Criação de órgão fiscalizador consolida estrutura para funcionamento da LGPD
Em muitos casos na história do Brasil a falta de uma definição clara a respeito de quem fiscalizaria o cumprimento das normas fez com que algumas determinações do legislativo não tivessem qualquer efeito prático. Este fenômeno se traduz na expressão: “No Brasil tem leis que pegam e outras que não pegam”.
Essa realidade inclusive é um dos motivos pelos quais pessoas e empresas adquiriram o hábito de esperarem até a última hora para adaptarem seus comportamentos às leis criadas no Congresso Nacional.
Mas pelo que parece, quem mantiver este costume pode ter problemas no caso da Lei Geral de Proteção de Dados (LGPD). Um forte indício de que ela se trata de uma lei que vai pegar foi apresentado no dia 28 de maio, quando o Senado aprovou a medida provisória 869/2018 que cria a Autoridade Nacional de Proteção de Dados (ANPD).
Este órgão será o responsável justamente por fiscalizar os responsáveis pelo tratamento de dados nos setores público e privado. O texto que recebeu o aval dos parlamentares determina que ele ficará subordinado à Presidência da República nos dois primeiros anos de sua existência e depois será transformado em uma autarquia com orçamento próprio.
Para fazer com que a LGPD seja uma lei que ‘pegue’ também foram determinadas as punições que podem ser aplicadas pela ANPD. Elas vão desde a possibilidade de suspensão parcial do funcionamento do banco de dados por seis meses, prorrogável por igual período até a regulamentação da atividade até a proibição total do exercício das atividades relacionadas a tratamento de dados.
A autoridade também poderá aplicar multas cujos valores serão destinados ao Fundo de Defesa de Direitos Difusos (FDD), sob a coordenação do Ministério da Justiça.
A formação da Autoridade terá um Conselho Diretor, um Conselho Nacional de Proteção de Dados Pessoais e Privacidade, a Corregedoria, a Ouvidoria, um órgão de assessoramento jurídico e unidades administrativas e especializadas.
Os cinco membros que compõe o Conselho Diretor serão escolhidos pelo Presidente da República e só poderão ser nomeados após aprovação do Senado Federal. Eles ficarão no cargo por quatro anos e só poderão perder o cargo se renunciarem, forem condenados em uma ação transitada em julgado ou penalizados depois de um processo administrativo disciplinar.
O texto aprovado pelo Senado segue agora para a sanção presidencial que deve acontecer nos próximos dias. Agora a lei já existe, assim como quem vai fiscalizar e quais serão as punições.
É uma questão de tempo para entrar em vigor. Neste intervalo as empresas têm dois caminhos a seguir:
Apostar que será uma lei que não vai pegar e ficar torcendo por isso, ou tomar as providências necessárias para atender suas exigências e permanecer na tranquilidade.
No caso da primeira escolha, a Forcepoint não pode ajudar. Já na hipótese de a empresa escolher a opção correta, a Forcepoint se coloca à disposição para ser uma importante aliada.
Suas soluções e a experiência de ajudar empresas de todos os portes a estabelecer conformidade com as legislações de segurança cibernética mais exigentes do mundo certamente servirão para encontrar os caminhos mais rápidos, fáceis e econômicos para uma perfeita adaptação à LGPD.
Entre em contato.
A redação da MP veda o uso de dados pessoais sensíveis (origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, por exemplo) para obter vantagem econômica. O texto permite o uso compartilhado entre controladores de dados com objetivo econômico somente se a troca de dados for necessária para a prestação de serviços de saúde e de assistência farmacêutica ou à saúde, incluídos o diagnóstico e a terapia, em benefício dos interesses dos titulares dos dados.
Esse compartilhamento sem consentimento antecipado do titular na área de saúde deverá permitir a execução de transações financeiras e administrativas resultantes do uso e da prestação desses serviços. A ideia é permitir o compartilhamento de dados sensíveis entre diversos prestadores e profissionais de serviços de saúde e autoridade sanitária em benefício do titular.
Por outro lado, o relator acatou sugestão com base em audiências para proibir às operadoras de planos privados de saúde o tratamento de dados sensíveis para praticar seleção de riscos na contratação de qualquer modalidade ou na exclusão de beneficiários. Orlando Silva quer evitar que o tratamento de dados sensíveis leve à negativa de acesso ou ao “encarecimento injusto do plano de saúde”.
Informação dispensada
A MP também dispensa o poder público de informar ao titular dos dados (pessoa natural ou jurídica) sobre as situações em que poderá haver tratamento de seus dados para o cumprimento de obrigação legal (Fisco, por exemplo) ou regulatória, como agências. De igual forma, a administração não precisará mais informar ao titular dos dados sobre tratamento necessário à execução de políticas públicas previstas em lei ou em convênios.
O Conselho Nacional de Proteção de Dados Pessoais, por sua vez, teve o número de membros aumentados, e agora vai contemplar mais representantes da sociedade. Foram criadas duas vagas em relação à primeira proposta, uma para o setor empresarial e outra para representante dos trabalhadores.
A criação do órgão havia sido vetada pelo então presidente Michel Temer na sanção da lei que trata do tema (Lei 13.709/2018). A MP busca dar mais proteção aos dados pessoais e estabelece exceções em que o poder público poderá repassar os dados à iniciativa privada, desde que o fato seja comunicado antes ao novo órgão. Aprovada na forma do Projeto de Lei de Conversão (PLV) 7/2019, a MP agora segue para a sanção da Presidência da República.
