•  segunda-feira, 25 de novembro de 2024
Congresso aprova novas regras sobre proteção de dados pessoais

Propostas sobre proteção de dados pessoais são debatidas no Congresso

Congresso aprova novas regras sobre proteção de dados pessoais

O governo deve sancionar nos próximos dias a Medida Provisória (MP) 869, de 2018, que altera a Lei Geral de Proteção de Dados (13.709/18). A LGPD disciplina como empresas e entes públicos podem coletar e tratar informações de pessoas, estabelecendo direitos, exigências e procedimentos nesses tipos de atividades.

O Senado Federal aprovou a matéria que também cria a Autoridade Nacional de Proteção de Dados (ANPD), ente responsável pela fiscalização da LGPD, além de definir sua estrutura e prerrogativas. Além disso, a MP alterou trechos da lei, como na flexibilização do tratamento de dados pelo Poder Público, na revisão de decisões automatizadas, no compartilhamento de dados de saúde e na diferenciação do alcance da lei para pequenas empresas de tecnologia.

A LGPD foi aprovada em julho do ano passado definindo direitos de pessoas e organizações, limites a empresas e governos no momento de coletar e tratar dados, além de formas de fiscalização e punição em caso de violação à Lei, prerrogativas que ficariam a cargo de uma Autoridade Nacional de Proteção de Dados.

Contudo, o então presidente Michel Temer vetou o artigo que criava a Autoridade Nacional, com a justificativa de que havia um problema legal na sua proposição pelo Congresso, o que seria consertado com uma MP. Esta veio às vésperas do fim do mandato, criando uma autoridade diferente da proposta na redação aprovada pelo Congresso e alterando outros pontos da Lei.

*Autoridade Nacional

A LGPD propunha uma Autoridade Nacional com independência funcional e administrativa, vetada pelo presidente Michel Temer. Para preencher este vácuo, a MP de dezembro trouxe a proposta de uma Autoridade vinculada à Presidência da República e retirou algumas medidas fiscalizatórias previstas na redação original da Lei. A MP restabeleceu poderes à Autoridade Nacional, como para realizar auditorias e requerer informações a órgãos públicos sobre o tratamento de dados que realizam.

O texto aprovado ontem pelo Congresso criou uma solução alternativa, quanto à natureza da Autoridade: ela será vinculada à Presidência da República, mas com uma “natureza jurídica transitória”, podendo ser transformada em órgão da administração pública indireta em avaliação a ocorrer nos próximos dois anos. Ou seja, a depender da decisão do Executivo Federal, a ANPD, que deverá ser uma estrutura semelhante a uma secretaria, poderá se tornar uma autarquia, como as agências reguladoras.

Na avaliação do professor do Data Privacy Brasil Renato Leite, embora a criação da autoridade seja positiva, o modelo adotado não garantiu autonomia suficiente: “Isso vai dificultar o reconhecimento do Brasil pela União Europeia como país com nível com proteção adequada de dados, o que pode criar obstáculos ao livre fluxo de dados com a Comunidade Europeia”. Outra complicação, na avaliação do professor, é o risco de influência política de autoridades do Executivo nas investigações e sanções que a Autoridade possa vir a conduzir contra uma empresa por uma violação da lei.

A Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação (Brasscom) avaliou positivamente a aprovação da MP, especialmente diante do prazo exíguo e do risco da medida caducar. Segundo o presidente-executivo da entidade, Sérgio Paulo Galindo, os investimentos na transformação digital dependem de segurança jurídica para as empresas que trabalham com tratamento de dados. “Se a gente não tivesse autoridade de dados, não teríamos o órgão regente da aplicação da Lei e teríamos alto grau de insegurança jurídica. A existência da autoridade transfere calma ao setor, pois agora teremos um farol”, argumenta.

*Poder Público

A Lei Geral já trazia menos exigências ao Poder Público no tocante ao tratamento de dados, como o fato das regras não valerem para casos de Segurança Pública. A MP flexibilizou ainda mais as exigências, admitindo, por exemplo, que uma instituição pública compartilhe informações quando tal repasse estiver previsto em convênios ou contratos ou quando o objetivo for a prevenção de fraudes e irregularidades.

O advogado do escritório Pereira Neto e Macedo Associados Rafael Zanatta entende que um dos desafios será como a Autoridade conseguirá fiscalizar órgãos públicos do próprio governo federal, um dos maiores tratadores de dados pessoais (como as bases de documentos pessoais ou de dados fiscais).

“Com a Autoridade vinculada à Casa Civil [da Presidência da República], a grande questão é o quanto esse tipo de subordinação não impediria uma atuação mais vigorosa sobre atos ilegais cometidos por órgãos do Executivo”, pondera o advogado, especializado em direito digital.

*Revisão de decisões automatizadas

A LGPD previa a possibilidade de que uma pessoa pudesse pedir a revisão de uma decisão automatizada, que é todo tipo de escolha feita por um sistema sem a intervenção de uma pessoa, podendo incluir questões como notas de crédito, concessão de empréstimos, oferta de preços de um produto ou serviço e até mesmo a remoção de uma publicação em uma rede social.

A MP editada por Temer retirou essa possibilidade. A redação final aprovada pelo Congresso retomou esse direito, mas submetendo-o a uma regulamentação da Autoridade Nacional. Ou seja, o ente regulatório vai decidir em que tipos de decisão o usuário poderá pedir revisão.

*Dados de saúde

A LGPD proibiu a comunicação ou uso compartilhado de dados pessoais sensíveis referentes à saúde das pessoas (como diagnósticos e resultados de exames) para obter vantagem econômica, a não ser em caso de portabilidade. A MP abriu possibilidades dessa comercialização, na forma de “prestação de serviços de saúde”, “assistência farmacêutica” e “assistência à saúde”.

Diante das preocupações de que tais registros fossem usados por planos de saúde para definir preços, foi incluído um trecho vedando a operadoras desses serviços “o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários”.

*Pequenas empresas

Uma das novidades da redação aprovada ontem foi a possibilidade de a Autoridade Nacional editar normas e procedimentos simplificados e diferenciados “para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei”.

Na avaliação da coordenadora do coletivo Intervozes Beatriz Barbosa, que acompanhou as negociações do texto, essa medida é preocupante. “Basta que qualquer empresa que faça tratamento de dados e trabalhe com tecnologia se declare uma empresa de inovação e passe a se beneficiar de um eventual regulamento mais flexibilizado da Autoridade. E todas as empresas que operam com tratamento de dados podem fazer essa autodeclaração”. A expectativa, completa Beatriz, é de que a ANPD restrinja esse tratamento diferenciado, sob risco das regras específicas da Lei passarem a ser descumpridas na prática.

Para o especialista em política e indústria da Confederação Nacional da Indústria (CNI) Fabiano Barreto, a medida foi positiva porque as micro e pequenas empresas não terão a mesma condição das grandes para entender e implementar a lei. “Esse tratamento diferenciado para essas empresas recebemos com muita felicidade”, comenta. À Agência Brasil, ele também elogiou o prazo de transição até a vigência, de 24 meses (com início da validade em agosto de 2020). “Que as empresas e a Autoridade consigam aproveitar este prazo maior para ver a interpretação da lei, como ela vai ser interpretada e cobrada.”

(Agência Brasil)

Ler Anterior

Curso de Operações em Logística dá início em Itupeva

Ler Próxima

Correios passam a oferecer novos serviços com o Balcão do Cidadão