Bolsonaro sanciona, com vetos, lei de órgão que protegerá dados pessoais

O Brasil ganhou seu primeiro órgão voltado à proteção dos dados pessoais de brasileiros. O presidente Jair Bolsonaro sancionou, com vetos parciais, a lei 13.853 (antes projeto de lei de conversão 7/2019, ou MP nº 869/2018), que altera a Lei nº 13.709 e cria a Autoridade Nacional de Proteção de Dados Pessoais (ANPD), segundo publicou o Diário Oficial da União nesta terça-feira (9).

Bolsonaro ouviu os ministérios da Economia, da Ciência, Tecnologia, Inovações e Comunicações, a Controladoria-Geral da União e o Banco Central do Brasil para realizar os vetos, que em resumo alegaram "contrariedade ao interesse público e inconstitucionalidade". Agora esses deverão ser novamente submetidos à apreciação do Congresso Nacional.

Foram vetados o parágrafo 3º do art. 20; inciso IV do art. 23; parágrafo 4º do art. 41; incisos X, XI e XII, e parágrafos 3º e 6º do art. 52; e inciso V do art. 55-L da Lei nº 13.709. Todos seriam alterados pelo art. 2º do projeto de lei de conversão sancionado nesta terça.

Apesar de só ganhar vida agora, a entidade será a principal guardiã da LGPD, a Lei Geral de Proteção de Dados, sancionada há quase um ano. Ainda assim, a nova regra só entrará em vigor em agosto do ano que vem.

Na ocasião, o então presidente Michel Temer sancionou a nova lei com alguns vetos, sendo o principal deles a criação da ANPD, que na época foi apelidada de "xerife de dados". A ideia era que o órgão fosse uma autarquia vinculada ao Ministério da Justiça, com independência administrativa.

Na época, o governo Temer vetou a Autoridade dizendo que o Legislativo não tinha competência institucional para criar uma autarquia, que tivesse independência orçamentária e, portanto, criasse novas despesas. O veto gerou críticas de especialistas de tecnologia, que diziam que a ausência da figura da Autoridade enfraquecia a aplicação da lei.

Uma das últimas medidas provisórias do presidente Temer (a 869/18) criou oficialmente o órgão, em dezembro. Mas não sem sacrifícios: a ANPD perdeu autonomia institucional, pois passou a ser um órgão vinculado à Presidência da República, ainda que tenha independência técnica. Outro detalhe é que o órgão foi criado sem que haja aumento de despesas da União --os cargos serão remanejados de outras estruturas do Executivo.

A nova versão da MP precisou ser aprovada em Plenário, o que aconteceu na Câmara, no dia 28 de maio, e no Senado, no dia 29 do mesmo mês.

As razões do governo para os vetos

Parágrafo 3º do art. 20: Este abordava a questão do titular dos dados (nós, usuários) ganhar o poder de exigir a revisão de nossos dados pessoais que estejam com uma empresa ou entidade. No parágrafo 3º, dizia que tal revisão deveria ocorrer por pessoa natural, em vez de um algoritmo de computador, mas que levaria em consideração "a natureza e o porte da entidade ou o volume de operações de tratamento de dados".

Razões do veto: O governo diz que tal exigência "inviabilizará os modelos atuais de planos de negócios de muitas empresas, notadamente das startups", além de impactar na "análise de risco de crédito e de novos modelos de negócios de instituições financeiras" (fintechs, como a Nubank), gerando efeito negativo na oferta de crédito aos consumidores.

Inciso IV do art. 23: Este aborda a relação da LGPD com a LAI (Lei de Acesso de Informação), que assegura o direito de acesso às informações de órgãos e entidades do poder público. Este inciso garantia a proteção e preservação de dados pessoais de requerentes da LAI, incluindo as esferas do poder público e pessoas jurídicas de direito privado (como fundações, organizações religiosas e partidos políticos).

