Últimas notícias

Fique informado

Instalada a Comissão Mista da MP nº 869/2018. Acompanhe conosco o que pode mudar na LGPD

8 de abril de 2019

ANPD

Alocação independente

A Medida Provisória nº 869/2018 retirou a Autoridade Nacional da Administração Pública Indireta, inclusive em sua definição no art. 5º, XIX, para colocá-la no guarda-chuva da Presidência da República.

Diversas emendas voltam a colocar a Autoridade na Administração Indireta, vinculada ao Ministério da Justiça, com independência administrativa, ausência de subordinação hierárquica, mandato fixo, estabilidade de dirigentes e autonomia financeira.

Outras, a vinculam à Casa Civil, ao Ministério da Ciência, Tecnologia, Inovações e Comunicações, ou ainda ao Ministério da Economia.

Também há a proposta de uma Secretaria Nacional de Proteção de Dados Pessoais do Ministério da Justiça integrante do Ministério da Justiça e Segurança Pública e de um Conselho Nacional de Proteção de Dados, este sob regime autárquico, vinculados ao mesmo Ministério.

Processo de nomeação e destituição dos cargos

Algumas emendas preveem sabatina e/ou aprovação do Senado para os membros do Conselho Diretor da Autoridade nomeados pelo Presidente da República (art. 55-D, §1º).

E outras estabelecem seleção para os cargos e processo para sua perda, bem como retiram do Presidente da República a competência para determinar o afastamento preventivo de membros do Conselho Diretor.

Competências

Foram apresentadas emendas que incluem a competência para editar normas e procedimentos também sobre os relatórios de impacto à proteção de dados pessoais para casos de alto risco para a garantia dos princípios gerais da LGPD; que estabelecem que os relatórios anuais deverão ser disponibilizados em site e encaminhados à Presidência, ao Senado e à Câmara, que a prestação de contas deve ocorrer também por meio de audiências públicas, na Comissão de Ciência e Tecnologia, Comunicação e Informática da Câmara dos Deputados, e na Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informática do Senado Federal; que conferem a possibilidade de celebração de compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito do contencioso administrativo de proteção de dados.

Outras ainda preveem a competência da Autoridade para realização ou determinação de realização de auditorias dentro de suas atividades fiscalizatórias; retiram a responsabilização da Autoridade Nacional por não preservação do segredo empresarial e sigilo das informações; ou exigem que as normas da ANPD sejam sempre precedidas de consultas, audiências públicas e análise de impacto regulatório.

Por fim, duas emendas visam simplesmente restaurar a redação original da LGPD, anterior ao veto presidencial de agosto de 2018, quanto as atribuições da Autoridade e sua receita.

Proteção de dados é matéria nacional

Há proposta de emenda para acrescentar o parágrafo único ao artigo 1º declarando que “a proteção de dados pessoais é matéria de interesse nacional”.

Isso porque a FEBRABAN identificou 14 projetos de lei estaduais e municipais para disciplinar esse tema. Com o acréscimo, fica expresso a intenção de conceder ao tema status nacional.

Reduzindo o escopo da lei

Existem propostas para reduzir o escopo da LGPD, ao especificar que ela se aplica apenas a “meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em bancos de dados ou a ele destinados” ou para retirar do escopo da LGPD os dados que “se limitam ou equivalem aos dados cadastrais de Assinantes de Serviços de Telefonia”.

Tratamento de dados para atividades jornalísticas, artísticas e acadêmicas

Existem propostas para determinar que apesar dessas atividades não estarem sujeitas à LGPD, deverão observar as bases legais para o tratamento de dados pessoais (art. 7º) e o regramento para dados sensíveis (art.11).

Tratamento de dados para fins exclusivos de segurança pública, defesa nacional, segurança do estado ou atividades de investigação e repressão de infrações penais

Originalmente, a LGPD abria exceção ao tratamento desses dados por pessoa jurídica de direito privado, em procedimento tutelado por pessoa jurídica de direito público, desde que não houvesse tratamento de todo o banco de dados e ele fosse objeto de informe específico à Autoridade Nacional.

A MP alterou essa exceção para que esse tratamento fosse possível a pessoas de direito privado, desde que não abrangesse todo o banco de dados, salvo se a pessoa jurídica de direito privado fosse controlada pelo poder público.

Diversas emendas visam restaurar a obrigatoriedade de informe específico à Autoridade Nacional; circunscrever dentro do âmbito de competência da Autoridade Nacional opiniões ou recomendações sobre as exceções; limitações como não acesso a todo o banco de dados em caso de segurança pública ou em todos os casos; a obrigatoriedade de relatório de impacto à proteção de dados pessoais solicitado pela Autoridade.

