Governo cria a Autoridade Nacional de Proteção de Dados e prorroga lei para Ago/2020

Governo cria a Autoridade Nacional de Proteção de Dados e prorroga lei para Ago/2020. Medida Provisória nº 869 de 27 de dezembro de 2018 foi publicada no Diário Oficial da União e altera a Lei nº 13.709, de 14 de agosto de 2018, que dispõe sobre a proteção de dados e cria a Autoridade Nacional de Proteção de Dados (ANPD).

Ainda, a Medida Provisória estendeu o prazo para a entrada em vigor da legislação, que foi adiada para agosto de 2020, com exceção da ANPD, que entra em vigor a partir da publicação, isto é, 28 de dezembro de 2018.

Em um dos últimos atos de seu mandato, o presidente Michel Temer assinou a MP que cria a Autoridade Nacional, que por sua vez havia sido vetada pelo próprio em agosto deste ano, quando sancionou a LGPD, sob o argumento de que o Legislativo não tinha poderes para propor uma autarquia, com independência financeira.

A Medida entra em vigor na data de sua publicação, e ainda será avaliada pelo Congresso Nacional na próxima Legislatura, que se iniciará em fevereiro de 2019, a fim de que se converta definitivamente em lei ordinária.

I. AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS

a) Aspectos Gerais

Sem dúvidas, a principal disposição da Medida Provisória foi a criação da ANPD, que é a entidade central para a implementação eficaz da Lei Geral de Proteção de Dados. Apesar de o Projeto de Lei original ter previsto que a mesma seria uma autarquia ligada ao Ministério da Justiça, a MP nº 869 instituiu um órgão da administração pública federal integrante da Presidência da República, que tem apenas autonomia técnica – ou seja, não se trata de uma entidade autônoma.

Apesar da falta de autonomia, a nova estrutura da ANPD ganha uma série de competências e poderes para gerir os dados dos cidadãos brasileiros, dentro do que estabelece a Lei 13.709, conforme o art. 55-J abaixo transcrito:

“Art. 55-J. Compete à ANPD:
I – zelar pela proteção dos dados pessoais;
II – editar normas e procedimentos sobre a proteção de dados pessoais;
III – deliberar, na esfera administrativa, sobre a interpretação desta Lei, suas competências e os casos omissos;
IV – requisitar informações, a qualquer momento, aos controladores e operadores de dados pessoais que realizem operações de tratamento de dados pessoais;
V – implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei;
VI – fiscalizar e aplicar sanções na hipótese de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
VII – comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
VIII – comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei praticado por órgãos e entidades da administração pública federal;
IX – difundir na sociedade o conhecimento sobre as normas e as políticas públicas de proteção de dados pessoais e sobre as medidas de segurança;
X – estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle e proteção dos titulares sobre seus dados pessoais, consideradas as especificidades das atividades e o porte dos controladores;
XI – elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
XII – promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
XIII – realizar consultas públicas para colher sugestões sobre temas de relevante interesse público na área de atuação da ANPD;
XIV – realizar, previamente à edição de resoluções, a oitiva de entidades ou órgãos da administração pública que sejam responsáveis pela regulação de setores específicos da atividade econômica;
XV – articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e
XVI – elaborar relatórios de gestão anuais acerca de suas atividades. “
Diario Oficial da União

A fim de facilitar as suas competências regulatória, fiscalizatória e punitiva, a ANPD deverá manter um fórum de comunicação, inclusive por meio de cooperação técnica, com órgãos e entidades da administração pública que sejam responsáveis pela regulação de setores específicos da atividade econômica e governamental.

Quanto à aplicação das sanções previstas na LGPD, a Medida Provisória esclareceu que tal função competirá exclusivamente à ANPD, cujas demais competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública. Além disso, a Autoridade Nacional articulará sua atuação com o Sistema Nacional de Defesa do Consumidor do Ministério da Justiça e com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais, e será o órgão central de interpretação da Lei de Dados e do estabelecimento de normas e diretrizes para a sua implementação.

