O presidente Jair Bolsonaroconverteu em lei a medida provisória que recriou a Autoridade Nacional de Proteção de Dados (ANPD), que tinha sido vetada na gestão de Michel Temer. A nova lei veio publicada no Diário Oficial da União (DOU) desta terça-feira, 9, com 14 vetos.
O novo órgão estatal terá o desafio de garantir a aplicação da Lei Geral de Proteção de Dados (LGPD), que entra em vigor em 2020 e estabelece uma série de regras para o tratamento das informações de particulares por entes públicos e privados no Brasil.
Será da ANPD a tarefa de averiguar, por exemplo, se empresas do ramo de tecnologia, como redes sociais, informam os usuários e obtêm o consentimento destes antes de manipular informações pessoais.
Entre os principais vetos, está o de que decisões tomadas por algoritmos não terão de ser obrigatoriamente revisadas, quando solicitada pelo usuário, por uma pessoa natural. Foi um assunto bastante polêmico durante a tramitação da medida provisória no Congresso Nacional. De um lado, ativistas argumentavam que algoritmos revisando algoritmos trariam riscos aos cidadãos. Do outro, empresas de TI e startups argumentaram que tal decisão prejudicaria seus modelos de negócios, especialmente na era da inteligência artificial e da análise de dados (big data).
Outro veto importante foi sobre artigos que traziam requisitos
para o cargo de Data Protection Officer (DPO), profissional que
deverá ser empregado pelas empresas para cuidar da
proteção de dados dos clientes e consumidores. Em
sugestão feita pela Brasscom (Associação
Brasileira das Empresas de Tecnologia da Informação e
Comunicação), havia receio de que o conhecimento
jurídico criasse um nicho para advogados e gerasse
intervenção do governo na atividade econômica
das empresas.
Além disso, houve uma redução nas
possíveis sanções às empresas que
cometam falhas com os dados pessoais dos usuários. Outro
ponto que foi vetado foi aquele que protegia os dados pessoais de
requerentes de acesso à informação, uma
demanda da sociedade civil, mas que também havia sido vetada
por Temer ao sancionar a LGPD. Os vetos ainda podem ser derrubados
pelo Congresso. Além disso, será necessário um
decreto para estruturar a ANPD, bem como a indicação
dos diretores do órgão e subsequente sabatina no
Senado Federal.
Lei brasileira terá funcionamento parecido com a Europa
Na Europa, onde vigora a Regulação sobre Proteção Geral de Dados (GDPR, na sigla em inglês), legislação bastante parecida com a LGPD, o Google foi multado em € 50 milhões, no começo deste ano, depois que a Justiça da França considerou que a empresa não era transparente com os usuários sobre o trato dos dados pessoais. Elogiada por especialistas do setor, a criação da ANPD não fica imune a críticas. Um dos pontos questionados é a vinculação do órgão público à Presidência da República, que deve vigorar ao menos em um primeiro momento.
"A lei prevê que a ANPD começa como parte da administração pública direta, mas poderá ser desvinculada da Presidência em um período de dois anos. O ideal seria se a autoridade de dados já fosse criada nos moldes do Cade, da Anatel ou de alguma outra agência regulatória, com maior autonomia técnica e orçamentária", diz Renato Leite Monteiro, professor do Data Privacy Brasil.
Ele afirma que mais de 100 países com leis de proteção de dados contam com agências reguladoras autônomas em relação ao governo. "É um ponto fundamental para que a lei funcione".
O tamanho da estrutura prevista para a autoridade de dados
também preocupa os especialistas. O texto da MP cita a
criação de um Conselho Diretor para a ANPD, com cinco
membros, e do Conselho Nacional de Proteção de Dados
Pessoais e da Privacidade, com 23 integrantes. Além disso,
indica de maneira genérica que o órgão
público contará com uma Corregedoria, uma Ouvidoria,
uma área própria de assessoramento jurídico e
unidades "necessárias à aplicação
do disposto na lei".
Para Marcelo Crespo, coordenador do curso de Direito Digital da
Damásio Educacional, é importante que a ANPD tenha
escritórios espalhados pelo país e uma equipe
qualificada. "Orientar, fiscalizar e impor multas em todo o
Brasil não é algo simples. A princípio, a
medida provisória garante uma equipe enxuta para realizar
essas tarefas, é necessário que o governo vá
além", afirma.
Desafio para o setor privado
Também há incerteza em relação à abordagem da autoridade de dados com as centenas de empresas que estarão submetidas às novas regras. "Há algumas dúvidas sobre qual será a forma de agir da ANPD. Imaginamos que, em um primeiro momento, a atuação seja mais baseada em denúncias do que na fiscalização, até porque a ANPD ainda estará se estruturando", diz Adriana Rollo, associada da área de TI da Veirano Advogados.
A lista de sanções previstas na LGPD inclui a multa de até 2% do faturamento para as pessoas jurídicas que desrespeitarem às novas regras. A ANPD também poderá realizar advertências e bloquear o banco de dados das empresas que violarem a lei.
Segundo Adriana, boa parte do setor privado ainda está se adequando às exigências da LGPD. A nova lei, diz ela, demanda mudanças no tratamento de dados de clientes e funcionários, o que afeta desde o setor de recursos humanos até a direção das empresas. "Temos um ano até a entrada em vigor da lei, ainda há tempo para resolver eventuais pendências".
Fontes
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.