O Senado aprovou nesta quarta-feira (29) a medida provisória 869/2018 que recria a Autoridade Nacional de Proteção de Dados (ANPD). A criação do órgão havia sido vetada pelo então presidente Michel Temer na sanção da lei que trata do tema (Lei 13.709/2018). A MP busca dar mais proteção aos dados pessoais e estabelece exceções em que o poder público poderá repassar os dados à iniciativa privada, desde que o fato seja comunicado antes ao novo órgão. Aprovada na forma do Projeto de Lei de Conversão (PLV) 7/2019, a MP agora segue para a sanção da Presidência da República.
De maneira geral, a transferência de dados das bases do poder público para entidades privadas é proibida, mas o texto final da MP inclui outras duas exceções: quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; e na hipótese de essa medida ter o objetivo exclusivo de prevenir fraudes e irregularidades ou proteger a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
Segundo o relator na comissão especial, deputado Orlando Silva (PCdoB-SP), as mudanças são necessárias para viabilizar serviços como arrecadação tributária, pagamento de benefícios e bolsas e implementação de programas. Entretanto, ele manteve no texto a necessidade de a autoridade nacional ser informada sobre essa transferência de dados. A MP também prorroga o início da vigência da nova lei, de janeiro para agosto de 2020.
Brasil ganha destaque global com a ANPD
Na opinião do DPO e CISO, Alex Amorim, foi mais uma fantástica vitória para o País e essa aprovação mostra que todos estão focados nesse tema. “Nos últimos dias vimos que o assunto avançou muito após passar na Comissão Especial, Câmara dos Deputados e agora pelo Senado. Isso significa a força do tema, justamente no momento que a GDPR completou um ano no último 25 de maio. O próximo passo será a sansão presidencial e como isso entramos na lista dos países que estão levando a sério a questão da proteção de dados, o que coloca o Brasil outra importância principalmente no contexto europeu”, avalia.
Amorim lembra que são duas corridas simultâneas: para as empresas estarem em compliance e a segunda será fazer a fiscalização em cima dos terceiros que prestam serviço. “Acredito que agora seja o momento das organizações darem prazos para os seus prestadores de serviço , uma vez que pela experiência da GDPR muitas empresas que prestam serviços perderam contrato por conta do não atendimento à regulação”, aponta.
Outro ponto a ser observado é que várias soluções não são simples de ser implantadas. “Não é simplesmente implementar uma tecnologia de DLP e pronto. Mas existe todo um processo como classificação de informação, ou seja, existem vários passos a serem adotados antes de entrar com alguns tipos de tecnologias”, alerta quando lembra que as empresas que não fizeram um assessment já estão atrasadas quando deveria estar se preocupando com a implantação.
“Quem ainda não fez isso, precisa correr, pois temos menos um ano e dois meses pela frente. Caso não seja implantado os controles básicos ficará difícil de explicar à ANPD a ausência dos controles. A agência poderá pedir como evidências do comprometimento das empresas nesta jornada e o cronograma e documentações do projetos poderão auxiliar neste momento, entre outros aspectos”.
O papel do DPO
Para Fabrício Mota Alves, especialista em Direito Digital, a aprovação e a futura sanção MP 869 encerram um processo legislativo de 6 anos. “Muitas mudanças importantes foram promovidas pelo Congresso e deverão ser objeto de atenção das empresas. Agora, também os operadores deverão indicar um encarregado (DPO), mas nas hipóteses que a ANPD definir. Antes, somente controladores tinham essa obrigação”, destaca.
De acordo com Alves, foram acrescidas qualificações obrigatórias para o encarregado. Este deverá ser detentor de conhecimento jurídico-regulatório e ter atuação especializada em proteção de dados. “Esse ponto é importante, porque está gerando muita confusão: é bom que fique claro que não há exigência de formação jurídica. Logo, não é uma reserva de mercado para advogados e bacharéis em Direito”, pontua o especialista.
Ele acrescenta que qualquer profissional, independente da área de atuação, pode exercer essa função, desde que tenha o conhecimento em leis reguladoras e prática em LGPD. Não difere muito do que já se exige para ocupar outros cargos públicos, como a exigência do notório saber jurídico para Conselheiros do CNJ ou CNMP indicados pela sociedade, Câmara ou Senado, ou mesmo para cargos de Ministro de Tribunal. “Ser advogado não é é nunca foi uma uma exigência”, completa Fabrício Mota Alves.
