Foram mais de três anos, somente de processo legislativo. Mas na última quarta-feira (29), finalmente, o Congresso Nacional aprovou o relatório do deputado federal Orlando Silva (PCdoB-SP) sobre a Medida Provisória 869, criando a Autoridade Nacional de Proteção de Dados (ANPD). Prevista na Lei Geral de Proteção de Dados Pessoais (LGPD), votada em julho do ano passado, a criação da ANPD foi vetada por Michel Temer no momento da sanção da lei, deixando a lei capenga em relação à sua implementação e fiscalização. Em dezembro, no apagar da sua gestão, Temer editou a MP 869, que foi analisada já pelo novo parlamento.
O modelo da Autoridade previsto não agradou desde o início. Em vez de uma autarquia especial, o ex-presidente criou um órgão subordinado à Presidência da República, ignorando os padrões internacionais de proteção de dados, que estabelecem a autonomia das autoridades como essencial para garantir que, tanto as empresas quanto o poder público, sejam monitorados em equivalência. É assim na Europa, na Argentina, no Canadá – e não no Brasil.
Mas parte do problema foi revertida agora no Congresso. O texto aprovado por unanimidade na Câmara e no Senado afirma que “a natureza jurídica da ANPD é transitória e poderá ser transformada pelo Poder Executivo federal em entidade da administração pública indireta, submetida a regime autárquico especial”, tudo isso em até dois anos depois de criada a Autoridade. O novo texto da MP também assegurou autonomia técnica e decisória à ANPD e previu a realização de sabatinas no Senado para os diretores do futuro órgão, num processo que se aproxima da escolha dos dirigentes das agências reguladoras.
Leia também
Outro ganho da passagem da MP pelo Legislativo foi o restabelecimento das competências dessa Autoridade. Entre as mais relevantes, realizar auditorias no âmbito da atividade de fiscalização e editar regulamentos sobre relatórios de impacto à proteção de dados, para os casos em que o tratamento representar alto risco à proteção prevista na lei – ambos fundamentais para que a ANPD possa ir além de sancionar os setores público e privado e possa atuar também na prevenção dos problemas decorrentes de abusos e vazamentos de dados.
Afinal, por maior que sejam as sanções que um órgão pode sofrer por desrespeitar a legislação, o dano individual para os cidadãos e cidadãs que tiverem seus dados vazados, comercializados e tratados de maneira abusiva pode ser irreversível. Daí a importância da Autoridade ter poderes e editar mecanismos para atuar também na prevenção de danos.
Sobre sanções, seu objetivo também é dissuadir futuros abusos, e aí o relatório do deputado Orlando Silva trouxe de volta para a Lei Geral possibilidades de responsabilização administrativas importantes, como a suspensão do funcionamento do banco de dados ou da atividade de tratamento onde houve infrações. A versão de Temer da MP parava as punições apenas no bloqueio ou eliminação dos dados pessoais diretamente envolvidos em irregularidade. Agora quem trata dados deverá estar muito mais atento se não quiser sofrer prejuízos mais concretos da negligência ou abuso de sua atividade.
PublicidadeParticipação multissetorial
O Congresso aprovou ainda a volta ao texto da lei do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, que será composto de 23 representantes, titulares e suplentes, de órgãos do Executivo federal, do Senado, da Câmara, do Conselho Nacional de Justiça, do Conselho do Ministério Público e do Comitê Gestor da Internet no Brasil (CGI.br). O Conselho contará ainda com representantes da sociedade, de instituições científicas, tecnológicas e de inovação, de confederações sindicais, dos setores empresarial e laboral, levando para o espaço os mais diferentes atores interessados e impactados pela nova lei e proporcionando que um tema complexo como este seja pautado por diferentes olhares.
A este Conselho caberá, entre outras funções, propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD, dando um passo fundamental no Brasil para que se crie uma cultura de proteção de dados junto à sociedade, às empresas e aos poderes públicos.
