Blog

Blog

LGPD: ENTENDA AS RECENTES MUDANÇAS FEITAS PELA MP 869/18

CORTEZ, RIZZI & MIRANDA - 20 jan / 2019
Poucos dias antes de deixar o cargo, o então presidente Michel Temer cumpriu a promessa de criar a Autoridade Nacional de Proteção de Dados Pessoais (“ANPD”) por meio de medida provisória – neste caso, a Medida Provisória 869 de 28 de dezembro de 2018 (“MP 869/18”). Anteriormente, a criação da ANPD havia sido vetada quando da sanção da Lei Federal 13.709/18 (a Lei Geral de Proteção de Dados, ou “LGPD”), em setembro de 2018, conforme mencionamos em publicação anterior (veja aqui).
 
A MP 869/18, no entanto, fez bem mais do que apenas instituir a ANPD: outras alterações de impacto substancial também estão incorporadas no seu texto. Tratam-se de questões que afetam as circunstâncias e possibilidades de tratamento pelo Poder Público; a natureza da figura do encarregado (DPO); as hipóteses de tratamento de dados sensíveis; o processo de revisão de decisões tomadas por meio de tratamento automatizado; bem como o prazo de adequação às regras da LGPD.
 
Não obstante, tais alterações e mesmo a criação da ANPD ainda dependem de aprovação da MP 869/18 pelo Congresso. Medidas provisórias tem vigência de até 120 dias (60 iniciais, prorrogáveis por mais 60) a partir de sua edição, mas dependem da aprovação do Câmara dos Deputados e do Senado para serem convertidas definitivamente em leis. Significa dizer que embora já esteja em vigor, a MP 869/18 ainda precisa passar pelo crivo do Congresso para que seus efeitos sejam permanentes.
 
Abaixo, descrevemos as principais alterações trazidas pela MP:
 
Autoridade Nacional de Proteção de Dados Pessoais (ANPD)
 
Como já enunciado, a MP 869/18 criou a ANPD, prevendo sua forma, funcionamento e papel. O órgão é fundamental para conferir efetividade a uma série de direitos, obrigações e responsabilidades previstos na LGPD. Sua configuração, em linhas gerais, ficou da seguinte forma:
 
  • Órgão da administração pública federal, com vinculação à Presidência da República (órgão da administração federal direta);
  •  
  • Autonomia técnica, apenas;
  •  
  • Composto por (i) Conselho Diretor, (ii) Conselho Nacional de Proteção de Dados Pessoais (iii) Corregedoria, (iv) Ouvidoria; (v) Jurídico e (v) outras unidades administrativas especializadas;
  •  
  • Conselho Diretor com 5 membros nomeados pelo Presidente da República, ocupando cargo em comissão por mandatos de 4 anos (exceto mandatos iniciais, de 2, 3 4, 5 e 6 anos);
  •  
  • Conselho Nacional de Proteção de Dados Pessoais com 23 representantes, com mandatos de 2 anos, oriundos do Poder Executivo (6), Senado (1), Câmara dos Deputados (1), CNJ (1), Conselho Nacional do Ministério Público (1), CGI.br (1), entidades de sociedade civil com atuação em proteção de dados (4), instituições científicas, tecnológicas e de inovação (4) e entidades que representam o setor empresarial com relação a proteção de dados (4).
 
A principal mudança em comparação com o modelo proposto anteriormente, no Projeto de Lei 53/18, diz respeito à autonomia da ANPD. Conforme originalmente concebida, a ANPD seria uma autarquia especial, integrante da administração federal indireta e vinculada ao Ministério da Justiça.
 
O texto legal anteriormente proposto previa expressamente “independência administrativa, ausência de subordinação hierárquica, mandato fixo e estabilidade de seus agentes e autonomia financeira”. Sob o modelo atual, por sua vez, a ANPD tem menor autonomia, e a própria MP 869/18 prevê que esta autonomia é apenas técnica. Isso pode acarretar, em tese, maior interferência política nas decisões do órgão, como costuma ocorrer com integrantes da administração direta.
 
