Em agosto de 2018 foi sancionada a Lei Geral de Proteção de Dados Pessoais – Lei nº 13.709/2018. Na época, todos os dispositivos relacionados a criação da Autoridade Nacional de Proteção de Dados haviam sido vetados.
Em dezembro do mesmo ano tivemos a edição da Medida Provisória nº 869/2018, com mudanças especialmente no âmbito da criação da Autoridade Nacional de Proteção de Dados e ao tratamento de dados pessoais pela administração pública. Enfrentamos então um período de intensa atividade legislativa – com a apresentação de mais de 170 emendas, além de audiências públicas e contribuições efetivas dos vários segmentos da sociedade – que culminou com a publicação da Lei 13.853/2019.
Com efeito, com a edição da Lei 13.853/2019, no último dia 09 de julho de 2019, as mudanças na Lei Geral de Proteção de Dados Pessoais parecem finalmente ter alcançado um ponto de estabilidade jurídica.
Agora efetivamente podemos nos dedicar ao planejamento e implantação das medidas para tratamento de dados nas nossas empresas. Mas, é importante sabermos o que mudou na norma geral com a edição da nova lei.
O primeiro ponto a ensejar essa esperada estabilidade, é a definição da entrada em vigor da norma legal. Com efeito, a partir de agosto de 2020 todos precisaremos estar em conformidade com a LGPD.
Além disso, a nova norma nos deu os contornos da forma de composição e atuação da Autoridade Nacional de Proteção de Dados.
Fruto do conflito dos argumentos antagônicos de escassez de recursos para criação de mais uma agência reguladora, e da necessidade da capacidade, autonomia e independência, nasce, em um caminho intermediário, a Autoridade Nacional de Proteção de Dados.
Ligada a estrutura da Presidência, com vinculação à administração pública direta, o que permite que parte do seu staff seja constituído por cargos já previstos na atual estrutura do governo, a Autoridade Nacional de Proteção de Dados tem a si assegurada autonomia decisória, e a promessa de que não haverá interferência no trabalho do Conselho Diretor, formado por profissionais que deverão ter capacidade técnica demonstrada, e que serão previamente sabatinados pelo Senado. Entretanto, o caráter “transitório” da Autoridade, e a previsão de que ela passará por um processo de avaliação após dois anos, com análise de seus custos e benefícios para uma transição para um modelo de autarquia federal vinculada indiretamente à administração pública parece ser um ponto ainda a ensejar instabilidade.
Outros pontos de mudança trazidos pela nova lei são (a) a adaptação de regras substanciais para o tratamento e compartilhamento de dados sensíveis; (b) a revisão humana de decisões automatizadas; e (c) a aplicação de normas para startups.
A nova norma enfrentou a proibição do compartilhamento de dados sensíveis, entre controladores, com finalidade de obtenção de vantagem econômica. A regra do artigo 11, prevista na redação original, dificultava sobremaneira as atividades de hospitais, clínicas, laboratórios diagnóstico e operadoras de planos de saúde, e fragilizava a própria segurança na prestação dos serviços de saúde aos pacientes, na medida em que estes agentes dependem do uso compartilhado de dados para uma série de operações de prestação do serviço de saúde. A solução adotada permite o compartilhamento dos dados, desde que os serviços de saúde, os serviços de assistência à saúde e os serviços de assistência farmacêutica demonstrem (a) benefício aos interesses dos pacientes (titulares dos dados), e (b) para permitir a portabilidade dos dados ou as transações financeiras e administrativas resultantes do uso e da prestação dos serviços.
Outra alteração trazida pela norma diz com a regra de revisão humana de decisões automatizadas (artigo 20). No entanto, esta alteração veio em contraposição a tendência internacional, tornando a legislação brasileira menos protetiva do que a legislação de outros países, como a General Data Protection Regulation (GDPR). Na prática, a revisão de decisões tomadas de modo unicamente automatizado poderá ser garantida mediante inovações na interface de comunicação com os titulares de dados.
As demais alterações concentram-se no papel da Autoridade Nacional, e nas regras específicas para o encarregado pelo tratamento de dados pessoais, pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, o titular dos dados e a Autoridade Nacional de Proteção de Dados.
De modo geral, então, as mudanças trazidas pela nova lei contribuem para reduzir as inseguranças sobre os contornos e a eficácia da LGPD, e são benéficas para trazer maior segurança jurídica e possibilidade de fomento a negócios inovadores no país – cumprindo-nos agora dedicar nosso esforço e energia para o efetivo planejamento e implantação dos mecanismos de proteção de dados em nossas empresas!
Importante esclarecer que a Comissão Especial da LGPD da Federasul já está trabalhando na revisão da Cartilha de Proteção de Dados Pessoais da entidade – e muito em breve traremos o documento remodelado para acesso a todos os interessados no tema!
Eliana Fialho Herzog
Membro da Divisão Jurídica da Federasul
Coordenadora Adjunta da Comissão Permanente de Ética e Compliance
Coordenadora do Comitê Especial da LGPD – Divisão Jurídica da FEDERASUL
Sócia do Escritório Chiapin Herzog Advogados