Órgão será vinculado à Presidência da República

Em um dos últimos atos do seu governo, o presidente Michel Temer editou nesta sexta-feira medida provisória (MP) que altera a Lei Geral de Proteção de Dados (LGPD), promulgada em agosto, criando Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por normatizar e fiscalizar a aplicação da lei. O texto também torna mais claros alguns pontos que geraram dúvidas e prorroga por seis meses o prazo para entrada em vigor das novas regras. Porém, amplia o controle da Presidência sobre o funcionamento da agência e abre novas brechas para o compartilhamento de informações por órgãos públicos.

A ANPD estava prevista no texto da LGPD aprovado pelo Congresso, mas sua criação foi vetada pela Presidência, sob o argumento de que a agência somente poderia ser criada pelo Executivo. Contudo, ela seria uma autarquia especial, com “independência administrativa, ausência de subordinação hierárquica, mandato fixo e estabilidade de seus dirigentes e autonomia financeira”. Com a MP, a agência passa a integrar a Presidência da República, com “autonomia técnica” assegurada.

— A MP esclarece algumas dúvidas que foram criadas com a LGPD, criando um ambiente de maior segurança jurídica. Ela reforça o caráter pró-negócios e pró-direitos da lei, o que é positivo — avalia o advogado José Eduardo Pieri, sócio da área de Proteção de Dados do escritório BMA. — A criação da autoridade era esperada. O ideal é que ela fosse totalmente independente, mas tem apenas a independência técnica garantida. Imagino que tenha sido para não criar gastos.

A Autoridade criada por Temer poderá editar normas e procedimentos sobre a proteção de dados pessoais e tomar decisões na esfera administrativa sobre a interpretação da nova lei. O órgão poderá ainda requisitar informações aos controladores e operadores de dados pessoais, registrar reclamações, fiscalizar e aplicar punições na hipótese de tratamento de dados realizado em descumprimento à legislação.

Ela será comandada por um conselho diretor composto por cinco integrantes, incluindo o diretor-presidente. Os diretores serão nomeados pelo presidente da República, com mandatos de quatro anos. A MP prevê, ainda, a criação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, outra instância que será vinculada à nova autoridade. O conselho será composto por 23 representantes, entre titulares e suplentes.

— É melhor ter alguma coisa do que não ter nada, mas da maneira como está prevista, a autoridade ficará sujeita a mandos e desmandos da Presidência. Não existe separação entre os interesses do governo dos interesses da agência — pondera Adriano Mendes, advogado especialista em direito digital e tecnologia. — E, tecnicamente, o presidente Temer pode nomear os conselheiros até segunda-feira, o que criaria uma saia justa para o próximo governo.

Mendes destaca ainda que algumas pequenas alterações no texto abrem novas brechas para que órgãos públicos compartilhem informações coletadas dos cidadãos. O artigo 26, que trata das exceções para a transferência de bases de dados a entidades privadas, ganha três novos parágrafos. Um deles libera o compartilhamento de dados “quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres”.

— No texto original, o uso de dados dos cidadãos pelo governo era bem rígido, com a MP isso fica mais brando, permitindo a existência de convênios. O acordo do Tribunal Superior Eleitoral com o Detran para a biometria durante a eleição seria proibido pela LGPD. Com a mudança na lei, bastaria um acordo. Esse e outros casos podem ser positivos, reduzindo custos, mas abre a porteira para que o governo faça o que quiser com os nossos dados — critica Mendes. — A autoridade poderia bater de frente, mas ela está subordinada à Presidência.

A medida provisória também esclarece alguns pontos da LGPD, como o compartilhamento de dados sensíveis referentes à saúde. O texto original abria exceção apenas para a portabilidade de dados. Com a MP, a transferência de informações é permitida pela “necessidade de comunicação para a adequada prestação de serviços de saúde suplementar”.

— Existia uma dúvida se a empresa que quisesse oferecer serviços de saúde suplementar para os seus empregados teria que obter novo consentimento. A MP deixa claro que os dados dos funcionários podem ser compartilhados — explica Pieri.

Mais tempo para adequação

Ana Carolina Cesar, sócia da Daniel Advogados, destaca a alteração do perfil do “encarregado”. A LGPD definia como “pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional”. A MP altera o texto, retirando o termo “natural”, abrindo espaço para que empresas terceirizadas sejam contratadas para exercer esse papel.

Outro ponto positivo foi a ampliação do prazo para que as empresas se adéquem às novas regras. A LGPD previa 18 meses, tempo que foi prorrogado para 24 meses, até o dia 16 de agosto de 2020. Esse foi o mesmo prazo adotado pela União Europeia no Regulamento Geral sobre a Proteção de Dados.

— O prazo ainda é apertado — pondera Ana Carolina. — Quando a gente fala de tecnologias, não são apenas adequações em políticas em processos, mas em todos os sistemas que suportam os negócios. É preciso trabalhar no código fonte, buscar serviços em conformidade com a lei, e isso leva um tempo considerável.

A advogada ressalta que a MP, que cria a autoridade nacional, mostra para o mercado que a lei realmente terá que ser cumprida. Porém, o cenário ainda está nebuloso. Os novos congressistas terão prazo de 120 dias para aceitar a conversão ou não da medida provisória em lei. E durante as discussões, emendas poderão ser apresentadas.

— Existem três hipóteses: a medida provisória é aprovada como está, ela é aprovada com alterações ou cai por completo — afirma a advogada.

Matéria publicada no jornal O Globo. Leia em https://oglobo.globo.com/economia/temer-cria-agencia-de-protecao-de-dados-pessoais-na-internet-23332675