Bolsonaro sanciona lei que cria a autoridade de dados pessoais com 14 vetos

Feriado em São Paulo e o diário Oficial desta quarta-feira, 9 de julho, traz, enfim, a sanção da Lei 13.853/2019, decorrente do Projeto de Lei de Conversão (PLC) resultante da MP 869/2018, que cria a Autoridade Nacional de Proteção de Dados. Houve vetos, como esperado _ 14, no total _ que incidiram sobre pontos importantes da LGPD, como a ampliação das sanções por infração à lei, o direito de revisão por pessoa natural de decisões automatizadas, os requisitos e as garantias para o exercício da função de DPO (Encarregado de Proteção de Dados Pessoas).

Bolsonaro vetou também trecho sobre uma das fontes de receita da ANPD (produto da arrecadação de emolumentos) e sobre modificações que diziam respeito à Lei de Acesso à Informação.

Em resumo, os 14 vetos foram: Art. 20, § 3º – Art. 23, IV – Art. 41, § 4º – Art. 41, § 4º, I -Art. 41, § 4º, II – Art. 41, § 4º, III – Art. 52, X – Art. 52, XI – Art. 52, XII – Art. 52, § 3º – Art. 52, § 6º – Art. 52, § 6º, I -mArt. 52, § 6º, II – Art. 55-L, V.

Na opinião de Fabricio da Mota Alves, do escritório Garcia de Souza Advogados, foram menos vetos do que o esperado, porém,  significativos. Fabrício assessorou o relator da Lei Geral de Proteção de Dados no Senado, na época da tramitação do PL na casa.

Algoritmo auditando algoritmo
A sanção derruba a revisão das decisões automatizadas por pessoas naturais, um assunto que gerou muita polêmica durante a tramitação da MP 869/2018 no Congresso Nacional.  Na opinião do professor Danilo Doneda esse é um veto  que não leva em conta o risco e a importância da decisão para o cidadão. Mas havia muita pressão das associações que representam as empresas na área de TI para que a revisão pelo usuário fosse retirada.

O veto consta das sugestões enviadas à Casa Civil pela Brasscom, Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação. A entidade entende que a obrigatoriedade da revisão humana de decisões automatizadas tem "impacto perverso no desenvolvimento de startups e novos empreendedores no país, impactando também a adoção de ferramentas de Inteligência Artificial e Big Data essenciais para o sucesso da Transformação Digital da economia brasileira".

Em um momento em que o mundo todo debate o uso ético da Inteligência Artificial, e formas de tentar minimizar os vieses da tecnologia, deixar aos cuidados de outro algoritmo a revisão de uma decisão automatizada é um contrassenso, para dizer o mínimo. Já hoje não faltam casos nos quais as decisões automatizadas orientadas por modelos com viés, intencionais ou não, alimentados por dados incompletos, imprecisos ou tendenciosos, podem levar a estigmatização, à discriminação e à consolidação de preconceitos.

O PLC aprovado em abril de 2019 transferia para a ANPD a responsabilidade de regulamentar os casos em que a revisão por pessoa natural. Um ponto considerado positivo, na época, mas que acabou criando outros problemas, na opinião do professor Danilo Doneda. O texto abria margem à interpretação de que a revisão por humanos só seria possível depois de regulamentada pela ANPD. O que nos deixaria dependentes de uma regulamentação, sem que a lei deixasse claro os critérios para esta regulamentação. Ainda assim, isso era melhor do que não poder ter humanos auditando algoritmos.

A grande questão é que hoje os algoritmos da maioria das gigantes digitais e das empresas que já utilizam sistemas de Inteligência Artificial são considerados segredos industriais. Seria preciso haver um equilíbrio entre os direitos dos cidadãos e a preservação dos segredos industriais.

Sobre essas questões vale reler o artigo "Quem culpar quando a Inteligência Artificial falhar?"

Todo o problema reside na transparência das regras usadas pelos algoritmos. O cidadão precisa saber qual regra  foi usada para a tomada da decisão que o prejudicou.

Características do DPO
Outra sugestão da Brasscom acatada pelo Presidente Bolsonaro foi o veto ao parágrafo quarto do artigo 41, que dispunha sobre os requisitos para o cargo de Data Protection Officer. 

A Brascom via aí "um nicho de intervenção do Estado na atividade econômica da empresa ao se estabelecer os requisitos específicos que deverão ser preenchidos para o exercício da atividade de encarregado".

Havia o receio de que o "conhecimento jurídico" exigido criasse um nicho para advogados.

