A Lei Geral de Proteção de Dados Pessoais e as modificações após a publicação da lei 13.853/2019

Tiago Brack Miranda, especialista em Segurança da Informação da Indyxa, empresa especializada em soluções e serviços de tecnologia.

No último dia 08 de julho, foi sancionada pelo Presidente da República, com alguns vetos, a Lei 13.853, que introduz algumas mudanças significativas na Lei Geral de Proteção de Dados (LGPD), sendo válido esclarecê-las.

A referida lei originou-se nas discussões sobre a aprovação da Medida Provisória nº 869, inclusive com a realização de diversas audiências públicas, que contaram com a participação de entidades interessadas no tema. O principal objetivo foi reinserir na LGPD a previsão de criação da Autoridade Nacional de Proteção de Dados (ANPD), que foi vetada originalmente, pelo então Presidente da República, Michel Temer.

As mudanças na normativa, após a publicação no Diário Oficial da União, são:

• A lei prevê que a proteção de dados é de interesse nacional, evitando a proliferação de leis estaduais e municipais que venham tentar regular a matéria;

• O encarregado de dados poderá ser uma pessoa jurídica, e sua indicação terá também a participação do operador de dados, sendo que na versão original, essa atribuição era exclusiva do controlador de dados;

• Com as mudanças, a lei exclui a obrigatoriedade de informar o titular de dados, nos casos de tratamento de dados pessoais para cumprimento de obrigação legal ou regulatória ou quando efetuado pela administração pública, para execução de políticas públicas previstas em normas ou contratos;

• Amplia as hipóteses de comunicação e uso compartilhado de dados sensíveis referentes à saúde, explicitando a abrangência a aqueles relacionados à assistência farmacêutica e serviços auxiliares de diagnose e terapia. Além disso, também nos casos de portabilidade solicitada pelo titular, ou para transações financeiras e administrativas resultantes do uso e da prestação dos referidos serviços;

• Fica vedado às operadoras de planos de saúde, o uso dos dados de saúde para realizar a seleção de riscos ou para fins de contratação ou exclusão de beneficiários;

• Insere a possibilidade de dispensa de comunicação, pelo responsável, ao agente de tratamento de dados, no caso de compartilhamento de dados, que tenham sofrido correção, eliminação, anonimização ou bloqueio de dados, quando essa comunicação se demonstrar impossível ou representar esforço desproporcional;

• Estabelece condições para os casos de compartilhamento de dados pessoais, constantes de bases nos órgãos do governo, para entidades privadas;

• Traz a hipótese de conciliação direta entre o controlador de dados e o titular, nos casos de vazamentos individuais ou acessos não autorizados, previamente à aplicação das sanções legais;

• A normativa cria a Autoridade Nacional de Proteção de Dados, vinculada à Presidência da República e estabelece sua autonomia técnica e decisória, atribuindo o caráter transitório de sua natureza jurídica, podendo se tornar autarquia dentro de dois anos;

• Estabelece a necessidade dos membros do Conselho Diretor da ANPD, escolhidos pelo Presidente da República, serem aprovados pelo Senado Federal;

• Define regras para composição da ANPD, suas atribuições e a origem das suas receitas;

• Estipula o prazo de 24 meses para entrada em vigor da lei, exceto no que dispõe sobre a ANPD, já que a vigência aconteceu a partir de 28 de dezembro de 2018.

É importante destacar que, as modificações aprovadas foram fundamentais para a aplicabilidade da lei. Visto que com o veto à criação da ANPD, a lei corria o risco de tornar-se inexequível, contrariando um sistema que tem demonstrado eficácia mundial.

Em mais de 100 países, existem critérios mínimos para permitir a atividade e manuseio de dados no ambiente online. Portanto, a ausência de lei no Brasil, poderia causar inúmeros transtornos para o país, uma vez que outros países já possuem exigências de realizar operações de transferência internacional de dados, somente com nações que tenham instrumentos normativos de proteção de dados em vigência. Atualmente, é muito comum que empresas estrangeiras exijam nos seus contratos com fornecedores nacionais, cláusulas focadas na proteção de dados. Essa ação desdobra-se, em efeito cascata, para os prestadores de serviços destes fornecedores, atingindo empresas de todos os portes e segmentos.

Faltando pouco mais de um ano para entrar em vigor, as empresas precisam ficar atentas aos próximos passos da LGPD. Ou seja, a execução das ações necessárias de adequação em conformidade com a lei.