Foi determinado, ainda, que a estrutura regimental da ANPD será estabelecida por meio de um ato do Presidente da República. Ressalva-se que até a data de entrada em vigor de sua estrutura regimental, a ANPD receberá o apoio técnico e administrativo da Casa Civil da Presidência da República para o exercício de suas atividades.

b) Composição

Já no que diz respeito à composição da ANPD, a MP estabeleceu que a mesma será constituída pelos seguintes elementos:

(i) Conselho Diretor, órgão máximo de direção;
(ii) Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;
(iii) Corregedoria;
(iv) Ouvidoria;
(iv) Órgão de assessoramento jurídico próprio; e
(vi) unidades administrativas e unidades especializadas necessárias à aplicação do disposto na Lei de Dados.

Primeiramente, esclarece-se o Conselho Diretor será composto por cinco diretores, incluído o Diretor-Presidente, e os seus membros serão nomeados pelo Presidente da República, dentre brasileiros, de reputação ilibada, com nível superior de educação e elevado conceito no campo de especialidade dos cargos para os quais serão nomeados, cujo mandato durará quatro ano. Importante mencionar que os ocupantes dos cargos em comissão e das funções de confiança da ANPD – que serão remanejados de outros órgãos e entidades do Poder Executivo Federal – serão indicados pelo Conselho Diretor e nomeados ou designados pelo Diretor-Presidente.

Deve-se ressaltar que os membros do Conselho Diretor somente perderão seus cargos em virtude de renúncia, condenação judicial transitada em julgado ou pena de demissão decorrente de processo administrativo disciplinar. Ainda, aplica-se aos membros do Conselho Diretor, após o exercício do cargo, o disposto no art. 6º da Lei nº 12.813, de 16 de maio de 2013, e caso não seja respeitado, será caraterizado ato de improbidade administrativa.

c) Conselho Nacional de Proteção de Dados Pessoais e Privacidade

Além da diretoria, a ANPD contará ainda com o Conselho Nacional de Proteção de Dados Pessoais e Privacidade, composto por vinte e três representantes designados pelo Presidente da República, sendo seis do Poder Executivo federal; um do Senado Federal; um da Câmara dos Deputados; um do Conselho Nacional de Justiça; um do Conselho Nacional do Ministério Público; um do Comitê Gestor da Internet no Brasil; quatro de entidades da sociedade civil com atuação comprovada em proteção de dados pessoais; quatro de instituições científicas, tecnológicas e de inovação; e quatro de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais.

Esclarece-se que a participação no Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será considerada prestação de serviço público relevante, não remunerada.

Dentro da estrutura da ANPD, o Conselho Nacional ficará responsável pelos seguintes aspectos, conforme disposto nos incisos do art. 58-B:

(i) propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD;
(ii) elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade;
(iii) sugerir ações a serem realizadas pela ANPD;
(iv) elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; e
(v) disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população em geral.

II. OUTRAS ALTERAÇÕES NA LEI Nº 13.709, DE 14 DE AGOSTO DE 2018

Além da criação da Autoridade Nacional de Proteção de Dados – ANPD, a Medida Provisória nº 869/2018 trouxe alterações pontuais em diversos outros dispositivos, valendo destacar os seguintes:

(a) Tratamento de dados para fins acadêmicos – O art. 4º, II, “b”, da LGPG, previu, dentre as exceções de inaplicabilidade da Lei, o tratamento de dados realizado para fins meramente acadêmicos. A despeito disso, a redação anterior estabelecia que, embora contemplado no rol de inaplicabilidade da norma, o tratamento para fins acadêmicos estaria sujeito ao disposto nos arts. 7º e 11 da Lei, os quais disciplinam os dados pessoais e dados pessoais sensíveis. Tal representava uma atecnicidade, já que não se tratava propriamente de uma exceção à aplicabilidade da LGPD, mas de hipótese de aplicação excepcional. Logo, a MP corrigiu tal falha, incluindo definitivamente tal hipótese no rol de exceções de inaplicabilidade da Lei, sem estabelecer qualquer ressalva.

