search

Aprovada no Congresso a Medida Provisória nº 869/2018 que cria a Autoridade Nacional de Proteção de Dados Pessoais (ANPD)


Na última quarta-feira, 29 de maio de 2019, o Senado aprovou a Medida Provisória nº 869/2018 (“MP 869/18”), a qual cria a Autoridade Nacional de Proteção de Dados (“ANPD” ou “Autoridade”) e altera diversas disposições da Lei nº 13.709, de 14 de agosto de 2018, conhecida como Lei Geral de Proteção de Dados Pessoais (“LGPD”), incluindo a extensão da sua vacatio legis de 18 para 24 meses, o que implica a entrada em vigor da LGPD somente em 16 de agosto de 2020.

Vale lembrar que, pouco antes da promulgação da LGPD em agosto de 2018, ela sofreu diversos vetos presidenciais, inclusive relacionados à criação da ANPD e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. Assim, ficou a cargo da MP 869/18 tratar deste e de outros importantes assuntos essenciais à eficácia da lei.

Apesar de a MP 869/18 ter entrado em vigor na data de sua publicação (28 de dezembro de 2018), a sua conversão em lei estava sujeita a alterações e posterior aprovação pelo Congresso Nacional no prazo máximo de 120 dias. Após 176 propostas terem sido feitas, uma Comissão Mista foi formada para apreciar as proposições e, finalmente, no dia 07 de maio de 2019, ela concluiu pela aprovação de algumas delas.

Seguindo à aprovação pela Comissão Mista, o texto da MP 869/18 foi votado nas duas casas do Congresso e agora está apto a ser convertido em lei, com a sanção presidencial.

Abaixo listamos as principais mudanças trazidas pelo texto final da MP 869/18:

  • Alteração da vacatio legis da LGPD de 18 para 24 meses;
  • Criação da ANPD, que ficará vinculada à Presidência da República, podendo ser transformada em autarquia após dois anos. Ela deverá zelar pela proteção de dados pessoais, editar normas e procedimentos sobre o tema, deliberar sobre a interpretação da lei, fiscalizar e aplicar sanções, difundir na sociedade o conhecimento sobre as normas e políticas de proteção de dados, dentre outras competências;
  • A ANPD editará normas, orientações e procedimentos simplificados e diferenciados para microempresas e empresas de pequeno porte, bem como para startups ou empresas de inovação;
  • Definição de que a LGPD não será aplicável ao tratamento de dados pessoais para fins exclusivamente acadêmicos – antes, a lei previa que o tratamento de dados pessoais para fins exclusivamente acadêmicos não estaria abrangido pela lei, mas, ainda assim, deveria se atentar às hipóteses legais previstas nos artigos 7º e 11º da LGPD;
  • Previsão de que o Encarregado deverá demonstrar ter conhecimento jurídico-regulatório na matéria e deverá estar apto a prestar serviços especializados em proteção de dados. Ademais, será possível indicar apenas um único Encarregado para empresas ou entidades do mesmo grupo econômico e, conforme regulação da ANPD, o Encarregado deverá ser indicado tanto pelo Controlador como pelo Operador. Ainda, vale lembrar que o texto original da MP 869/18 já trazia uma modificação importante para o Encarregado: ele não mais precisaria ser uma pessoa natural;
  • Aumento da lista de penalidades, havendo agora a possibilidade de suspensão das atividades de tratamento de dados por entidades infratoras, incluindo poder público;
  • Inclusão de artigo estabelecendo que compete exclusivamente à ANPD a aplicação das sanções previstas na LGPD. Em caso de competência concorrente, prevalecerá a competência da ANPD sobre as demais entidades e órgãos públicos, inclusive em relação aos órgãos de defesa do consumidor, quando se tratar de proteção de dados pessoais;
  • Os dados de acesso público ou tornados públicos pelo titular poderão ser utilizados pelos Controladores para finalidades distintas daquelas para as quais eles foram publicados, respeitados os princípios contidos na LGPD;
  • Obrigação de o Controlador informar os agentes de tratamento sobre a necessidade de eliminação, anonimização ou bloqueio de dados poderá ser dispensada caso seja comprovadamente impossível ou implique esforço desproporcional;
  • As decisões automatizadas poderão ser questionadas pelo titular e a revisão poderá ser feita por pessoa natural, observadas as orientações da ANPD;
  • Necessidade de se comprovar a apresentação de requisições não solucionadas pelo Controlador no prazo estabelecido por regulamentação para que estas possam ser analisadas pela ANPD, criando, assim, um novo requisito de admissibilidade para os processos administrativos;
  • Possibilidade de transferência de dados pessoais de responsabilidade do poder público para entidades privadas quando: (i) houver previsão legal ou em instrumentos jurídicos administrativos; (ii) a transferência for para fins de prevenção à fraude, segurança e integridade do titular dos dados; e (iii) os dados forem publicamente acessíveis;
  • Possibilidade de uma pessoa jurídica de direito privado realizar o tratamento dos bancos de dados relacionados à segurança nacional, desde que sob a tutela de pessoa jurídica de direito público. Ademais, foi excluída a disposição que previa a possibilidade de a ANPD requerer aos responsáveis Relatórios de Impacto à Proteção de Dados Pessoais em caso de tratamento de dados para fins de segurança nacional e pública;
  • Exclusão das obrigações de informação e transparência ao titular, referentes ao tratamento de seus dados pessoais, quando realizado para o cumprimento de obrigação legal ou regulatória do Controlador ou pela administração pública, para fins de execução de políticas públicas;
  • Os dados de saúde poderão ser compartilhados para fins de obtenção de vantagem econômica quando a finalidade for a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, desde que seja em benefício dos interesses dos titulares de dados;
  • Aumento do escopo de quem poderá se valer da base legal da tutela de saúde, com a inclusão de entidades que prestam serviços de saúde e autoridades sanitárias, tendo em vista que o texto original apenas falava em profissionais da saúde;
  •  Inclusão de vedação expressa proibindo planos de saúde e empresas de assistência à saúde utilizarem dados de saúde para fins de análise de riscos para fins de contratação ou para exclusão de beneficiários.

A ANPD agora é uma realidade, e não existem mais dúvidas quanto à data da entrada em vigor da LGPD. Assim, as empresas devem aproveitar os próximos 15 meses para realizar o seu processo de adequação às normas e procedimentos da LGPD para que, em agosto de 2020, estejam prontas. O processo de adequação pode ser complexo e, em regra, demanda tempo para ser concluído, uma vez que envolve o levantamento completo do fluxo de dados pessoais dentro da empresa; a revisão e/ou elaboração de documentos, contratos e políticas; a implementação de sistemas de segurança da informação condizentes com os riscos envolvidos; e, por fim, a conscientização e treinamento de funcionários e colaboradores.

Para mais informações sobre o conteúdo deste informativo, favor contatar:

Paola Carrara de Sambuy Gomes – E-mail: pcarrara@stoccheforbes.com.br

Paulo L. Casagrande – E-mail: pcasagrande@stoccheforbes.com.br

Roberta de Brito Rodrigues – E-mail: rrodrigues@stoccheforbes.com.br