Bolsonaro sanciona lei que cria proteção a dados pessoais dos brasileiros

Nesta terça-feira (9) o presidente Jair Bolsonaro sancionou, com alguns vetos, a MP 869/2018, que altera a Lei nº 13709 e cria a Autoridade Nacional de Proteção de Dados Pessoais (ANPD), o primeiro órgão governamental brasileiro voltado à proteção dos dados pessoais de cidadãos do Brasil.

Os vetos parciais feitos para que a alteração na Lei fosse aprovada foram decididos pelo presidente após ouvir os ministérios da Economia, da Ciência, Tecnologia, Inovações e Comunicações, a Controladoria-Geral da União e o banco Central do Brasil, e o motivo alegado para esses vetos foram que eles contrariam o interesse público.

No total, foram vetados 14 pontos da MP que altera a Lei nº 13709 e cria a ANPD, e os principais deles foram os seguintes:

Parágrafo 3º do artigo 20, que abordava a questão do titular dos dados (ou seja, o usuário) poder exigir a revisão de quaisquer dados pessoais nossos que pertençam a uma empresa ou entidade, e que essa revisão deve ser feita por uma pessoa, e não por um algoritmo. O parágrafo foi vetado pois o governo defende que tal modelo de revisão irá inviabilizar os modelos de planos de negócio de muitas empresas, principalmente de startups e fintechs.

Inciso IV do artigo 23, que fala sobre a relação da Lei Geral de Proteção de Dados (LGPD) com a Lei de Acesso à Informação (LAI), e garante a proteção e preservação dos dados pessoais de todos aqueles que recorrem a LAI para ter acesso a alguma informação, e incluía esferas do poder público e pessoas jurídicas de direito privado (fundações, organizações religiosas e partidos políticos). O veto foi justificado como uma forma de evitar insegurança jurídica, pois para o governo o compartilhamento de informações de pessoas é essencial para diversas atividades públicas, como reconhecer os beneficiários da Previdência Social.

Parágrafo 4º do artigo 41, que pretendia regular que cada empresa que controla dados pessoais de seus usuários definisse um funcionário encarregado para essa função, e que era obrigatório que essa pessoa possuísse conhecimento jurídico de todas as regras que regulam a proteção de dados. Esse parágrafo foi vetado pois o governo acreditava que essa exigência fosse um tanto excessiva, e que poderia até mesmo ser vista como inconstitucional, pois significaria a interferência do Estado na seleção de quadros do setor produtivo.

Incisos X, XI, XII e parágrafos 3º e 6º do artigo 52, que previam sanções administrativas e outras punições de suspensão/proibição das atividades para quem infringir a LGPD. Mais uma vez, o motivo alegado para o veto foi de evitar insegurança para as empresas responsáveis por gerenciar essas informações, pois a suspensão de atividades de algumas dessas empresas poderia causar uma grande instabilidade no sistema financeiro nacional e na continuidade de operação dos órgãos públicos.

Inciso V do artigo 55-L, que levantava formas de financiamento para a ANPD afim de que o órgão não dependa apenas do dinheiro do Estado, e uma das possibilidades levantadas era a de a possibilidade de obter lucros com os trabalhos de consultoria prestados pelo órgão. Esse inciso foi vetado pois, para o governo, a natureza jurídica transitória da ANPD a impede de efetuar esse tipo de cobrança, e assim todo o orçamento de operação do órgão deve vir da parte que lhe couber do Orçamento Geral da União, além de possíveis doações e contratos de serviço.

Agora, o texto irá voltar para a Câmara dos Deputados, que fará uma nova Plenária para votar se a MP será aprovada com os vetos ou se esses vetos serão parcial ou totalmente derrubados.

