/2019 flexibilizou a regra de revisão humana de decisões automatizadas (art. 20). Em contraposição à tendência internacional, o presidente vetou o §3º do art. 20 da LGPD, tornando a legislação brasileira menos protetiva que a legislação de outros países, como a General Data Protection Regulation (GDPR). Na prática, a revisão de decisões tomadas de modo unicamente automatizado poderá ser garantido mediante inovações na interface de comunicação com os titulares de dados.
Terceiro, partindo de uma redação um tanto questionável do ponto de vista da técnica legislativa, o art. 55-J foi modificado para determinar que é papel da Autoridade editar regulamentos específicos para empresas emergentes de base tecnológica. Embora essa alteração possua fundamento favorável, pelo fato de que as exigências trazidas pela lei, ainda que necessárias, demandam grande investimento de recursos que podem dificultar o desenvolvimento de iniciativas empreendedoras no país, a ausência de delimitação de critérios específicos para a autodeclaração como startups ou empresas de inovação poderá gerar incertezas sobre a aplicação da legislação.
Quarto, a nova redação atribuída à LGPD removeu a previsão de sanção de suspensão parcial do funcionamento do banco de dados. Prevaleceu o argumento de que a proibição do funcionamento de banco de dados, ainda que por tempo determinado, inviabilizaria atividades econômicas.
Finalmente, grande parte dos vetos da Presidência da República concentrou-se no art. 41, que prevê regras específicas para o encarregado pelo tratamento de dados pessoais, pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, o titular dos dados e a Autoridade Nacional de Proteção de Dados. Com o PLV nº 07/2019, o Congresso havia criado exigências específicas para a posição de encarregado, como conhecimento jurídico e regulatório. Contudo, devido aos vetos decorrentes da Lei n° 13.853/2019, essas exigências foram eliminadas, retomando a LGPD a um patamar mais flexível com relação à qualificação do encarregado.
Olhando para frente
As mudanças trazidas pela Lei n° 13.853/2019 contribuem, em sua maioria, para reduzir as inseguranças sobre os contornos e a eficácia da LGPD. Para tanto, os primeiros dois anos da Autoridade Nacional de Proteção de Dados Pessoais serão cruciais e, ao mesmo tempo, desafiadores. Considerando a demanda represada de informações técnicas por parte das empresas e da sociedade civil, a Autoridade será muito requisitada em seus primeiros meses de atuação e precisará de recursos para que seu trabalho seja tecnicamente robusto, garantindo o grau de confiança necessário com os agentes de tratamento e os titulares de dados pessoais.
De todo modo, a aprovação da Lei n° 13.853/2019 é benéfica para o cenário nacional não apenas ao trazer maior segurança jurídica e possibilidade de fomento a negócios inovadores no país, como também ao situá-lo em uma economia global que tem como um dos insumos de maior destaque e valor os dados pessoais. Contudo, deve-se atentar para o fato de que parte do sucesso da LGPD dependerá diretamente da prometida independência de facto da ANPDe de nomeações técnicas e representativas para esta Autoridade.
Seguiremos acompanhando a evolução dos debates sobre a LGPD, que refletiremos em novos artigos a serem publicados neste espaço.
RONALDO LEMOS – Professor da Universidade de Columbia. Sócio do Pereira Neto | Macedo Advogados.
DANIEL DOUEK – mestre em Direito da Concorrência pela King’s College London. Sócio de Pereira Neto, Macedo Advogados
NATALIA LANGENEGGER – doutoranda em Direito Constitucional pela Faculdade de Direito da Universidade de São Paulo. Advogada de Pereira Neto, Macedo Advogados
RAFAEL A. F. ZANATTA – Advogado no Pereira Neto Macedo. É Doutorando pelo Instituto de Energia e Ambiente da Universidade de São Paulo, tendo realizado o curso Privacy Law and Policy pela Universidade de Amsterdam. Possui Mestrado em Direito e Economia Política pela Universidade de Turim e Mestrado em Direito pela Universidade de São Paulo
SOFIA LIMA FRANCO – Aluna de especialização em Direito e Tecnologia da Informação (PECE-POLI/USP) e bacharela em Direito pela USP. Advogada de Mídia, Tecnologia e Propriedade Intelectual no Pereira Neto | Macedo Advogados.
ISABELA GARCIA DE SOUZA – Graduanda em Direito pela FGV Direito SP. Atua na área de Mídia, Tecnologia e Propriedade Intelectual no Pereira Neto | Macedo Advogados.
GABRIELA SANCHES RIBEIRO – Graduanda em Direito pela Faculdade de Direito da USP. Atua na área de Mídia, Tecnologia e Propriedade Intelectual no Pereira Neto | Macedo Advogados.
Fonte: Jota Info