Benefícios
A comissão mista especial que analisou a matéria foi presidida pelo senador Eduardo Gomes (MDB-TO) e teve o senador Rodrigo Cunha (PSDB-AL) como relator-revisor. Para ele, não há dúvida sobre os benefícios de uma era mais tecnológica e conectada. Rodrigo Cunha ponderou, porém, que há riscos de mau uso desses dados no tráfego de informações. Por isso, registrou o senador, a importância da medida provisória que, entre outras coisas, garante autonomia à ANPD.
“Os dados bem trabalhados valem milhões e muitas vezes o consumidor tem suas informações comercializadas sem saber. Daí a necessidade de debruçarmos sobre esse tema. O foco que nós, legisladores, precisamos ter é proteger o cidadão”, declarou Rodrigo Cunha.
Dados sensíveis
O uso de dados pessoais sensíveis (origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, por exemplo) para obter vantagem econômica, é vedado, de forma geral. O texto permite o uso compartilhado entre controladores de dados com objetivo econômico somente se a troca de dados for necessária para a prestação de serviços de saúde e de assistência farmacêutica ou à saúde, incluídos o diagnóstico e a terapia, em benefício dos interesses dos titulares dos dados.
Esse compartilhamento sem consentimento antecipado do titular na área de saúde deverá permitir a execução de transações financeiras e administrativas resultantes do uso e da prestação desses serviços. A ideia é permitir o compartilhamento de dados sensíveis entre diversos prestadores e profissionais de serviços de saúde e autoridade sanitária em benefício do titular.
Por outro lado, o relator acatou sugestão com base em audiências para proibir às operadoras de planos privados de saúde o tratamento de dados sensíveis para praticar seleção de riscos na contratação de qualquer modalidade ou na exclusão de beneficiários. Orlando Silva quer evitar que o tratamento de dados sensíveis leve à negativa de acesso ou ao “encarecimento injusto do plano de saúde”.
Informação dispensada
A MP também dispensa o poder público de informar ao titular dos dados (pessoa natural ou jurídica) sobre as situações em que poderá haver tratamento de seus dados para o cumprimento de obrigação legal (Fisco, por exemplo) ou regulatória, como agências. De igual forma, a administração não precisará mais informar ao titular dos dados sobre tratamento necessário à execução de políticas públicas previstas em lei ou em convênios.
Segurança de Estado
A Lei 13.709, de 2018, chamada agora pelo texto de Lei Geral de Proteção de Dados Pessoais (LGPDP), prevê que o tratamento de dados para determinados fins não será submetido às suas regras — caso daquele realizado para segurança pública, defesa nacional e segurança do Estado, ou atividades de investigação e repressão de infrações penais.
Com a MP original, a autoridade nacional recriada não deveria mais emitir opiniões técnicas ou recomendações sobre essas exceções, nem solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais. Orlando Silva reverteu essa mudança e manteve a atribuição da ANPD. O novo texto permite ainda a pessoas jurídicas de direito privado controladas integralmente pelo poder público, tratarem a totalidade dos dados constantes dos bancos criados para essas finalidades, caso do Serviço Federal de Processamento de Dados (Serpro), estatal federal.
Revisão por pessoa
A revisão de dados por pessoa natural dependerá, segundo o projeto de lei de conversão, de regulamentação da ANPD, que levará em consideração a natureza e o porte da entidade gestora ou o volume de operações de tratamento de dados. O texto original da MP excluía a possibilidade de revisão por pessoa natural, como exigido na lei. Agora a regulamentação definirá em quais casos deverá haver revisão por um ser humano e não por algoritmos computacionais.
Correções e informação
O projeto de conversão estabelece duas exceções quanto à obrigação de o responsável pelo tratamento de dados informar outros agentes com os quais tenha compartilhado o conteúdo sobre as correções, eliminações ou bloqueio de dados pedidos pelo titular. O repasse dos pedidos do titular não precisará ocorrer se for “comprovadamente impossível” ou implicar em “esforço desproporcional”.
Outra mudança na lei é a proibição de o poder público compartilhar, seja com outros órgãos públicos ou com pessoas jurídicas de direito privado, os dados pessoais de requerente que invocou a Lei de Acesso à Informação (Lei 12.527, de 2011).
Nesta quinta-feira, 30, o Congresso Security Leaders terá uma ampla discussão sobre esse tema no Rio de Janeiro. Serão 6 palestras e 3 painéis de debate debatendo o cenário regulatório, proteção de dados, resposta a incidentes e demais temas ligados à Segurança da Informação.
Com informações das Agências Câmara e Senado