Senado aprova a Autoridade Nacional de Proteção de Dados

Próximo passo é MP 869/2018 ir à sansão presidencial, o que aperta empresas e terceiros a cumprirem as exigências regulatórias, quando faltam cerca de 14 meses para a LGPD entrar em vigor

Por: Paula Zaidan, ⌚ 29/05/2019 às 21h59 - Atualizado em 30/05/2019 às 10h48

O Senado aprovou nesta quarta-feira (29) a medida provisória 869/2018 que recria a Autoridade Nacional de Proteção de Dados (ANPD). A criação do órgão havia sido vetada pelo então presidente Michel Temer na sanção da lei que trata do tema (Lei 13.709/2018). A MP busca dar mais proteção aos dados pessoais e estabelece exceções em que o poder público poderá repassar os dados à iniciativa privada, desde que o fato seja comunicado antes ao novo órgão. Aprovada na forma do Projeto de Lei de Conversão (PLV) 7/2019, a MP agora segue para a sanção da Presidência da República.

 

 

De maneira geral, a transferência de dados das bases do poder público para entidades privadas é proibida, mas o texto final da MP inclui outras duas exceções: quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; e na hipótese de essa medida ter o objetivo exclusivo de prevenir fraudes e irregularidades ou proteger a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.

 

 

Segundo o relator na comissão especial, deputado Orlando Silva (PCdoB-SP), as mudanças são necessárias para viabilizar serviços como arrecadação tributária, pagamento de benefícios e bolsas e implementação de programas. Entretanto, ele manteve no texto a necessidade de a autoridade nacional ser informada sobre essa transferência de dados. A MP também prorroga o início da vigência da nova lei, de janeiro para agosto de 2020.

 

Brasil ganha destaque global com a ANPD

 

Na opinião do DPO e CISO, Alex Amorim, foi mais uma fantástica vitória para o País e essa aprovação mostra que todos estão focados nesse tema. “Nos últimos dias vimos que o assunto avançou muito após passar na Comissão Especial, Câmara dos Deputados e agora pelo Senado. Isso significa a força do tema, justamente no momento que a GDPR completou um ano no último 25 de maio. O próximo passo será a sansão presidencial e como isso entramos na lista dos países que estão levando a sério a questão da proteção de dados, o que coloca o Brasil outra importância principalmente no contexto europeu”, avalia.

 

 

Amorim lembra que são duas corridas simultâneas: para as empresas estarem em compliance e a segunda será fazer a fiscalização em cima dos terceiros que prestam serviço. “Acredito que agora seja o momento das organizações darem prazos para os seus prestadores de serviço , uma vez que pela experiência da GDPR muitas empresas que prestam serviços perderam contrato por conta do não atendimento à regulação”, aponta.

 

 

Outro ponto a ser observado é que várias soluções não são simples de ser implantadas. “Não é simplesmente implementar uma tecnologia de DLP e pronto. Mas existe todo um processo como classificação de informação, ou seja, existem vários passos a serem adotados antes de entrar com alguns tipos de tecnologias”, alerta quando lembra que as empresas que não fizeram um assessment já estão atrasadas quando deveria estar se preocupando com a implantação.

 

“Quem ainda não fez isso, precisa correr, pois temos menos um ano e dois meses pela frente. Caso não seja implantado os controles básicos ficará difícil de explicar à ANPD a ausência dos controles. A agência poderá pedir como evidências do comprometimento das empresas nesta jornada e o cronograma e documentações do projetos poderão auxiliar neste momento, entre outros aspectos”.

 

O papel do DPO

 

Para Fabrício Mota Alves, especialista em Direito Digital, a aprovação e a futura sanção MP 869 encerram um processo legislativo de 6 anos. “Muitas mudanças importantes foram promovidas pelo Congresso e deverão ser objeto de atenção das empresas. Agora, também os operadores deverão indicar um encarregado (DPO), mas nas hipóteses que a ANPD definir. Antes, somente controladores tinham essa obrigação”, destaca.

 

De acordo com Alves, foram acrescidas qualificações obrigatórias para o encarregado. Este deverá ser detentor de conhecimento jurídico-regulatório e ter atuação especializada em proteção de dados. “Esse ponto é importante, porque está gerando muita confusão: é bom que fique claro que não há exigência de formação jurídica. Logo, não é uma reserva de mercado para advogados e bacharéis em Direito”, pontua o especialista.

 

Ele acrescenta que qualquer profissional, independente da área de atuação, pode exercer essa função, desde que tenha o conhecimento em leis reguladoras e prática em LGPD. Não difere muito do que já se exige para ocupar outros cargos públicos, como a exigência do notório saber jurídico para Conselheiros do CNJ ou CNMP indicados pela sociedade, Câmara ou Senado, ou mesmo para cargos de Ministro de Tribunal. “Ser advogado não é é nunca foi uma uma exigência”, completa Fabrício Mota Alves.

