Topo

Sancionada a Lei de Dados Pessoais, luta passa a ser por órgão regulador

Cristina De Luca

14/08/2018 21h58

Foi com um misto de alegria e preocupação que integrantes da coalização multisetorial formada no mês passado para defender a rápida aprovação da Lei Geral de Dados Pessoais pelo Congresso  acompanharam hoje sua sanção  pelo presidente Michel Temer. Como esperado, com poucos vetos (5 pontos, no total) incluindo todo o capítulo sobre a criação da Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.

"Foi um avanço, sobretudo diante da ameaça real de fatiamento da lei que estava posta há duas semanas", comentou um ativista da sociedade civil. "Mas há preocupação em relação a alguns vetos, como os dos artigos 26 e 28, que tratam do compartilhamento de dados pessoais entre o setor público e entidades privadas, e da transparência da troca de dados entre órgãos do poder público", comenta.

A Coalizão Direitos da Rede deve soltar um posicionamento oficial nesta quarta-feira. Hoje, entidades como o Instituto Brasileiro de Defesa do Consumidor (Idec), a Câmara Brasileira de Comércio Eletrônico (camara-e.net) e a Associação Brasileira dos Agentes Digitais (Abradi), tornaram públicos os seus. Todos no mesmo tom, ressaltando a importância da sanção da lei, mas manifestando preocupação com o que pode acontecer daqui para frente.

O Idec  afirmou que a sanção presidencial da Lei Geral de Proteção de Dados Pessoais foi uma vitória dos diferentes setores envolvidos com a defesa da legislação. E comemorou que nenhum artigo referente aos direitos básicos dos cidadãos foi modificado, bem como nenhum dispositivo em relação à proteção especial aos dados sensíveis, à proteção especial das crianças, aos direitos de portabilidade de dados pessoais e à auditoria de condutas potencialmente discriminatórias. Mas lamentou vetos que, no entender do órgão, modificaram alguns pontos cruciais da legislação, como foi o caso do veto à criação da ANPD.

A camara-e.net também fez questão de registrar sua preocupação com o fato de a lei ter sido sancionada sem uma autoridade autônoma e independente de fiscalização. "Esse órgão é fundamental para que a lei de proteção de dados funcione efetivamente e que o Brasil possa ter acesso a novas oportunidades econômicas. A aceitação do país na OCDE, por exemplo, depende da existência de uma Autoridade Nacional de Proteção de Dados", disse Leonardo Palhares, presidente da entidade.

"O mercado de comunicação recebe finalmente a notícia com um misto de alívio e apreensão, pois ao mesmo tempo que teremos uma lei específica que de fato nos trará mais segurança jurídica no tratamento e coleta da informação, exigirá que as empresas se adaptem às novas regras (que não serão poucas) de captura e uso de dados de consumidores", resumiu a Abradi, alertando que "haverá riscos para quem ficar paralisado e grandes oportunidades para as empresas que saírem na frente, mostrando que é possível fazer marketing respeitando os direitos básicos do consumidor".

Mas a associação lastima que a LGTD tenha sido aprovada "com vetos a trechos que antes limitavam o compartilhamento de dados pessoais pelo poder público, estabelecendo assim critérios menos rígidos para o Governo, quando seria recomendável que tanto ele quanto a iniciativa privada estivessem sujeitos às mesmas regras".

Foto: Marcos Corrêa/PR

Governo diverge sobre criação da Autoridade de Proteção de Dados
Em seu discurso durante a cerimônia de sanção da LGPD, o Presidente Temer explicou o veto à ANPD alegando vício de iniciativa. No entender do governo, a ANPD não poderia ter sido criada pelo Poder Legislativo.

"Nós resolveremos [o risco de inconstitucionalidade] tendo a iniciativa de mandar um projeto de lei do Executivo criando a autoridade", comentou o presidente.

Em entrevista logo após a sanção, o Presidente ainda deu a entender a jornalistas setoristas do Planalto que a ANPD deve continuar no Ministério da Justiça, como está previsto no projeto original.