Razões do veto: Para o governo, a proposta gera "insegurança jurídica", pois defende que o compartilhamento de informações de pessoas é "medida recorrente e essencial para o regular exercício de diversas atividades e políticas públicas", dando exemplos como o banco de dados da Previdência Social e do Cadastro Nacional de Informações Sociais, cujas informações são usadas para o "reconhecimento do direito de seus beneficiários e alimentados".

Parágrafo 4º do art. 41: Neste artigo a Lei 13.709 dizia para o controlador indicar (empresa ou órgão público que trata dados pessoais) um encarregado por esta função. A MP adicionava um quarto parágrafo que obrigava que tal encarregado deve ser "detentor de conhecimento jurídico regulatório".

Razões do veto: Para o governo, a exigência era um "rigor excessivo que se reflete na interferência desnecessária por parte do Estado" ao descrever a seleção dos quadros do setor produtivo, além de ir contra o art. 5º, XIII da Constituição, por "restringir o livre exercício profissional a ponto de atingir seu núcleo essencial".

Incisos X, XI e XII, e parágrafos 3º e 6º do art. 52: Estes previam algumas sanções administrativas de suspensão ou proibição do funcionamento/exercício da atividade relacionada ao tratamento de dados para quem infringisse a LGPD. Entre elas, suspensão parcial do funcionamento do banco de dados por até seis meses, além de suspensão ou proibição do exercício da atividade de tratamento de dados.

Razões do veto: Novamente o governo fala que a proposta traz "insegurança aos responsáveis por essas informações", além de impossibilitar a atividade de atividades privadas como a de instituições financeiras, podendo causar "prejuízo à estabilidade do sistema financeiro nacional" e "afetar a continuidade de serviços públicos".

Inciso V do art. 55-L: Este ponto abordava como a ANPD seria financiada. O inciso vetado dava como uma possibilidade a arrecadação de receita por "cobrança de emolumentos" (lucros casuais) por serviços prestados.

Razões do veto: É dito que ANPD tem "natureza jurídica transitória", e portanto não lhe cabe esse tipo de cobrança, por isso a Autoridade deve arcar, com recursos próprios consignados no Orçamento Geral da União, com os custos de suas atividades até que o dia em que se transformar em uma autarquia.

Fabricio da Mota Alves, do escritório Garcia de Souza Advogados e assessor do relator da LGPD no Senado, disse ao blog da jornalista Cristina de Luca, do UOL, que foram menos vetos do que o esperado, porém, significativos.

Ele também esperava um veto ao parágrafo 7º do artigo 52, que dizia que "vazamentos individuais" poderão ser "objeto de conciliação direta entre controlador e titular"; ou seja, resolvido na Justiça. Para Alves, o termo "vazamento" não é um conceito jurídico aplicado à proteção de dados e a manutenção do parágrafo sugere uma condição arbitral para o exercício do poder da ANPD.

Já o professor Danilo Doneda criticou o veto sobre a revisão humana de dados, dizendo que ele "não leva em conta o risco e a importância da decisão para o cidadão", devido a discussões éticas recentes sobre decisões tomadas por inteligência artificial. A Brasscom, Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação, pressionou a favor do veto.

O que a lei traz de novo à LGPD?

A MP de Temer para a ANPD estabeleceu exceções em que o poder público (governo) poderá repassar dados à iniciativa privada (empresas). De maneira geral, essa transferência de dados é proibida, mas o texto final da MP inclui duas exceções:

• quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres;
• e na hipótese de essa medida ter o objetivo exclusivo de prevenir fraudes e irregularidades, ou proteger a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades

Segundo o relator na comissão especial da Câmara, o deputado Orlando Silva (PCdoB-SP), estas mudanças são necessárias para viabilizar serviços como arrecadação tributária, pagamento de benefícios e bolsas e implementação de programas. Mas ele manteve no texto a necessidade de a ANPD ser informada sobre essa transferência de dados.

O texto também cria exceções para o caso do responsável pelo tratamento de dados ser obrigado a informar outras empresas e entidades sobre correções, eliminações ou bloqueio de dados pedidos pelo titular. Por exemplo, você (titular) pede ao Facebook (responsável pelo tratamento de dados) que apague suas informações pessoais, e quer que o mesmo seja feito com a Cambridge Analytica, que há alguns anos recebeu dados de milhões de usuários do Facebook sem o consentimento deles.