 

Benefícios

 

A comissão mista especial que analisou a matéria foi presidida pelo senador Eduardo Gomes (MDB-TO) e teve o senador Rodrigo Cunha (PSDB-AL) como relator-revisor. Para ele, não há dúvida sobre os benefícios de uma era mais tecnológica e conectada. Rodrigo Cunha ponderou, porém, que há riscos de mau uso desses dados no tráfego de informações. Por isso, registrou o senador, a importância da medida provisória que, entre outras coisas, garante autonomia à ANPD.

 

“Os dados bem trabalhados valem milhões e muitas vezes o consumidor tem suas informações comercializadas sem saber. Daí a necessidade de debruçarmos sobre esse tema. O foco que nós, legisladores, precisamos ter é proteger o cidadão”, declarou Rodrigo Cunha.

 

Dados sensíveis

 

O uso de dados pessoais sensíveis (origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, por exemplo) para obter vantagem econômica, é vedado, de forma geral. O texto permite o uso compartilhado entre controladores de dados com objetivo econômico somente se a troca de dados for necessária para a prestação de serviços de saúde e de assistência farmacêutica ou à saúde, incluídos o diagnóstico e a terapia, em benefício dos interesses dos titulares dos dados.

 

Esse compartilhamento sem consentimento antecipado do titular na área de saúde deverá permitir a execução de transações financeiras e administrativas resultantes do uso e da prestação desses serviços. A ideia é permitir o compartilhamento de dados sensíveis entre diversos prestadores e profissionais de serviços de saúde e autoridade sanitária em benefício do titular.

 

Por outro lado, o relator acatou sugestão com base em audiências para proibir às operadoras de planos privados de saúde o tratamento de dados sensíveis para praticar seleção de riscos na contratação de qualquer modalidade ou na exclusão de beneficiários. Orlando Silva quer evitar que o tratamento de dados sensíveis leve à negativa de acesso ou ao “encarecimento injusto do plano de saúde”.

 

Informação dispensada

 

A MP também dispensa o poder público de informar ao titular dos dados (pessoa natural ou jurídica) sobre as situações em que poderá haver tratamento de seus dados para o cumprimento de obrigação legal (Fisco, por exemplo) ou regulatória, como agências. De igual forma, a administração não precisará mais informar ao titular dos dados sobre tratamento necessário à execução de políticas públicas previstas em lei ou em convênios.

 

Segurança de Estado

 

Lei 13.709, de 2018, chamada agora pelo texto de Lei Geral de Proteção de Dados Pessoais (LGPDP), prevê que o tratamento de dados para determinados fins não será submetido às suas regras — caso daquele realizado para segurança pública, defesa nacional e segurança do Estado, ou atividades de investigação e repressão de infrações penais.

 

Com a MP original, a autoridade nacional recriada não deveria mais emitir opiniões técnicas ou recomendações sobre essas exceções, nem solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais. Orlando Silva reverteu essa mudança e manteve a atribuição da ANPD. O novo texto permite ainda a pessoas jurídicas de direito privado controladas integralmente pelo poder público, tratarem a totalidade dos dados constantes dos bancos criados para essas finalidades, caso do Serviço Federal de Processamento de Dados (Serpro), estatal federal.

 

Revisão por pessoa

 

A revisão de dados por pessoa natural dependerá, segundo o projeto de lei de conversão, de regulamentação da ANPD, que levará em consideração a natureza e o porte da entidade gestora ou o volume de operações de tratamento de dados. O texto original da MP excluía a possibilidade de revisão por pessoa natural, como exigido na lei. Agora a regulamentação definirá em quais casos deverá haver revisão por um ser humano e não por algoritmos computacionais.

 

Correções e informação

 

O projeto de conversão estabelece duas exceções quanto à obrigação de o responsável pelo tratamento de dados informar outros agentes com os quais tenha compartilhado o conteúdo sobre as correções, eliminações ou bloqueio de dados pedidos pelo titular. O repasse dos pedidos do titular não precisará ocorrer se for “comprovadamente impossível” ou implicar em “esforço desproporcional”.

 

Outra mudança na lei é a proibição de o poder público compartilhar, seja com outros órgãos públicos ou com pessoas jurídicas de direito privado, os dados pessoais de requerente que invocou a Lei de Acesso à Informação (Lei 12.527, de 2011).

 

Nesta quinta-feira, 30, o Congresso Security Leaders terá uma ampla discussão sobre esse tema no Rio de Janeiro. Serão 6 palestras e 3 painéis de debate debatendo o cenário regulatório, proteção de dados, resposta a incidentes e demais temas ligados à Segurança da Informação.

 

Com informações das Agências Câmara e Senado

 

 



Newsletter

Rangel Rodrigues
Rangel Rodrigues
Alex Amorim
Rangel Rodrigues

/ VEJA TAMBÉM



/ COMENTÁRIOS