"Vou mandar logo, muito logo, muito brevemente, um projeto de lei, mais ou menos com os mesmos dizeres, os mesmos termos, mas sem vício de iniciativa. É isso que vou fazer. É mais ou menos deixar tal como está no projeto", disse Temer.

Essa fala do presidente foi recebida com uma pontinha de esperança. A possibilidade do projeto de lei criando a autoridade respeitar as definições que já foram votadas e aprovadas pelo Congresso , do ponto de vista das atribuições, do modo de funcionamento, da composição do órgão, é algo que agrada o setor empresarial e a sociedade civil.

O próprio Idec, em seu posicionamento, chegou a manifestar apreensão com o fato do veto poder modificar a estrutura de composição da autoridade, originalmente pensada em um Conselho Diretor de três membros, apoiada por uma Comissão de caráter multissetorial (com assentos para membros de universidades, ONGs, empresas e governos).

É sabido que, dentro do próprio governo, há vozes contrárias à criação da ANPD como uma autarquia independente, do ponto de vista funcional e financeiro, ainda que vinculada ao Ministério da Justiça.

Hoje ficou claro também que o governo ainda diverge em relação à criação da ANPD por projeto de lei. Apesar da fala de Temer, funcionários da Casa Civil chegaram a dar entrevistas dizendo que o órgão regulador seria criado através de medida provisória. Opção que agrada mais ao setor empresarial e o terceiro setor, por ser  de tramitação mais rápida no Congresso.

"Agora é hora de mobilizar a academia, o terceiro setor e o setor empresarial, essa ampla coalizão de 70 entidades que conseguimos formar, decidir qual modelo regulatório a gente quer para o país, amadurecer a proposta e trabalhar para convencer o governo", comentou Andriei Gutierrez, Government & Regulatory Affairs Manager da IBM Brasil

Para o executivo é hora de buscar consenso para trabalhar junto ao governo e ao Congresso pela criação de uma autoridade independente, nos moldes das existentes em outros países onde leis semelhantes já estão em vigor.

O Idec também defende que mobilização civil e social não tenha fim até que ma ANPD seja criada por medida provisória ou por projeto de lei. "Sem a Autoridade, não é possível afirmar que os direitos serão efetivamente protegidos. A ausência de um órgão técnico regulador também impacta os negócios e a segurança jurídica, abrindo possibilidade de
interpretações pulverizadas na Legislação", diz o texto do posicionamento divulgado hoje.

Nos bastidores, comenta-se que a pessoa responsável por elaborar o texto da MP ou do PL teria prazo de um mês para finalizar o trabalho.

Corrida pela conformidade à LGTD começa agora
A sanção da LGTD retira  finalmente o Brasil do rol dos poucos países da América Latina e do mundo sem um marco legal de proteção de dados pessoais.

"Apesar dos vetos, ficou mantida a essência da lei. Isso significa garantias à proteção de direitos fundamentais e parâmetros para segurança jurídica ao setor privado e ao governo que inovam por meio de dados", comentou Andrei.

Mas ter a lei é apenas o começo de uma longa jornada, tanto no âmbito público como privado. A lei só entra em vigor em 2020, justamente para dar tempo às entidades públicas e privadas se adaptarem às regras de uso de dados pessoais.

"Atender aos requisitos da nova lei exigirá investimento, atualização de ferramentas de segurança de dados, revisão documental, melhoria de processos e, acima de tudo, mudança de cultura", comenta a advogada Patrícia Peck, em uma postagem no LinkedIn, saudando a sanção.

"A LGPD traz um grande impacto social e econômico. O usuário brasileiro precisará saber mais sobre o que é proteção de dados pessoais, assim como haverá necessidade de se disponibilizar recursos para que o sistema da pequena empresa e startups possam se adequar", completa.