DPO

O cargo de Encarregado (DPO) ensejou propostas de emendas à Medida Provisória para retomar a exigência de que o cargo seja ocupado por uma pessoa física; para que a indicação seja obrigatória também por pelos operadores; para incluir a responsabilidade por “assegurar, de forma autônoma, independente e isenta, a conformidade do tratamento de dados pessoais” com a LGPD; para autorizar que um grupo econômico possa designar um mesmo DPO; indicar que ele deve ter conhecimento jurídico regulatório sobre proteção de dados; que deve estar envolvido em todas as questões sobre o tema; que deve guardar sigilo ou confidencialidade; e que deve ter acesso aos mais altos níveis hierárquicos da estrutura dos agentes de tratamento.

Princípios

Emenda que altera o §3º do art.7º para ao invés de determinar que os dados cujo acesso é público observem apenas a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização, declarar expressamente que eles devem observar os princípios e requisitos da lei.

Consentimento

Duas emendas admitem que o consentimento seja dado também pelo responsável legal do titular dos dados pessoais.

E consentimento em caso de aquisição, fusão, cisão, transformação e incorporação de empresas

Emenda visa estabelecer que nesses casos, se não for alterado o objetivo social ou a finalidade do tratamento dos dados, não é necessário prestar informação ou renovar o consentimento dos titulares, se for essa a base legal utilizada.

Legítimo interesse

O §1º, art. 10 determina que o tratamento com base no legítimo interesse do controlador somente poderá ser realizado utilizando o mínimo de dados necessários para alcançar a finalidade pretendida.

Existem duas emendas sobre essa norma: uma visando suprimi-la e outra, mantendo-a e acrescendo a recomendação de pseudonimização sempre que possível.

Órgãos de pesquisa

Duas emendas pretendem alterar o inciso XVIII, artigo 5º, para que o órgão ou a entidade em questão não precisem ser sem fins lucrativos.

Dado tornado público

Há emenda para acrescer o §7º ao art. 7º para prever que os dados pessoais tornados manifestamente públicos pelo titular ou que sejam de acesso público poderão ser tratados para fins diversos daqueles para os quais foram coletados, se houver compatibilidade de finalidade, observados os propósitos legítimos e específicos do novo tratamento e a preservação dos direitos do titular.

Pseudo…

Existem emendas para definir dado pseudonimizado e pseudonimização, bem como determinar, no §3º, art. 12 que assim como na anonimização, a pseudonimização também poderá ser disciplinada em seus padrões e técnicas pela Autoridade Nacional, ouvido o Conselho Nacional de Proteção de Dados.

Dados sensíveis

Há emenda que visa criar uma nova possibilidade de tratamento de dados pessoais sensíveis: quando o titular os tiver tornado manifestamente públicos (resguardados os direitos e princípios da LGPD).

Ademais, cria o art. 13-A que estabelece que se o tratamento for realizado para fim diverso daquele para qual os dados forem coletados deve haver compatibilidade com essa finalidade primeira e com o contexto da relação entre controlador e titular dos dados, a natureza dos dados pessoais, especialmente se forem sensíveis, as consequências do tratamento para o titular dos dados e a adoção de medidas de segurança, como a criptografia e a pseudonimização.

E ainda para alterar o §2º, art. 50 para que seja considerada expressamente a categoria dos dados pessoais tratados (o artigo originalmente falava em sensibilidade e não categoria) na implementação de medidas de segurança.

Dados (sensíveis) de saúde

Originalmente, a redação da LGPD proibia a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nos casos de portabilidade quando consentido pelo titular.

Essa proibição foi revogada pela Medida Provisória nº 869/2018, que passou a autorizar o compartilhamento de dados não apenas nos casos de portabilidade, mas também para a necessidade de comunicação para a adequada prestação de serviços de saúde complementar.

Existem treze emendas visando restaurar a proibição; uma visando manter a possibilidade de compartilhamento, acrescentando que ele deve ocorrer “em benefício aos interesses do titular de dados” e outra visando ampliar a possibilidade também aos serviços de apoio à assistência à saúde.

Informações ao titular

A LGPD previa que quando a lei fosse aplicável e os dados fossem tratados com base no consentimento, no cumprimento de obrigação legal ou regulatória, ou pelo Poder Público, o titular deveria ser informado das hipóteses em que o tratamento de seus dados é admitido, sendo que esta última poderá ser especificada pela Autoridade Nacional. Essa norma foi revogada pela Medida Provisória nº 869/2018 e dezesseis emendas visam restaurá-la.

Restrição dos direitos do titular

Existe emenda que visa restringir o direito à portabilidade aos dados informados ou gerados pelo titular; que visam suprimir o direito de oposição ao tratamento realizado em outra base legal que dispense o consentimento, quando houver descumprimento da lei; que retira do controlador a obrigação de informar imediatamente aos agentes com quem tenha compartilhado dados alteração neles ou em seu uso e chega a dispensá-lo de tanto se a comunicação for comprovadamente impossível ou implique esforço desproporcional; e ainda que visa suprimir o artigo que declarava que o titular tem o direito de peticionar em relação a seus dados contra o controlador perante os organismos de defesa do consumidor.

