Senado Aprova a Medida Provisória 869/2018 que cria a Autoridade Nacional da Proteção de Dados Pessoais

  • Fernando Santiago / Pedro Henrique - 04 junho, 2019 - Artigos

Após a aprovação pela Câmara dos Deputados no dia 28/05, o Senado Federal aprovou nesta quarta-feira 29/05 a Medida Provisória nº 869/2018 que altera diversas disposições da Lei Geral de Proteção de Dados Pessoais. A mais importante dentre tais alterações é a criação da Autoridade Nacional de Proteção de Dados (ANPD) que havia sido vetada no projeto original pelo então presidente Michel Temer. A MP segue agora para sanção do Presidente da República.

A ANPD é essencial para a coerência do sistema brasileiro de proteção de dados pessoais, podendo editar normas e harmonizar a interpretação de vários dispositivos complexos da LGPD. Ademais, a criação da ANPD é essencial para que o Brasil possa ser qualificado pelo Comitê Europeu para a Proteção de Dados (CEPD) como destinatário seguro para a transferência de dados, facilitando o fluxo de dados entre o Brasil e a União europeia.

Veja abaixo as principais alterações do texto original da MP em relação à versão aprovada pelo Senado:

Dados Sensíveis Referentes à Saúde
A nova redação da MP aprovada possibilita a comunicação, o uso ou o compartilhamento de dados pessoais referentes à saúde com o objetivo de obter vantagem econômica nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde. Entretanto, é vedado às operadoras de planos de saúde o tratamento dos dados para a seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários

Decisões Automatizadas
Com a nova redação, as pessoas que tenham seus dados tratados de forma automatizada (por meio de inteligência artificial) para a classificação de perfis pessoais, de consumo, dentre outros, agora poderão exigir a revisão dessas decisões por uma pessoa natural, sendo vedada revisão por outro sistema automatizado.

Qualificação e conhecimentos do DPO
A nova redação da MP aprovada determina que o ETD – Encarregado pelo Tratamento dos Dados Pessoais (ou DPO, sigla em inglês para Data Protection Officer) possua conhecimento jurídico-regulatório, preste serviços especializados em proteção de dados e que tenha garantia de sua autonomia técnica e profissional no exercício de suas funções. Além disso, a MP autoriza a ANPD a regulamentar as hipóteses nas quais o DPO deve ser também indicado por um Operador, assim como as condições para o exercício da função, pelo mesmo profissional, para múltiplas empresas do mesmo grupo.

Sanções
O texto aprovado traz de volta a possibilidade da suspensão do funcionamento do banco de dados por um período de 6 meses prorrogável por mais 6 meses, da suspensão do exercício da atividade de tratamento de dados pessoais pelo mesmo período e a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. Tais sanções haviam sido vetadas pela presidência no texto da lei original.

No entanto, segundo a nova redação, tais sanções somente podem ser impostas após a aplicação prévia de qualquer uma das seguintes penalidades: multa simples, multa diária, publicização da infração ocorrida e bloqueio ou eliminação dos dados aos quais se refere a infração.

O novo texto determina também que os recursos financeiros oriundos das penas de multa devem ser destinados ao Fundo de Defesa dos Direitos Difusos, e prevê a hipótese de conciliação direta entre titular dos dados e controlador em caso de vazamentos individuais ou acessos não autorizados.

Autoridade Nacional de Proteção de Dados (ANPD)
A nova redação da MP determina a possibilidade de reavaliar a vinculação direta da ANPD à Presidência da República no prazo de 2 anos, tornando-a eventualmente uma Autarquia Federal. Além disso, a autonomia da ANPD – antes apenas técnica – passa a ser também decisória.

O rol de competências da nova Agência foi ampliado para comportar novas atribuições. Assim, a ANPD deverá elaborar diretrizes para a política nacional de proteção de dados pessoais e poderá ainda: receber petição dos titulares dos dados com reclamações sobre a inconformidade dos tratamentos de dados; solicitar informações e informes específicos a entidades do poder público sobre tratamentos de dados pessoais e, com base nas informações, emitir parecer técnico para garantir o cumprimento da LGPD; realizar auditorias sobre o tratamento de dados de determinado agente de tratamento ou determinar sua realização, dentre outras atribuições.

Entrada em vigor
Por fim, foi confirmada a entrada em vigor da LGPD em agosto de 2020, de forma a permitir um maior lapso temporal para a adequação de toda a sociedade.

Para maiores informações sobre a Lei Geral de Proteção de Dados e temas relacionados, a nossa equipe de Data Protection está a sua disposição – lgpd@cosjuris.com.