Aliás, é bom que se diga, a maioria das sugestões de vetos indicadas pela Brasscom para a Casa Civil foram acatadas.

Inclusive as que reduziram as sanções, com o veto dos incisos X, XI e XII e do § 6º do Art. 52.

A justificativa da entidade é a de que o tratamento de dados pessoais é definido na Lei como uma atividade que engloba desde a coleta, até a utilização, processamento e armazenamento de dados pessoais. Assim, não há como desmembrar as distintas operações abarcadas pelo "tratamento" e dar continuidade, ainda que parcialmente, a uma prestação de serviços segregando-se a parte afetada pela infração.

Além disso, a previsão de proibição total do exercício dessa atividade, como disposto nos incisos X,XI e XII do artigo 52,  poderia "culminar com a inviabilidade de atividades econômicas legítimas de tratamento de dados pessoais, tais como, o processamento de folha de pagamento, inviabilizando não só a operação da empresa sancionada como afetando também as empresas para as quais essa presta serviços", segundo a entidade.

"Cada vez mais tenho certeza que o tema de proteção de dados é mais de segurança e governança da informação do que somente "jurídico-regulatório". Acho um absurdo querer definir isso em Lei. Não que o componente jurídico-regulatório não seja importante. Isso não deve constar de Lei. Pode ser feito por instrumento infra legal o que poderia ser corrigido mais facilmente", opina Andriei Gutierrez, gerente de Relações Governamentais e Assuntos Regulatórios da IBM Brasil. Na opinião dele é ruim uma lei entrar em detalhes sobre as competências de uma atividade que o mundo todo ainda busca entender. 

"Se for constatado que não foi a decisão mais acertada, muda-se a regra via portaria, etc. Agora para mudar a lei, é muito mais difícil e cria-se uma reserva de mercado difícil de ser revertida", completa Andriei.

Ainda sobre a função do DPO, vale lembrar que a sanção não retirou da lei a possibilidade do encarregado (Data Protection Officer em Português) ser "pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)". Com esta nova redação, resta claro que as funções do DPO não precisão ser exercidas por uma única pessoa física e que seu vínculo profissional com a empresa pode se der de várias formas, além da contratação direta via contrato de trabalho.

Em comentário no LinkedIn, Viviane Maldonado, advogada, ex-juíza de direito e professora sobre privacidade de dados argumenta que conhecimentos jurídicos e regulatórios são mesmo inerentes ao cargo (nunca foi estabelecida reserva aos advogados). Logo, o mercado continuará a buscar profissionais que, dentre outras competências, conheçam profundamente a lei.

Tratamento de dados pelo poder público
Em texto publicado no LinkedIn, o advogado Adriano Mendes lembra ainda que o tratamento de dados Pessoais pelo Poder Público também sofreu um veto presidencial no inciso IV do artigo 2, que estabelecia que fossem protegidos e preservados dados pessoais de requerentes de acesso à informação, no âmbito da Lei nº 12.527, de 18 de novembro de 2011, vedado seu compartilhamento na esfera do poder público e com pessoas jurídicas de direito privado. Um pleito antigo da sociedade civil organizada, também vetado por Temer ao sancionar a LGPD.

O veto importante que não veio
Ao menos um veto esperado por muitos advogados que trabalham com proteção de dados não aconteceu: o já chamado de  "emenda Russomano", que diz que vazamentos individuais podem ser resolvidos por arbitragem.

Está no parágrafo sétimo do artigo 46.

"§ 7º Os vazamentos individuais ou os acessos não autorizados de que trata ocaputdo art. 46 desta Lei poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades de que trata este artigo."

Na opinião de Fabrício, além da técnica legislativa ruim ("vazamento" foi demais), o texto sugere uma condição arbitral para o exercício do poder da ANPD. Ou seja, se solicitada pelas partes uma conciliação direta, somente em caso de não acordo é que a ANPD poderá aplicar penalidades nas hipóteses de "vazamento" ou acesso não autorizado.

Muitos advogados sustentam que "vazamento"não chega sequer a ser um conceito jurídico quando aplicado à proteção de dados.

Próximos passos
Os vetos podem ser derrubados pelo Congresso. Mas talvez não haja consenso agora para derrubá-los.

E o Presidente da República ainda deve editar um decreto federal estruturando a ANPD, além de indicar os 5 diretores do órgão para sabatina pelo Senado.

"Após aprovação dos nomes, esses deverão dar sequência à estrutura e ao funcionamento da ANPD, inclusive aprovar seu regimento interno. Somente após essa etapa constitutiva, deverão vir as regulamentações à LGPD tão esperadas pela sociedade", explica Fabrício.