"Nessa nova era movida a dados, o consumidor precisa ter maior segurança e confiança para avançar no relacionamento com o setor privado e o setor público. Par nós, do setor privado, é importantíssimo que a gente tenha um marco legal que define quais são os limites", diz Andriei Gutierrez. "A lei nem tinha sido aprovada ainda no Congresso e a gente já tinha montado um grupo, tanto local quanto global, envolvendo advogados e líderes de negócio, para ver o que precisaria ser feito para que todos os nossos produtos se serviços estivessem em conformidade com ela", conta o executivo.

Na prática, o texto cria um marco regulatório para proteger o uso de dados pessoais de cidadãos. Agora, haverá regras mais claras e transparentes para os setores público e privado, definindo normas também para a transferência e qualquer tratamento das informações. Pela lei, dados referentes a crianças e adolescentes, por exemplo, poderão constar em um banco de dados apenas se houver autorização dos pais.

Além de estabelecer as situações de proteção, a lei também define quais dados podem passar por análise sem necessidade de aprovação prévia. Proteção do crédito, como consultas a serviços como Serasa e SPC, execução de políticas públicas e cumprimento de obrigação legal são alguns exemplos.

As regras ainda limitam o uso de dados classificados como sensíveis, que possam gerar qualquer tipo de discriminação. São os que tratam de origem racial ou étnica; convicções religiosas; opiniões políticas; filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político; dados referentes à saúde ou à vida sexual; e dados genéticos ou biométricos quando vinculados a uma pessoa natural.

Essas informações só poderão ser coletadas ou compartilhadas sem o consentimento do titular em situações específicas, como o cumprimento de uma obrigação legal pelo responsável; uso para políticas públicas; e tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias.

A lei também estabelece a responsabilidade civil dos responsáveis pelo tratamento de dados, que ficam obrigados a ressarcir danos patrimoniais, morais, individuais e coletivos. As sancões incluem multa diária de até 2% do faturamento da empresa infratora, limitada, no total, a R$ 50 milhões por infração.

Veja os vetos,  as justificativas do governo e os impactos, segundo o Idec

PLC 53/18 – Veto parcial – Interesse público e inconstitucionalidade
Art. 23, II – MF

Razões do veto

"O dispositivo veda o compartilhamento de dados pessoas no âmbito do Poder Público e com pessoas jurídicas de direto privado. Ocorre que o compartilhamento de informações relacionadas à pessoa natural identificada ou identificável é medida recorrente e essencial para o regular exercício de diversas atividades e políticas públicas. É o caso, por exemplo, do banco de dados da Previdência Social e do Cadastro Nacional de Informações Sociais, cujas informações são utilizadas para o reconhecimento do direito de seus beneficiários e alimentados a partir do compartilhamento de diversas bases de dados administrados por outros órgãos públicos. Ademais, algumas atividades afetas ao poder de polícia administrativa poderiam ser inviabilizadas, a exemplo de investigações no âmbito do Sistema Financeiro Nacional, dentre outras."

Impactos

O veto impacta os direitos dos requerentes informações conforme a Lei de Acesso à Informação. Na prática, o poder público não estará mais obrigado a proteger dados pessoais de requerentes de informações. Também poderá compartilhar essas informações no âmbito do Poder Público e, até mesmo, com empresas.

Art. 26, §1º, II – MF e Bacen

Razões do veto

"A redação do dispositivo exige que haja, cumulativamente, previsão legal e respaldo em contratos, convênios ou instrumentos congêneres para o compartilhamento de dados pessoais entre o Poder Público e entidades privadas. A cumulatividade da exigência estabelecida no dispositivo inviabiliza o funcionamento da Administração Pública, já que diversos procedimentos relativos à transferência de dados pessoais encontram-se detalhados em atos normativos infralegais, a exemplo do processamento da folha de pagamento dos servidores públicos em instituições financeiras privadas, a arrecadação de taxas e tributos e o pagamento de benefícios previdenciários e sociais, dentre outros."