(b) Tratamento de dados para fins exclusivos de segurança pública; defesa nacional; segurança do Estado; atividades de investigação e repressão de infrações penais – A Lei também estipula o tratamento de dados realizado com base em tal hipótese como sendo uma exceção de inaplicabilidade da norma. No entanto, o §3º estabelecia como competência da Autoridade Nacional a emissão de opiniões técnicas ou recomendações referentes à essa exceção, o que foi revogado pela MP. Além disso, a nova norma (i) excluiu a necessidade de que o tratamento destes dados por pessoas jurídicas de direito privado sob a tutela de pessoa jurídica de direito público seja objeto de informe específico à autoridade nacional, bem como (ii) passou a prever que pessoas jurídicas de direito privado controladas pelo Poder Público possam tratar estes dados em sua totalidade.

(c) Encarregado – A definição de “encarregado” da redação anterior estabelecia expressamente que ele deveria ser uma “pessoa natural”, indicada pelo controlador, responsável por atuar como canal de comunicação entre o controlador, os titulares e a Autoridade Nacional. Já a nova redação retirou tal exigência, o que leva a conclusão de que o encarregado poderá ser pessoa física ou jurídica, a critério do controlador.

(d) Compartilhamento de dados sensíveis – O art. 11 §4º da Lei passou a admitir a comunicação e o uso compartilhado de dados sensíveis referentes à saúde, a despeito do consentimento do titular, na hipótese de necessidade de comunicação para adequada prestação de serviços de saúde suplementar.

(e) Revisão de decisões automatizadas – A redação antiga do art. 20 da Lei estabelecia a possibilidade de que o titular dos dados solicitasse revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, estabelecendo que tal revisão deveria ser realizada necessariamente “por pessoa natural”. Tal prerrogativa foi mantida pela MP, porém o novo texto excluiu a exigência de que a revisão seja feita obrigatoriamente por pessoa natural, o que oportunizará ao controlador, em caso de solicitação de revisão pelo titular, submeter a questão a outro suporte eletrônico, por exemplo, que poderá ou não confirmar a primeira decisão.

(f) Compartilhamento de dados entre o Poder Público e entidades privadas – A redação da MP para o art. 26, §1º, passou a admitir que o Poder Público transfira a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso nos seguintes casos:

(i) em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado;
(ii) se for indicado um encarregado para as operações de tratamento de dados pessoais;
(iii) quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres;
(iv) na hipótese de a transferência dos dados objetivar a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados; ou
(v) nos casos em que os dados forem acessíveis publicamente.

Além disso, excluiu do art. 27 a exigência de que a referida comunicação ou compartilhamento seja informada à autoridade nacional.

“O prazo de entrada em vigor estendeu para 24 meses, o que ocorrerá em 15 de agosto de 2020”

(g) Prazo para entrada em vigor da Lei – Com base na nova redação do art. 65, a Lei entra em vigor, em relação à criação, organização e funcionamento da ANPD, no dia 28 de dezembro de 2018. Todavia, em relação a todos os demais dispositivos, a MP estendeu o prazo para entrada em vigor de 18 (dezoito) meses para 24 (vinte e quatro) meses da entrada em vigor, o que ocorrerá em 15 de agosto de 2020.

VI. CONCLUSÃO

Conclui-se que a Medida Provisória nº 869, além de alterar a LGPD, criou a figura mais aguardada do meio, qual seja a Autoridade Nacional de Proteção de Dados. Ocorre que diferente do projeto de lei original que criava uma autarquia ligada à administração pública indireta, foi instituído um órgão sem aumento de despesas à União, vinculado à Presidência e com autonomia técnica. Dessa forma, a Autoridade perde força com a publicação da MP, já que ao invés de independência financeira e administrativa, agora ela terá somente “autonomia técnica”.

A principal preocupação é de que as decisões tomadas pela Autoridade não serem apenas técnicas, mas também políticas, o que por si só enfraquece a referida entidade. De qualquer modo, a criação da ANPD já representa um avanço significativo, tendo em vista que é um dos elementos primordiais para a implementação da LGPD.