Foi editada, no último dia 27 de dezembro, a Medida Provisória 869/2018, que complementa e altera algumas disposições da juvenil LGPD – Lei de Geral de Proteção de Dados Pessoais (Lei 13.709, de agosto de 2018).
A pretensão do Governo de publicar referida norma era amplamente conhecida já que, na ocasião da sanção à lei mencionada, foram vetados os artigos que davam origem a uma entidade central de fiscalização. Na oportunidade, justificou-se o óbice sob a alegação de que só o Executivo poderia sugerir a criação de órgão desta natureza, nos termos da Constituição.
Deste modo, a fim de complementar os mecanismos trazidos pela LGPD, a MP 869 veio tempestivamente instituir a Autoridade Nacional de Proteção de Dados (ANPD), como órgão integrante da Presidência da República, cujo funcionamento não importará em aumento de despesas. Terá autonomia técnica, destacando-se entre as suas funções: edição de normas e procedimentos sobre a proteção de dados; possibilidade de requisição de informações; dever de implementar mecanismos para o registro de reclamações; fiscalização e aplicação de sanções com exclusividade; e, difusão do conhecimento sobre proteção de dados pessoais e medidas de segurança.
Com tantos poderes concedidos, foi corretamente registrado na MP que, no exercício de suas atividades, a ANPD deverá zelar pela preservação do segredo empresarial e sigilo das informações, além de observar as garantias de intervenção mínima frente aos princípios constitucionais que regem a ordem econômica e a livre iniciativa.
A imposição de sanções (cujos valores das multas, aliás, são altos: dois por cento do faturamento da empresa, limitados a cinquenta milhões de reais) far-se-á mediante instauração de regular processo administrativo, assegurados, evidentemente, o contraditório e a ampla defesa.
Símbolo de navegação segura na internet (iStockphoto/Getty Images)
A ANPD contará com um Conselho Diretor, formado por cinco membros nomeados pelo Presidente, além do Conselho Nacional de Proteção, integrado por vinte e três representantes indicados pela sociedade civil, órgãos governamentais e instituições variadas, em mandatos exercidos de forma não remunerada.
Sua estrutura regimental será fixada por ato do Presidente da República e, embora considerada o órgão central de interpretação e estabelecimento de diretrizes relativamente à LGPD, a ANPD deverá articular sua atuação com o Sistema Nacional de Defesa do Consumidor do Ministério da Justiça e entidades com competências sancionatórias/normativas afetas ao tema em questão.
Esta harmonização, por sua vez, pode não ser tarefa simples. São inúmeros os órgãos oficiais de defesa do consumidor em franca atuação, além de entidades responsáveis por regular questões estratégicas (telecomunicações, por exemplo), sem falar nas próprias atribuições do Comitê Gestor da Internet - CGI, que podem se confundir, em muitos temas, com prováveis abordagens da ANPD. Ademais, pergunta-se: se a Autoridade de Proteção conduzir, desde o início, os processos administrativos nos casos de infração, quem fará o papel de segunda instância (análise recursal), para garantia satisfatória da ampla defesa?
Logo, embora tenha sido frisado que a competência para regular a proteção de dados e aplicar sanções administrativas seja exclusividade da ANPD, muito cuidado deverá ser tomado para que, na prática, não haja sobreposição entre as esferas de competência de outros órgãos pré-estabelecidos.
De qualquer forma, não somente à arquitetura deste órgão se restringiu a MP. O documento trouxe ainda tópicos incisivos que merecem ser salientados.
Primeiro: foi dada nova redação, tornado mais permissivos, os dispositivos que tratam da possibilidade de compartilhamento entre o Poder Público e empresas privadas sobre dados atinentes à segurança pública, defesa nacional, segurança do Estado ou atividades de investigação/repressão de infrações penais.
Para estes assuntos, ficou esclarecido que empresas privadas poderão ter acesso aos dados em procedimentos tutelados pelo Poder Público e de forma parcial. Ressalva à regra da parcialidade da permissão foi fixada para as pessoas jurídicas privadas controladas pelo Poder Público (empresas públicas, tais como a CAIXA, BNDS, etc).
Da mesma sorte, o acesso aos demais tipos de dados tratados pelo Poder Público, inclusive com dispensa de consentimento do titular, também ganhou outras hipóteses autorizadoras flexíveis em razão da publicação da MP.
Finalmente, nesta linha de flexibilização, a MP concedeu exceções à regra da proibição de compartilhamento de dados sensíveis relacionados à saúde (que era praticamente absoluta). Pelo novo texto, o compartilhamento de dados de saúde com fins econômicos passa a ser possível nas seguintes situações: (a) para a portabilidade de dados, quando consentida pelo titular, ou; (b) em necessidade de comunicação para a adequada prestação de serviços de saúde suplementar (referentes a convênios, planos e seguros de saúde). Como facilmente se percebe, conquanto a primeira hipótese seja objetiva, a autorização para fins de serviços de saúde complementar certamente não o é, podendo dar margem a diversas formas de interpretação.
Enfim, diante dos pontos mencionados é de se ressaltar que as regras da recente medida, como o próprio nome indica, têm caráter provisório, mas podem ser objetos de prorrogação. Contudo, de forma inafastável, seu conteúdo dependerá da análise do Congresso para integrar definitivamente o corpo do texto da lei de proteção de dados pessoais.
Até que isso seja feito, considerando também o decurso do prazo para vigência da totalidade de suas definições, muita coisa pode intencionalmente mudar. Por isso, torçamos para que processo, não haja o desvirtuamento gradativo das notáveis conquistas da LGPD.