Impacto

O veto é positivo, pois não permite o compartilhamento de dados do poder público em casos de convênios ou instrumentos congêneres.

Art. 28 – MF, MP e CGU

Razão do veto

"A publicidade irrestrita da comunicação ou do uso compartilhado de dados pessoais entre órgãos e entidades de direito público, imposta pelo dispositivo, pode tornar inviável o exercício regular de algumas ações públicas como as de fiscalização, controle e polícia administrativa."

Impacto

O veto faz com que o Poder Público deixe de dar publicidade ao uso compartilhado de dados pessoais dentro do Estado (por exemplo, o repasse de informações do Ministério da Saúde para o Ministério do Planejamento). Na prática, torna o compartilhamento mais opaco e menos conhecido pela população.

Art. 52, VII, VIII e IX – Bacen, MF, MS, MP e MCTIC

Razões dos vetos

  "As sanções administrativas de suspensão ou proibição do funcionamento/exercício da atividade relacionada ao tratamento de dados podem gerar insegurança aos responsáveis por essas informações, bem como impossibilitar a utilização e tratamento de bancos de dados essenciais a diversas atividades, a exemplo das aproveitadas pelas instituições financeiras, dentre outras, podendo acarretar prejuízo à estabilidade do sistema financeiro nacional."

 Impacto

A Presidência da República fragilizou o sistema sancionatório do art. 52. Eliminou as chances de suspensão de atividade ilícita (uso indevido de dados pessoais por um controlador ou responsável). Em uma analogia com outra área regulada, é como se a vigilância sanitária não pudesse fechar um restaurante com coliformes fecais na cozinha. Na prática, a Autoridade de Dados Pessoais pode aplicar advertência, multa simples, multa diária, publicização da infração e bloqueio dos dados pessoais a que se refere a infração. Mas não poderá exigir a suspensão parcial do funcionamento do banco de dados ou a suspensão do exercício da atividade de tratamento de dados pessoais por 6 meses, tal como previsto originalmente.

Arts. 55 ao 59 – MJ, MF, CGU, Bacen, MP, MSP e MCTIC

Razão dos vetos

"Os dispositivos incorrem em inconstitucionalidade do processo legislativo, por afronta ao artigo 61, §1º, II, "e", cumulado com o artigo 37, XIX da Constituição."

Impacto

O veto elimina a Autoridade de Proteção de Dados Pessoais, principal instituição de aplicação da legislação de dados pessoais. Sem a Autoridade, a legislação fica "manca", pois não há reguladores com expertise e tampouco estrutura administrativa para monitoramento das práticas de mercado e de práticas ilegais de uso de dados pessoais pelo Poder Público. O veto também modifica a estrutura de composição da Autoridade, originalmente pensada em um Conselho Diretor de três membros.

A Legislação aprovada não faz qualquer menção sobre o papel de educação ou de promoção de políticas públicas sobre "conhecimento digital" e uso de dados pessoais. Corre-se o risco de, com edição de novo Projeto de Lei ou de Medida Provisória, ocorrer a modificação das funções da Autoridade Nacional de Proteção de Dados Pessoais.

Sobre a autora

Cristina De Luca é jornalista especializada em ambiente de produção multiplataforma. É diretora da ION 89, startup de mídia com foco em transformação digital e disrupção. Foi diretora da área de conteúdo do portal Terra; editora-executiva da área de conteúdo da Globo.com; e editora-executiva da unidade de Novos Meios da Infoglobo, responsável pela criação e implantação do Globo Online. Foi colunista de tecnologia da Rádio CBN e editor-at-large das publicações do grupo IDG no Brasil. Master em Marketing pela PUC do Rio de Janeiro, é ganhadora do Prêmio Comunique-se em 2005, 2010 e 2014 na categoria Jornalista de Tecnologia.

Sobre o blog

Este blog, cujo nome faz referência à porta do protocolo Telnet, que é o protocolo de comunicação por texto sem criptografia, traz as informações mais relevantes sobre a economia digital.

Blog Porta 23