Por Caterina Carvalho
Foi publicado, no último dia 28, o texto da Medida Provisória n° 869 que, além de promover alterações na Lei Geral de Proteção de Dados, também cria a Autoridade Nacional de Proteção de Dados, a ANPD.
A criação da autoridade reguladora fazia parte da LGPD quando ela foi enviada para a sanção presidencial em agosto. Contudo, na ocasião, o presidente Michel Temer vetou o órgão por ter sido criado pelo Poder Legislativo, quando na verdade, por ser uma agência reguladora, deveria ser criada pelo Poder Executivo. Assim, foi criada em dezembro via MP.
A medida também altera dispositivos da norma que abordam o tratamento de dados por pessoas jurídicas de Direito Privado, dos dados pessoais constantes em bancos de dados e da vedação de comunicação ou uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com o objetivo de se obter vantagem econômica.
De modo geral, as principais alterações da LGPD com a Medida Provisória, incluem:
Criação da Autoridade Nacional de Proteção de Dados
A ANPD é um elemento-chave na proteção de dados. Sua função será a de fiscalizar empresas e órgãos públicos ou privados para garantir que todos estão obedecendo à Lei Geral de Proteção de Dados. Isto inclui garantir punições para casos de vazamento e mal uso de informações pessoais de usuários brasileiros.
A autoridade reguladora será formada por um Conselho Diretor composto por cinco pessoas indicadas pelo presidente, que, por sua vez, vai debater propostas de um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade formado por 23 integrantes.
Ampliação do escopo de aplicação da LGPD
Antes da Medida Provisória 869, o foco da lei se restringia apenas aos dados pessoais, cujo objeto do tratamento tenha sido coletado no território nacional. O escopo vem ampliado para definir quem deveria se sujeitar ao seu cumprimento. Ou seja, serão alvo da lei aqueles cuja atividade de tratamento de dados tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional.
O profissional encarregado da Proteção de Dados Pessoais
Com a MP, o profissional, que se assemelha ao Data Protection Officer do Regulamento Geral de Proteção de Dados da União Europeia, deverá existir em todas organizações que se submeterem à LGPD, atuando como canal de comunicação entre o controlador (coletor dos dados), os titulares e junto à ANPD além diversas atividades operacionais previstas na lei. O encargo, contudo, não é mais referenciado como contratação celetista ou de exclusividade de uma pessoa natural, mas a atividade poderá ser terceirizada, seja para um escritório de advocacia, prestador de serviço ou grupo de trabalho especializado sobre o tema.
Uso compartilhado de dados pessoais pelo poder público
Revogada a previsão que impedia que a totalidade dos dados pessoais de banco de dados de segurança nacional e pública fossem tratados por pessoa de direito privado, permitindo agora que as controladas pelo Poder Público possam tratá-los. Fica possível a transferência de dados pessoais de responsabilidade do Poder Público para entidades privadas quando: (i) o ente privado tiver indicado um encarregado; (ii) quando houver previsão legal ou em instrumentos jurídicos administrativos; (iii) quando a transferência for para fins de prevenção à fraude, segurança e integridade do titular dos dados; e (iv) dados forem publicamente acessíveis;
Por fim, entre as alterações promovidas pela MP, merece destaque a prorrogação por seis meses da data de entrada em vigor da nova lei. Com isso, as obrigações nela previstas passam a valer a partir de agosto de 2020.