Quanto às atribuições da ANPD, estas permanecem semelhantes às da proposta original – embora o texto legal correspondente tenha sofrido diversas edições, em comparação com a versão anterior. Em linhas gerais, a ANPD fica responsável por
 
  • zelar pela proteção de dados pessoais;
  •  
  • editar normas, procedimentos sobre dados pessoais, além de interpretar a LGPD na esfera administrativa;
  •  
  • fiscalizar os agentes de tratamento, e aplicar as sanções administrativas cabíveis;
  •  
  • implementar mecanismos simplificados para reclamações sobre tratamentos de dados pessoais em desconformidade com a LGPD;
  •  
  • atuar como interlocutor com outros entes governamentais, internacionais e da sociedade;
  •  
  • elaborar relatórios de gestão anual sobre suas atividades; e
  •  
  • promover estudos, difundir conhecimentos sobre o tema, estimular a adoção de padrões – enfim, auxiliar na promoção de uma cultura de proteção de dados pessoais.
 
Vale destacar que o texto anterior (i.e., do Projeto de Lei 53/18), ao elencar as atribuições, ressaltava o poder de fiscalização da ANPD sobre o tratamento de dados pessoais pelo Poder Público. Notava-se ali uma atenção especial aos usos que o Poder Público, detentor de uma massiva quantidade de dados pessoais, poderia vir a fazer destes dados.  Ao suprimir essas referências expressas, o texto atual não subtrai esse poder fiscalizatório da ANPD – que continua presente na habilidade expressamente prevista de fiscalizar os agentes de tratamento –, mas certamente deixa de dar ênfase em uma das principais preocupações da sociedade contemporânea: o poder do Estado sobre nossos dados pessoais – ao deixar de dizer, diz bastante coisa.
 
Tratamento pelo Poder Público
 
Diversas das alterações promovidas pela MP 869/18 à LGPD trazem maior flexibilidade ao de tratamento por pessoas jurídicas privadas para finalidades originalmente atribuídas ao Poder Público. As novas regras permitem, em alguma medida e respeitados os princípios e limites da lei, que o Poder Público confie a entes privados o tratamento de dados pessoais para fins de natureza pública.
 
No caso de tratamento para fins de segurança pública, defesa nacional, segurança de Estado, investigação e repreensão penal, o Poder Público passa a poder tratar a base de dados em sua integralidade através de pessoas jurídicas privadas, mas desde que seja controlador desta entidade – para os demais casos, a base de dados só poderá ser parcialmente transferida.
 
Por sua vez, quando a finalidade subjacente ao tratamento for de execução de políticas públicas e desempenho de atribuição legal, a transferência de dados pessoais pelo Poder Público ao ente privado – em regra, vedada – poderá ocorrer em diversas hipóteses: (i) execução descentralizada de atividade pública que exija a transferência para fim determinado e específico; (ii) quando um encarregado for indicado; (iii) quando houver previsão legal ou contratual; (iv) para fins de prevenção de fraudes, irregularidades e proteção da segurança e integridade do titular; ou (v) quando se tratar de dados publicamente disponíveis.
 
A flexibilização proposta não deve, em tese, prejudicar a proteção dos interesses dos titulares de dados pessoais. Isso porque todas as hipóteses adicionadas pela MP 869/18 não afastam as demais regras e, principalmente, os princípios da LGPD. Ou seja: ao tratar dados pessoais em nome do Poder Público, os entes privados continuarão sujeitos às mesmas obrigações e restrições previstas nesta lei.
 
Por outro lado, esta mudança tem potencial de gerar maior eficiência ao Poder Público – que poderá delegar determinadas operações de tratamento a agentes especializados, inclusive mais preparados de um ponto de vista técnico e administrativo – e, ao mesmo tempo, promover dinamismo no mercado, em linha com o discurso liberal do novo Governo.
 