De maneira geral, a transferência de dados das bases do poder público para entidades privadas é proibida, mas o texto final da MP inclui outras duas exceções: quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; e na hipótese de essa medida ter o objetivo exclusivo de prevenir fraudes e irregularidades ou proteger a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
Segundo o relator na comissão especial, deputado Orlando Silva (PCdoB-SP), as mudanças são necessárias para viabilizar serviços como arrecadação tributária, pagamento de benefícios e bolsas e implementação de programas. Entretanto, ele manteve no texto a necessidade de a autoridade nacional ser informada sobre essa transferência de dados. A MP também prorroga o início da vigência da nova lei, de janeiro para agosto de 2020.
A comissão mista especial que analisou a matéria foi presidida pelo senador Eduardo Gomes (MDB-TO) e teve o senador Rodrigo Cunha (PSDB-AL) como relator-revisor. Para ele, não há dúvida sobre os benefícios de uma era mais tecnológica e conectada. Rodrigo Cunha ponderou, porém, que há riscos de mau uso desses dados no tráfego de informações. Por isso, registrou o senador, a importância da medida provisória que, entre outras coisas, garante autonomia à ANPD.
— Os dados bem trabalhados valem milhões e muitas vezes o consumidor tem suas informações comercializadas sem saber. Daí a necessidade de debruçarmos sobre esse tema. O foco que nós, legisladores, precisamos ter é proteger o cidadão — declarou Rodrigo Cunha.
A matéria foi aprovada na Câmara dos Deputados nessa terça-feira (28) e perderia a validade no próximo dia 3 de junho. Veja abaixo alguns dos principais pontos da MP.
Dados sensíveis
O uso de dados pessoais sensíveis (origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, por exemplo) para obter vantagem econômica, é vedado, de forma geral. O texto permite o uso compartilhado entre controladores de dados com objetivo econômico somente se a troca de dados for necessária para a prestação de serviços de saúde e de assistência farmacêutica ou à saúde, incluídos o diagnóstico e a terapia, em benefício dos interesses dos titulares dos dados.
Esse compartilhamento sem consentimento antecipado do titular na área de saúde deverá permitir a execução de transações financeiras e administrativas resultantes do uso e da prestação desses serviços. A ideia é permitir o compartilhamento de dados sensíveis entre diversos prestadores e profissionais de serviços de saúde e autoridade sanitária em benefício do titular.
Por outro lado, o relator acatou sugestão com base em audiências para proibir às operadoras de planos privados de saúde o tratamento de dados sensíveis para praticar seleção de riscos na contratação de qualquer modalidade ou na exclusão de beneficiários. Orlando Silva quer evitar que o tratamento de dados sensíveis leve à negativa de acesso ou ao “encarecimento injusto do plano de saúde”.
Informação dispensada
A MP também dispensa o poder público de informar ao titular dos dados (pessoa natural ou jurídica) sobre as situações em que poderá haver tratamento de seus dados para o cumprimento de obrigação legal (Fisco, por exemplo) ou regulatória, como agências. De igual forma, a administração não precisará mais informar ao titular dos dados sobre tratamento necessário à execução de políticas públicas previstas em lei ou em convênios.
Segurança de Estado
A Lei 13.709, de 2018, chamada agora pelo texto de Lei Geral de Proteção de Dados Pessoais (LGPDP), prevê que o tratamento de dados para determinados fins não será submetido às suas regras — caso daquele realizado para segurança pública, defesa nacional e segurança do Estado, ou atividades de investigação e repressão de infrações penais.
Com a MP original, a autoridade nacional recriada não deveria mais emitir opiniões técnicas ou recomendações sobre essas exceções, nem solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais. Orlando Silva reverteu essa mudança e manteve a atribuição da ANPD. O novo texto permite ainda a pessoas jurídicas de direito privado controladas integralmente pelo poder público, tratarem a totalidade dos dados constantes dos bancos criados para essas finalidades, caso do Serviço Federal de Processamento de Dados (Serpro), estatal federal.
Revisão por pessoa
A revisão de dados por pessoa natural dependerá, segundo o projeto de lei de conversão, de regulamentação da ANPD, que levará em consideração a natureza e o porte da entidade gestora ou o volume de operações de tratamento de dados. O texto original da MP excluía a possibilidade de revisão por pessoa natural, como exigido na lei. Agora a regulamentação definirá em quais casos deverá haver revisão por um ser humano e não por algoritmos computacionais.
Correções e informação
O projeto de conversão estabelece duas exceções quanto à obrigação de o responsável pelo tratamento de dados informar outros agentes com os quais tenha compartilhado o conteúdo sobre as correções, eliminações ou bloqueio de dados pedidos pelo titular. O repasse dos pedidos do titular não precisará ocorrer se for “comprovadamente impossível” ou implicar em “esforço desproporcional”.
Outra mudança na lei é a proibição de o poder público compartilhar, seja com outros órgãos públicos ou com pessoas jurídicas de direito privado, os dados pessoais de requerente que invocou a Lei de Acesso à Informação (Lei 12.527, de 2011).