No último dia 09 de julho, foi publicada a Lei 13.853/2019 que, após uma série de vetos por parte da Presidência da República, converteu em lei a Medida Provisória nº 869/18, que, por sua vez, promoveu importantes alterações no texto da Lei Geral de Proteção de Dados.
Dentre as alterações (agora definitivas) no texto legal, destacam-se (i) a criação da Agência Nacional de Proteção de Dados (ANPD); (ii) alterações na definição e indicação de Encarregados (Data Privacy Officers – DPOs); (iii) ampliação das hipóteses de tratamento de dados sensíveis de saúde; e (iv) a desnecessidade de revisão de decisões automatizadas por pessoa natural.
- Agência Nacional de Proteção de Dados (ANPD)
Os Arts. 55-A a 58-B, inseridos na LGPD pela Medida Provisória 869/2018, editada pelo então Presidente Michel Temer, foram, com alguns vetos, consolidados de forma definitiva no texto legal.
A ANPD será o órgão responsável pela regulação, fiscalização e aplicação de sanções referentes às normas de Proteção de Dados. Com natureza jurídica transitória, a Autoridade Nacional, atualmente, encontra-se como órgão vinculado à Presidência da República. Contudo, as alterações trazidas pela Lei 13.853/2019 permitem que a ANPD seja transformada em autarquia.
- Data Privacy Officer (DPO)
O “Encarregado” pelo tratamento de dados, também conhecido como o Diretor de Proteção de Dados (Data Privacy Officer), ou simplesmente “DPO”, é o responsável pela interface entre o controlador dos dados pessoais, o titular dos dados e a ANPD.
A figura já havia sofrido alterações pelo texto da MP. Na oportunidade, excluiu-se a necessidade de o cargo ser exercido por pessoa natural. Com isso, cria-se a possibilidade de pessoas jurídicas especializadas prestarem o serviço de encarregado pelo tratamento de dados.
A Lei 13.853/2019, por sua vez, em sua proposta original, dispunha que o DPO deveria possuir “conhecimento jurídico-regulatório”. Esta disposição, contudo, foi vetada pelo Presidente da República, que entendeu que a exigência possuía rigor excessivo, contrariando o interesse público, restringindo o princípio constitucional de livre exercício de profissão e constituindo interferência desnecessária do Estado na discricionariedade para a seleção dos quadros do setor produtivo.
Além disso, a nova Lei incluiu a necessidade de Operadores de dados pessoais também indicarem um Encarregado, incumbência que anteriormente cabia somente ao Controlador.
- Dados sensíveis de saúde
Dados referentes à saúde, são, por definição, dados pessoais sensíveis. A nova Lei ampliou as possibilidades de tratamento destes dados por serviços de saúde.
Além disso, exceto no caso de prestação de serviços de saúde, são vedados o compartilhamento e a comunicação destes dados entre Controladores. No entanto, esta exceção não se aplica no caso operadoras de planos privados de assistência de saúde, quando utilizados para determinar o grau de risco e as condições contratuais de determinado cliente.
- Decisões automatizadas
O projeto que resultou na Lei 13.853/2019 previa, em sua redação original, que as decisões automatizadas deveriam ser revisadas por pessoa natural. No entanto, este dispositivo foi vetado pela Presidência da República, que considerou que esta exigência poderia inviabilizar os modelos de negócios de muitas empresas, sobretudo startups.
Além disso, o veto foi justificado pelo grau de subjetividade que tal revisão poderia trazer em questões de análise de crédito e no desenvolvimento de fintechs, prejudicando o acesso da população aos recursos das instituições financeiras.
Por fim, é importante ressaltar que a nova Lei oficializou o prazo para entrada em vigor da LGPD, que fora adiado pela MP 869/18. Assim, as empresas têm até o dia 13 de agosto de 2020 para se adequarem aos padrões exigidos de proteção de dados.