Encarregado (DPO)
 
Outra alteração relevante à LGPD promovida pela MP 869/18 diz respeito à figura do encarregado. O texto anterior previa que apenas pessoas naturais poderiam exercer essa função. A nova definição de encarregado, por sua vez, é mais abrangente e passa a permitir que pessoas jurídicas desempenhem o papel de encarregado.
 
Com essa alteração, controladores e – quando for o caso – operadores poderão contratar outras entidades com expertise nesse tipo de atividade para esta função, conferindo maior flexibilidade às empresas e ao mercado como um todo. Essa flexibilização, contudo, não chega a representar uma inovação: sob o Regulamento Geral de Proteção de Dados Pessoais da União Europeia (“GDPR”), é admitido que tanto pessoas físicas quanto jurídicas assumam a função.
 
Tratamento de Dados Pessoais Sensíveis
 
A MP 869/18 também flexibilizou as hipóteses em que dados pessoais sensíveis poderão ser compartilhados entre controladores. Em regra, a comunicação e uso compartilhado deste tipo de dado para obter vantagem econômica é proibido, mas a LGPD estabeleceu ressalva para transferências com fins de portabilidade, mediante consentimento do titular.
 
Com a MP 869/18, passa a figurar na LGPD uma segunda ressalva: a possibilidade de comunicação destes dados entre controladores quando necessário para a adequada prestação de serviço de saúde suplementar. Esta nova hipótese permite a troca de dados pessoais sensíveis entre operadores de planos de saúde privados, desde que voltada à “adequada prestação” dos serviços. O critério, embora aberto e passível de interpretação, não deve ser visto como um “cheque em branco” em favor destes operadores: deverá ser analisado em conjunto com os demais princípios e regras previstos na LGPD, e nesse exercício, certamente encontrará uma série de limitações.
 
Decisões Tomadas por Tratamento Automatizado
 
À semelhança da GDPR, a LGPD previa que decisões tomadas exclusivamente com base em tratamento automatizado de dados pessoais podem ser questionadas pelo titular dos dados, que tem a faculdade de solicitar sua revisão. Essa revisão deveria ser realizada por pessoa natural. A ideia é conferir ao titular maior controle sobre seus dados pessoais.
 
A MP 869/18 preservou o direito de solicitar revisão nestes casos, mas promoveu significativa alteração no texto legal: a revisão não mais precisa ser realizada por pessoa natural, podendo ser efetuada também por meio automatizado. A nova regra se distancia significativamente do conceito consagrado pela GDPR, que exige intervenção humana na revisão de decisões tomadas por tratamento automatizado, como forma de garantir um tratamento justo e transparente dos dados do titular e evitar, principalmente, efeitos discriminatórios. O risco que se cria ao se permitir que decisões automatizadas sejam revisadas também por meio automatizado é de que o reprocessamento produza, indistintamente, decisão idêntica à anterior, sem reavaliar eventual injustiça cometida contra um titular de dados.
 
Vigência da LGPD
 
Uma das melhores notícias aos agentes que terão que se adequar à LGPD é de que o prazo de vigência foi estendido com a MP 869/18. A lei – que, pela redação original, entraria em vigor em 18 meses de sua publicação, em 16 de fevereiro de 2020 – passará a viger em 16 de agosto de 2020 (24 meses após a publicação). Decisão acertada, a nosso ver. Considerando que a cultura de proteção de dados pessoais no país ainda é incipiente e uma grande parte das empresas não possuem sequer padrões mínimos aceitáveis de proteção de dados pessoais, o prazo de 18 meses seria apertado para promove a adequação necessária.
 
A única exceção se refere à própria ANPD, que fica criada desde 28 de dezembro de 2018. Isso dará tempo para que o órgão se estruture até a entrada em vigor da LGPD – assim, os agentes de tratamento e os titulares terão a quem recorrer já no primeiro dia de vigência da nova lei.