Esse segundo pedido, segundo nossa lei, não precisará ocorrer em duas exceções: se for "comprovadamente impossível" ou implicar em "esforço desproporcional".

O que irá fazer a autoridade?

Caberá à ANPD 24 atribuições segundo a lei, sendo algumas das mais importantes:

1. Zelar pela proteção dos dados pessoais e de segredos comerciais e industriais;
2. Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
3. Fiscalizar e aplicar sanções (como multas) em caso de descumprimento da lei;
4. Analisar casos e reclamações de titular dos dados (nós, usuários) contra o controlador (empresa que cuida dos dados, como uma rede social por exemplo);
5. Divulgar à população as políticas públicas sobre proteção de dados e suas respectivas medidas de segurança;
6. Elaborar estudos sobre práticas nacionais e internacionais de proteção de dados pessoais e de privacidade;
7. Estimular padrões para serviços e produtos que facilitem o controle dos titulares sobre dados pessoais
8. Cooperar com autoridades de proteção de dados pessoais de outros países;
9. Gerir a publicidade das operações de tratamento de dados pessoais;
10. Solicitar aos setores do poder público que tratam dados pessoais um informe específico sobre a natureza dos dados e os demais detalhes do tratamento;
11. Editar regras sobre proteção de dados pessoais, além de relatórios de impacto em casos em que o tratamento de dados representar alto risco aos princípios da LGPD;
12. Editar normas e prazos para que microempresas e empresas de pequeno porte, como startups ou empresas de inovação, possam adequar-se à lei;
13. Garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, de acordo com o Estatuto do Idoso;
14. Comunicar às autoridades as infrações penais que tiver conhecimento; e aos órgãos de controle interno o descumprimento da lei por parte de órgãos federais;
15. Implementar mecanismos simplificados, incluindo meio eletrônico (internet ou telefone) para a população registrar reclamações sobre o tratamento de dados pessoais que desrespeitem esta lei.

Quem faz parte do conselho?

A MP chegou à votação com um conselho de 21 indivíduos, mas uma emenda da deputada Perpétua Almeida (PCdoB-AC) foi aprovada no plenário para incluir integrantes do setor empresarial e dos trabalhadores. Terão mandado de dois anos, podendo ser reconduzidos por mais um ano. Cinco deles são nomeados pelo presidente. Agora serão 23 no total, e fica assim:

• 5 do Poder Executivo federal
• 1 do Senado Federal
• 1 da Câmara dos Deputados
• 1 do Conselho Nacional de Justiça
• 1 do Conselho Nacional do Ministério Público
• 1 do Comitê Gestor da Internet no Brasil (CGI)
• 3 de entidades da sociedade civil com atuação comprovada em proteção de dados pessoais
• 3 de instituições científicas, tecnológicas e de inovação
• 3 de Confederações Sindicais representativas das categorias econômicas do setor produtivo
• 2 de entidades representativas do setor empresarial relacionada à área de tratamento de dados pessoais
• 2 de entidade representativa do setor laboral

De onde virá a grana para a ANPD funcionar?

• De dotações (créditos orçamentários aprovados pelo Legislativo), consignadas no orçamento geral da União,
• De doações e outros recursos que lhe forem destinados;
• De dinheiro obtido na venda ou aluguel de bens móveis e imóveis de sua propriedade;
• De valores apurados em aplicações no mercado financeiro das receitas do órgão previstas na lei;
• De acordos, convênios ou contratos com entidades e empresas públicas ou privadas, nacionais ou internacionais;
• Da venda de publicações, material técnico, dados e informações, inclusive para fins de licitação pública.

2018, o ano que a casa caiu para o Facebook

Relembre os escândalos

Você é o produto: cada passo que você dá na web gera rastros e essas informações são usadas para te vigiar e influenciar o seu comportamento

Entenda