Hélio Ferreira Moraes – sócio do PK Advogados

O governo anterior publicou no dia 28.12.2018 a Medida Provisória 869 (“MP 869”), que criou a Autoridade Nacional de Proteção de Dados (“ANPD”) e alterou também alguns artigos da Lei Geral de Proteção de Dados (“LGPD”) (Lei nº 13.709, de 14 de agosto de 2018). A criação da ANPD passou a vigorar desde a publicação da MP 869, portanto, em 28.12.2018, diferentemente do conteúdo da LGPD, sujeito a “vacatio legis“. A MP 869 tem prazo de vigência de 60 dias, prorrogáveis uma vez por igual período e está condicionada à aprovação do Congresso Nacional para transformação definitiva em lei. Vejamos então os principais aspectos regulamentados pela MP 869:

• O encarregado, pessoa responsável dentro da empresa por conectar os envolvidos em uma operação de tratamentos de dados com os titulares e a ANPD, não precisa ser mais necessariamente ”pessoa natural”, abrindo uma avenida de oportunidades para terceirização e especialização nesse ramo para empresas de consultoria, contabilidade, escritórios de advocacia e compliance.

• Compartilhamento de dados pessoais na saúde passa a ser menos restritivo, pois o polêmico parágrafo 4º do artigo 11 da LGPD, que restringia drasticamente o compartilhamento de dados na saúde apenas para o caso de portabilidade consentida, sempre que o objetivo fosse obter vantagem econômica, ganhou a possibilidade do compartilhamento desses dados também ser realizado quando necessários para prestação de serviços de saúde suplementar. Embora a hipótese ainda não contemple a vastidão desse mercado, que envolve toda a gestão de usos de planos e seguros de saúde pelos funcionários das empresas, já minimiza os impactos restritivos, pois na prática quase todas as empresas precisam compartilhar dados pessoais de saúde ao menos com os planos e seguros de saúde.

• A revisão de decisões automatizadas, prevista como um direito dos titulares de ser realizada por pessoa natural no artigo 20 da LGPD, ganhou um novo contorno totalmente novo. O artigo original, que gerou bastante polêmica dado o potencial conflito entre a inovação tecnológica e a garantia dos direitos fundamentais de personalidade, permitia que os titulares de dados pessoais pudessem solicitar a revisão humana de uma decisão automatizada realizada no tratamento de uma base de dados pessoais destinadas a definição de perfil pessoal, profissional, consumo, crédito ou outros aspectos de sua personalidade. A MP 869 ao excluir desse artigo a expressão “por pessoa natural” continua concedendo o direito de revisão de uma decisão de sistema automatizado, mas já não vincula mais a necessidade desta revisão ser realizada por agente humano, o que do ponto de vista tecnológico atende as aspirações inovativas, embora deixe dúvidas sobre as garantias dos cidadãos.

• A ANPD foi modificada para integrar a administração direta, sob a gestão direta pela Presidência da República, o que traz uma visão da importância estratégica que os dados pessoais representam atualmente, por outro lado, ascende os riscos de conflitos de interesse com os direitos de privacidade dos cidadãos. Além disso, a ANPD foi criada sob a gestão de um Conselho Diretor, composto por 5 membros indicados pelo Presidente da República, com mandatos fixos de 4 anos, e a definição estratégica de suas diretrizes por um Conselho Nacional de Proteção de Dados Pessoais, composto por 23 membros não remunerados, sendo 11 indicados pelo Poder Público e os demais pela iniciativa privada. Também o compartilhamento de dados pessoais entre órgãos do poder público foi ampliado, permitindo que, dentre outras hipóteses, estes dados sejam compartilhados entre os órgãos públicos por meio de contratos e convênios.

• Vacatio Legis, que é o prazo dado em algumas leis entre a sua publicação e a data em que passa a ser efetiva, foi alterada de 18 para 24 meses, assim a data de entrada em vigor da LGPD foi prorrogada para agosto/2020, contanto que a MP 869 seja transformada em lei no prazo de tramitação. Ou seja, na prática o prazo de 18 meses, que já estava em 14 meses no final do ano, pois a maior parte das empresas ainda não havia despertado para entender como cumprir a LGPD, ganhou um folego extra até agosto/2020, mas se a MP 869 não for aprovada, tudo pode voltar ao prazo anterior de fevereiro/2020.

O prazo parece longo, mas muitas são as medidas para as empresas criarem seus sistemas de governança corporativa em proteção de dados e criarem uma cultura empresarial nesse sentido, além disso a aplicação da LGPD vai ser bastante extensa e todas as empresas vão ter que se adaptar, pois dados pessoais de funcionários, por exemplo, são dados que precisam estar protegidos de acordo com a nova legislação.

Apesar da criação da ANPD e as alterações na LGPD serem favoráveis para implantar a cultura de proteção de dados no país, o fato de terem sido realizadas por Medida Provisória traz um novo fator de incerteza, enquanto não for transformada em lei, pois a confirmação dos efeitos da MP depende de Decreto-Legislativo, sendo que o governo entrante já declarou que serão avaliados para fins de convalidação ou revisão todos os atos do governo anterior nos últimos 60 dias de mandato.