Transições legislativas referentes à Lei Geral de Proteção de Dados

*Matheus Marques Borges 

A antiga Medida Provisória 869/2018, instituída ainda em dezembro do ano passado, surgiu com o propósito de alterar o marco regulatório do Brasil sobre proteção de dados, sendo, desde então, veiculado de forma incisiva pela mídia em geral, sobretudo por seu teor possuir grande efeito nas relações entre sujeitos de Direito.

Isso porque a medida (convertida na Lei 13.853/2019, sancionada em 8 de julho deste ano) prevê a criação da Autoridade Nacional de Proteção de Dados – ANPD, que altera sensivelmente a própria Lei Geral de Proteção de Dados (13.709/2018). Por uma série de razões, entre elas relativas à autorização de despesas por meio do poder legislativo, a medida não possuía em seu dispositivo original a previsão de constituição da referida autoridade.

Tais modificações aprovadas pela lei foram fundamentais para a aplicabilidade da LGPD, visto que, com a ausência de criação da ANPD a lei estaria sujeita a sérios riscos de se tornar irrealizável, contrariando por consequência um sistema que tem demonstrado eficácia mundial, como por exemplo a GDPR na Europa. Vale ressaltar que, a partir do novo regulamento, a ANPD não está munida unicamente de função consultiva, mas também reguladora e sancionadora das penalidades previstas quanto à violação do tratamento de dados pessoais.

Neste sentido, mesmo que no projeto original a referida autoridade estivesse munida de dependência administrativa e financeira na forma de autarquia, a ANPD foi esculpida em formato de Órgão da Administração Pública Federal, integrante da Presidência da República, composta por Conselho Diretor – órgão máximo de direção –, Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, Corregedoria, Ouvidoria, Órgão de assessoramento jurídico próprio, unidades administrativas e unidades especializadas necessárias à efetivação da lei.

Surgiram críticas da comunidade jurídica brasileira, sobretudo em decorrência do novo formato organizacional, que deu margem à crença de que a ANPD poderia estar vinculada aos interesses do poder público, já que o modelo original autárquico presumia maior autonomia, inclusive em relação à verba para custear o adequado funcionamento como órgão consultor da aplicação da legislação.

A composição multissetorial da ANPD atenua a possibilidade de influência do Poder Executivo sobre as decisões tomadas e demais prosseguimentos da ANPD. No que se refere à regulamentação do tratamento de dados pessoais pelo Poder Público, houve uma clara flexibilização quanto à rigidez obrigacional, evidenciada pelo afastamento do dever do Poder Público de informar à ANPD quando o manejo de dados estiver motivado por razões de segurança pública, pela defesa nacional, ou por razões de atividades de investigação e repressão de infrações penais, proibindo que a totalidade do tratamento de dados seja realizada por empresa de direito privado.

Além disso, segundo a antiga MP 869, era facultativo à ANPD requisitar aos envolvidos no manejo de dados a emissão de relatórios de impacto à proteção de informações pessoais. Contudo, tal faculdade foi revista pela Lei 13.853/2019, e então houve um restabelecimento do texto original da legislação.

Não se limitando a isso, se tornou obrigatório pelo Poder Público o uso compartilhado de informações com a iniciativa privada à comunicação do titular do dado. A ANPD é uma medida extremamente desejável e salutar para a manutenção de um Estado Democrático de Direito.

Outra impactante divergência entre os textos legislativos foi que a MP 869 propôs  ainda excetuar a vedação de transferência de dados da Administração Pública a entidades privadas, pela indicação de um Encarregado de Proteção de Dados, o que foi revisito pela Lei 13.853/2019, que revogou essa possibilidade.

Entre os benefícios trazidos pela Lei 13.853/2019, é válido mencionar a abrangência que cerceia a LGPD, passando de lei federal para lei nacional, de maneira a fazer com que os estados, Distrito Federal e municípios, por possuírem capacidade legislativa residual, fiquem com um estreito espaço para legislar acerca de temas que a LGPD não mencionar.

Outra inovação da Lei 13.853/2019 faz alusão às sanções, uma vez que ela flexibilizou as penalidades nos casos de acesso ou vazamentos não autorizados de dados, caso haja conciliação entre o controlador e o titular de dados. Não obstante, na hipótese dessa eventual composição ser infrutífera, o controlador permanece sujeito a sanções elencadas pelo art. 52 da Lei 13.709.

Nesse caso,  existe a possibilidade de o mesmo arcar com multa de até 2% do faturamento anual (válido para pessoa jurídica de direito privado). O valor pode chegar a R$ 50 milhões por infração. Ainda no que tange às multas, a lei definiu que todos os valores arrecadados serão destinados ao Fundo de Defesa de Direitos Difusos.

Não obstante a prorrogação fomentada pela Lei 13.853/2019, que alterou de 18 para 24 meses o lapso para entrada em vigor de grande parte dos dispositivos relativos à regulamentação do manejo de tratamento de dados, algumas dessas previsões legislativas, sobretudo aquelas referentes à criação da ANPD, passaram a ter vigência imediata, seguindo exemplo dos sistemas legislativos relacionados ao tema, como a GDPR.

Diante de todo o exposto, a antiga MP 869, além de propor um modelo controverso alusivo à ANPD, ainda realizou pontuais ajustes estratégicos na LGPD que poderiam representar um comprometimento de sua eficácia, se não fosse novamente a atuação do Legislativo, restabelecendo algumas garantias quanto ao sentido do texto original aprovado.

Restam agora a vigilância e a atuação decisiva da sociedade em geral para garantir a atuação imparcial da ANPD, incluindo interesses do Poder Público e da esfera privada, no sentido de assegurar que todas as atribuições designadas à ANPD estejam em pleno vigor, para assim fazer jus aos benefícios galgados pela lei.

*Matheus Marques Borges é advogado da FH, empresa de tecnologia especializada em processos de negócios e software. Contato: matheus.borges@fh.com.br