Sancionada a Criação da Autoridade Nacional de Proteção de Dados

Onze meses após a publicação da Lei Geral de Proteção de Dados (LGPD) e a pouco mais de um ano do início de seu vigor, finalmente foi sancionada pela Presidência da República, nesta segunda-feira, dia 08 de julho, a MP 869/2018, convertendo-a na Lei 13.853/2019 que, dentre outras disposições, cria definitivamente a Autoridade Nacional de Proteção de Dados (ANPD).

De fato, como esperado, não foi possível a sanção da medida sem alguns vetos, menos do que o esperado, mais significativos do que o ideal.

Dentre os pontos mais relevantes que foram vetados estão as disposições sobre o encarregado de dados pessoais (DPO), a possibilidade de revisão das decisões automatizadas (com base em dados pessoais) por pessoa natural e a redução do poder punitivo da LGPD.

Com o veto do parágrafo 4º do art. 41 da Lei Geral de Proteção de Dados, é retirada da Autoridade Nacional de Proteção de Dados a autonomia para decidir em quais casos o operador de dados precisaria indicar encarregado, extingue-se a exigência de que o DPO necessariamente possua conhecimentos jurídicos-regulatórios bem como a possibilidade de nomeação de um único Encarregado de Dados para grupos econômicos.

Na prática a obrigatoriedade de nomeação do encarregado tanto por operadores quanto por controladores permanece, já que na definição do DPO contida no art. 5º, a previsão foi mantida. Além disso a dispensa de exigência de conhecimento jurídico-regulatório para o cargo pode evitar uma reserva de mercado por parte dos advogados, mas, na prática, dificilmente um DPO poderá exercer as suas funções sem os referidos conhecimentos, já que, diferentemente do CIO ou do CISO, o DPO deve lidar com questões eminentemente regulatórias.

Quanto à nomeação de único DPO para grupo econômico ser vetada, trata-se de outra medida que, na prática, não terá tanto efeito. Uma vez que o DPO não precisa ser necessariamente um funcionário da empresa, podendo, inclusive, ser pessoa jurídica prestadora de serviços, bastaria que todas as empresas do grupo contratassem o mesmo DPO para a função, medida que não encontra obstáculo na Lei.

Foi vetado também o disposto no artigo 20, §3º da LGPD, que previa que a revisão de decisões automatizadas tomadas com base em dados pessoais deveria ser feita por pessoa natural, o que, na prática, permite que a revisão também ocorra de maneira automatizada.

Outro dispositivo legal cujo veto tem impactos relevantes é o do artigo 23, IV, da Lei, que previa que os dados dos requerentes de acesso à informação, no âmbito da lei de mesmo nome, deveriam ter seus dados pessoais preservados e protegidos, não sendo permitido o seu compartilhamento.

Por fim, talvez a alteração mais significativa tenha sido os vetos realizados ao artigo 52 da LGPD, responsável justamente pelo estabelecimento das punições aplicáveis em caso de não observância da Lei. Basicamente com o veto aos incisos X, XI, XII e parágrafos 3º e 6º do artigo, a lei perde muito no caráter escalonador das sanções, fazendo com que a punição nos casos de reincidência não seja apropriadamente agravada.

De toda forma, mesmo diante de vetos que mais agrediram à lei do que a favoreceram, há que se reconhecer a vitória na sanção do diploma legal, em especial pelo importante marco que representa na jornada do Brasil em direção a se tornar uma nação mais segura do ponto de vista da informação.