Caso sejam sancionados nos próximos 15 dias pela Presidência da República, todos esses pontos deverão ser implementados imediatamente, colocando o Brasil numa nova etapa de compatibilização ao que exigem normativas como o Regulamento Europeu de Proteção de Dados (GDPR, na sigla em inglês): a da implementação da lei, com a definição de quem ocupará os cinco cargos de diretores da Autoridade, os 23 do Conselho e com a edição dos primeiros regulamentos e procedimentos por parte da ANPD.
Outros artigos da LGPD entrarão em vigor apenas em agosto de 2020, para que todos os setores que tratam dados tenham tempo de se adaptar às novas regras. Anteriormente o Congresso tinha dado fevereiro de 2020 como limite, mas Temer esticou – e o novo Parlamento concordou – mais seis meses de prazo.
Problemas longe da superação
Registrados os avanços obtidos, é preciso dizer que nem todas as perdas resultantes dos vetos de Temer puderam ser recuperadas ao longo da tramitação da MP 869. Uma delas é a que trata do uso compartilhado de dados de saúde, considerados sensíveis por seu alto potencial discriminatório. O texto de 2018 vedava totalmente seu compartilhamento para obtenção de vantagem econômica. A MP vetou o texto original e possibilitou a troca de dados para “a adequada prestação de serviços de saúde suplementar”.
Agora, o lobby da indústria da saúde foi tão forte sobre os integrantes da comissão que analisou a MP que o texto final acabou permitindo o compartilhamento dos dados sensíveis para “a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde”. A única restrição será para que os planos de saúde não usem esses dados para determinar riscos para a oferta de modalidades de planos ou para a exclusão de beneficiários. Mas as possibilidades de dano são enormes, num dos temas que mais preocupam entidades defensoras da privacidade.
Outra perda não recuperada foi o direito dos cidadãos solicitarem a revisão de decisões tomadas unicamente de modo automatizado – ou seja, por máquinas – e que afetem seus interesses, incluídas aí decisões sobre perfil pessoal, profissional, de consumo, de crédito ou os aspectos de sua personalidade. Pelo texto aprovado em julho de 2018, essa revisão deveria ser feita por “pessoa natural”, ou seja, por um ser humano, para evitar que o erro original do sistema automatizado fosse mantido.
Agora, a revisão por pessoa natural dependerá de regulamentação específica pela ANPD, levando em consideração a natureza e o porte da entidade que trata os dados ou o volume de operações de tratamento. Ou seja, erros e discriminações poderão persistir.
Por fim, os interesses das empresas de tecnologia, que tem lucrado muito com nossas informações pessoais, prevaleceram em detrimento dos cidadãos no trecho da nova MP que determina que a Autoridade deverá editar normas e procedimentos simplificados para que microempresas, empresas de pequeno porte e iniciativas empresariais que se autodeclararem startups ou empresas de inovação possam se adequar à lei. Ou seja, se gigantes digitais simplesmente se declararem empresas de inovação, passarão a gozar de benefícios nada justificáveis em relação à LGPD.
Na avaliação de Bruno Gencarelli, chefe da Unidade de Proteção e Fluxo Internacional de Dados da Comissão Europeia, que esteve na Câmara acompanhando a votação dessa quarta, é justo haver diferenciações, em termo de obrigações, para as empresas. Mas isso deveria se dar não pelo tamanho das mesmas e, muito menos, por autodeclaração. E sim por uma avaliação da Autoridade do risco presente em determinado tratamento de dados. “Afinal, uma pequena empresa, de três ou quatro pessoas, pode causar muitos danos se estiver trabalhando com dados sensíveis de uma maneira equivocada”, nos disse Gencarelli.
Mais uma vez, vale o lembrete: o trabalho não termina quando se aprova uma lei. Ele está apenas começando.
>> Os impactos das mudanças na Lei de Proteção de Dados Pessoais