O que a MP traz de novo

Existente desde 2018, a LGPD afirma que, de maneira geral, a transferência de dados entre o poder público e a iniciativa privada é proibida, mas a MP aprovada por Bolsonaro nesta terça (9) cria duas exceções que permitem essa transferência: a primeira delas é quando houver uma previsão legal ou quando essa transferência for respaldada em contratos, convênios ou outros instrumentos do gênero. A segunda exceção é no caso dessa transferência de dados ter o objetivo exclusivo de prevenir fraudes e irregularidades ou proteger a segurança e integridade do titular desses dados, desde que esse seja o único objetivo da transferência e qualquer outra finalidade além destas seja vetada.

De acordo com o relator do projeto da Comissão Especial da Câmara, essas mudanças são necessárias para se viabilizar serviços como arrecadação tributária, pagamento de benefícios e bolsas e implementação de programas sociais. Mas, mesmo nos casos das duas exceções, a ANDP deve ser informada sobre as transferências.

Além disso, o texto também cria exceções para o caso do responsável pelo tratamento dos dados ser obrigado a informar outras empresas e entidades que também os possuem sobre correções, eliminações e bloqueios de dados a partir de pedidos do usuários, tirando a responsabilidade dessas empresas de efetuarem esse pedido caso ele seja comprovadamente impossível ou necessitar de esforço desproporcional para ser efetuado. Por exemplo, se um usuário deletar todas as informações do Facebook e quiser que a empresa entre em contato com a Cambridge Analytica (pivô de um dos maiores escândalos da privacidade de dados no ano passado) para obrigar ela a também deletar os dados desse usuário de seu banco de dados, o Facebook pode usar desta exceção para não precisar efetuar esse pedido do usuário, já que a empresa Cambridge Analytica oficialmente não existe mais desde 1 de maio de 2018.

Para que serve a ANPD

A Autoridade Nacional de Proteção de Dados será regida por um Conselho formado por 21 pessoas, cada uma com mandatos de dois anos que podem ser prolongados por mais um. Esse Conselho será formado por cinco integrantes do Poder Executivo Federal que serão nomeados pelo Presidente da República, um representante do Senado, um representante da Câmara dos Deputados, um representante do Conselho Nacional de Justiça, um representante do Conselho Nacional do Ministério Público, um representante do Comitê Gestor da Internet no Brasil, três representantes de entidades da sociedade civil com atuação comprovada em proteção de dados pessoais, três representantes de instituições científicas, tecnológicas e de inovação, três representantes de Confederações Sindicais das categorias econômicas do setor produtivo, dois representantes de entidades do setor empresarial relacionadas à área de tratamento de dados pessoais, e 2 representantes de entidades do setor laboral.

Além do dinheiro relativo à partilha do Orçamento Geral da União, a entidade poderá arrecadar doações, levantar fundos da venda ou aluguel de imóveis pertencentes à ela, de aplicações feitas no mercado financeiro, da venda de publicações e material técnico ou ainda de contratos e convênios firmados com entidades e empresas públicas ou privadas, nacionais ou internacionais. E, caso a Câmara dos Deputados derrube o veto ao inciso V do artigo 55-L, ela poderá ainda arrecadar dinheiro oferecendo consultoria em troca da cobrança financeira (lucro).

Já as atribuições do novo órgão serão muitas mas, de modo geral, ele será responsável principalmente pelos seguintes pontos:

• Garantir a proteção de dados pessoais e de segredos comerciais e industriais;
• Elaborar novas diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
• Fiscalizar e aplicar punições para os casos de descumprimento da Lei;
• Analisar reclamações dos usuários contra empresas que detêm a posse das informações pessoais destes;
• Divulgar à toda a população quais são as políticas públicas de proteção de dados e as medidas de segurança implementadas para este fim;
• Elaborar estudos sobre práticas nacionais e internacionais de proteção de dados e de privacidade;
• Estimular a criação de serviços e produtos que facilitem o controle dos usuários sobre seus dados pessoais;
• Cooperar com as autoridades de proteção de dados pessoais de outros países;
• Gerir toda a publicidades das operações de tratamento de dados pessoais;
• Solicitar que setores do poder público que tratam dados pessoais emitam relatórios sobre a natureza dos dados que possuem e sobre como esse tratamento é feito;
• Criar regras sobre proteção de dados pessoais, e relatórios de impacto para os casos em que o tratamento desses dados representam risco aos princípios da LGPD;
• Criar normas e prazos para que microempresas e empresas de pequeno porte possam se adequar à nova Lei;
• Garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara e acessível conforme o Estatuto do Idoso;
• Comunicar às autoridades ou aos órgãos de controle interno qualquer infração penal que tiver conhecimento;
• Implementar mecanismos simples para que a população possa registrar reclamações sobre o tratamento de dados pessoais que desrespeitem a lei.