Interoperabilidade

As duas emendas sobre interoperabilidade para fins de portabilidade preocupam-se com a adequação, uma 27 mantém a previsão de regulamentação pelo “órgão competente”, mas resguarda a regulação de setores específicos; enquanto a outra acresce a adequação ao porte dos controladores e operadores.

Além disso, há emenda que visa incluir no rol de excludentes de responsabilidades (art. 43) a hipótese de realizar a portabilidade dos dados a terceiros, a pedido do titular.

Revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais

A LGPD previa originariamente e com base nos parâmetros europeus o direito do titular dos dados solicitar a revisão, por pessoa natural, de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive de decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

A Medida Provisória nº 869/2018 retirou a obrigatoriedade de que essa revisão seja feita por uma pessoa humana, admitindo, consequentemente, que a revisão também seja automatizada.

Uma emenda visa restringir esse direito, de forma que ele não exista quando as decisões automatizadas forem necessárias para a execução de um contrato entre o titular dos dados e um responsável pelo tratamento, forem autorizadas pelo órgão regulador a que o responsável pelo tratamento estiver sujeito; ou forem baseadas no consentimento do titular dos dados.

Ademais, e este ponto foi mantido pela Medida Provisória, o controlador deve fornecer, sempre que solicitado, informações sobre os critérios e procedimentos utilizados na decisão automatizada e, em caso de não fornecimento, a Autoridade poderá realizar auditoria para verificar se não há tratamento discriminatório dos dados pessoais.

Há emenda que visa suprimir a possibilidade dessa auditoria. Contudo, a maioria das emendas a esse respeito, onze, visa restaurar a obrigatoriedade da revisão humana.

Lei de acesso à informação

Nove emendas visam acrescentar o art. 23-A incumbindo Executivo, Legislativo, Judiciário, Ministério Público, autarquias, fundações públicas, sociedades de economia mista e demais entidades controladas direta ou indiretamente pela União, Estados, Distrito Federal e Municípios, à proteção e preservação dos dados pessoais de requerentes de acesso à informação, vedado o compartilhamento destes com pessoas jurídicas de direito privado.

Compartilhamento de base de dados público – privado

O §1º, art. 26 excepciona os casos em que o poder público pode transferir a entidades privadas dados constantes de bases de dados a que tenha acesso.

Originalmente, a exceção era apenas a execução descentralizada de atividade pública e nos casos em que os dados fossem acessíveis publicamente.

Contudo, a Medida Provisória nº 869/2018 revogou essa última hipótese, mas ampliou bastante esse rol, inclusive para permitir o compartilhamento quando fosse indicado um encarregado para as operações de tratamento de dados pessoais.

Nesse tocante, duas emendas visam restaurar a hipótese de compartilhamento dos dados que já estiverem acessíveis publicamente e outras oito emendas visam suprimir a possibilidade de compartilhamento mediante a indicação de um DPO.

Também sobre esse compartilhamento, o art. 27 originalmente previa que ele fosse comunicado à Autoridade Nacional, o que foi revogado pela Medida Provisória.

Duas emendas visam restaurar a necessidade dessa comunicação e uma delas ainda impõe o prazo de quinze dias para tanto.

Pequenas e médias empresas

Há emenda que acresce expressamente a possibilidade da Autoridade Nacional disciplinar prazos diferentes para atendimento ao direito de confirmação e acesso aos dados pessoais segundo não apenas a especificidade do setor econômico (que já constava na lei), mas também o porte dos controladores; que altera o art. 46, §1º, para que sejam adotados padrões técnicos mínimos de segurança diferenciados conforme o porte dos controladores; e que altera o art. 55-J, XVII para abrir a possibilidade da Autoridade editar normas, orientações e procedimentos simplificados e diferenciados para eles, inclusive quanto aos prazos e (no inciso XVIII) a necessidade de informação e orientação a elas antes da aplicação das sanções previstas na lei.

Tratamento irregular de dados pessoais

Há emenda que visa suprimir a responsabilização pelo tratamento irregular de dados pessoais por controladores e operadores que causarem dano por deixarem de adotar medidas de segurança.

Sanções

Existe uma emenda importante no tocante às sanções: a que altera o inciso II, art. 52 para suprimir o termo “por infração”, fazendo que a multa tenha o valor máximo de R$50 milhões – ao invés de R$50 milhões por infração.

Fonte: Portal da Privacidade

LGPD – Como os colégios se preparam para segurança das plataformas utilizadas por alunos e professores

13 questões sobre a Lei de Proteção de dados pessoais

Como as empresas se preparam em relação à LGPD? – Ouça

 

  ACESSE OUTROS CONTEÚDOS SOBRE PROTEÇÃO DE DADOS