O fator dos vetos

Apesar dos quatorze pontos vetados pelo Presidente Bolsonaro, alguns analistas afirmam que a proposta final passou com menos vetos do que o esperado. Um deles é Fabrício da Mota Alves, assessor do relator responsável pela LGPD, que afirma que a MP acabou sendo aprovada com menos vetos do que ele imaginava, mas todos eles significativos para o funcionamento da nova lei.

Para o assessor, um veto esperado e que não veio foi o do parágrafo 7º do artigo 46, que já é popularmente conhecida como “emenda Russomano”. Esse parágrafo sugere que o vazamento de dados individuais poderá ser resolvido por arbitragem — ou seja, através da Justiça com um juiz arbitrando a decisão. O veto para esse texto era esperado pelo fato de “vazamento” não ser um conceito jurídico aplicado à proteção de dados, e a manutenção do parágrafo pode sugerir que haverá uma condição arbitrária de quando a ANPD poderá exercer seu poder, o que já enfraquece o órgão antes mesmo de sua criação oficial.

Outro veto bastante criticado, desta vez pelo professor Danilo Doneda, é o sobre a revisão humana dos dados (Parágrafo 3º do artigo 20). Esse veto foi fruto de pressão dos órgãos de TI, principalmente da Brasscom (Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação) que entende que a obrigatoriedade de revisão humana irá impactar o desenvolvimento de startups e novos empreendimentos no país, principalmente na adoção de ferramentas de Inteligência Artificial e Big Data. Mas, para o professor Doneda, esse veto não leva em conta o risco e a importância da decisão para o cidadão, e deixar um algoritmo responsável pela revisão de um trabalho feito por outro algoritmo é um contrassenso a todo o debate do uso ético da Inteligência Artificial que existe hoje no mundo.

Outro veto um tanto polêmico é o de todos os incisos e parágrafos que falavam sobre punições mais severas (como suspensões e até mesmo a proibição das atividades) para aqueles que desobedeciam a lei. O consenso dos críticos é de que isso já tira muito da força da LGPD, pois não cria punições realmente impactantes para aqueles que não fizerem um tratamento de dados correto. Mas de acordo com Andrei Gutierrez, gerente de Relações Governamentais e Assuntos Regulatórios da IBM Brasil, isso é algo necessário para o cenário que temos hoje, pois na visão dele é perigoso criar um componente jurídico-regulatório para uma atividade que o mundo todo ainda está tentando entender. Isso porque, com os vetos, caso se mostre que seja necessária uma regulamentação mais pesada sobre esse ponto, é possível corrigir esse erro através de dispositivo infra-legal (como a mudança das regras através de portaria, por exemplo), e fazer essas punições constarem como lei enquanto ainda não se tem um entendimento real do que deve ser essa proteção de dados pode não apenas criar problemas reais para atividades comuns de empresas (como o processamento da folha de pagamento) como torna mais difícil de consertar caso essas punições se provem como um erro.

Já sobre o veto do parágrafo 4º do artigo 41, a advogada e professora especialista em privacidade de dados Viviane Maldonado argumentou em uma postagem no LinkedIn que, ainda que não concorde com o veto, esse é um que não irá mudar as operações das empresas. Além disso, no artigo 5º permanece a indicação do DPO pelo controlador e pelo operador, então no fim não há nenhuma eliminação de obrigatoriedade aos agentes de tratamento.

Fonte: UOL, Blog Porta 23