A criação da Autoridade Nacional de Proteção de Dados pela MP nº 869/2018

Principais mudanças e considerações iniciais

Editada na data de ontem, 28 de dezembro de 2018, a Medida Provisória nº 869/2018, responsável pela criação da Autoridade Nacional de Proteção de Dados (“ANPD”) após vetos quanto à sua instituição no projeto de lei que culminou na Lei nº 13.709/2018 (Lei Geral de Proteção de Dados ou “LGPD”).

Assim que publicada a Lei Geral de Proteção de Dados Pessoais (“LGPD”) em 14 de agosto de 2018, iniciou-se grande debate sobre a constitucionalidade da Autoridade Nacional de Proteção de Dados Pessoais (“Autoridade” ou “ANPD”). Tal discussão remetia às alegações de que o Projeto de Lei nº 4060/2012, que deu origem à Lei nº 13.709/2018, não seria de autoria da Presidência da República, a qual possuiria prerrogativa de determinar a criação de autarquias que impliquem em novos gastos orçamentários.

Embora houvesse argumentos a favor da constitucionalidade da Autoridade, visto que o Projeto de Lei nº 5.276/2015, de autoria da Presidência da República e apensado ao Projeto de Lei nº 4060/2012, determinava a instituição de uma autoridade, prevaleceu a tese no sentido da inconstitucionalidade da criação da ANPD por vício de iniciativa.

Em razão disso, e com receios de insegurança jurídica – na medida em que a ANPD poderia ter a sua constitucionalidade questionada perante o Supremo Tribunal Federal – o Presidente da República determinou, quando da sanção presidencial, o veto dos artigos 55 a 59[1], os quais instituíam a Autoridade e estabeleciam as suas competências e a sua organização.

Após esse momento, iniciou-se grande mobilização para sanar esse vácuo legislativo. Afinal, a ausência de uma Autoridade geraria uma série de incertezas tanto para os titulares dos dados pessoais como para as empresas que, de alguma forma, realizam atividades de tratamento de dados, dado que projeto de lei aprovado pressupunha sua existência, o que é evidenciado por nada menos do que 51 referências à Autoridade.

Assim, a existência de uma Autoridade de proteção de dados se faz essencial pelo fato de que a extensão dos direitos e obrigações instituídos pela LGPD ao longo do seu texto não ficou clara o suficiente para ensejar a sua aplicação sem ressalvas (i.e. sem a criação da Autoridade). Além disso, diversos aspectos da LGPD dependem de futuro esclarecimento ou normatização pela Autoridade (a exemplo de parâmetros aceitáveis para segurança da informação ou para executar pedidos de portabilidade).

Em um primeiro momento, foram veiculadas notícias de que haveria um texto normativo sendo gestado pela Presidência da República, o qual visava à instituição de uma Autoridade vinculada à Presidência da República. Todavia, passados os meses e iniciadas as atividades do comitê de transição de governo, a perspectiva da instituição de uma Autoridade de Proteção de Dados Pessoais brasileira ainda em 2018 se mostrava cada vez mais distante. Surgiram, então, movimentos para a derrubada dos vetos pelo Congresso[2], mas que foram interrompidos pelo recesso parlamentar.

Todavia, agora, nos últimos momentos do Governo Temer[3], foi editada a Medida Provisória nº 869/2018[4], que modifica a LGPD para instituir a Autoridade de Proteção de Dados Pessoais e alterar outros dispositivos, como a vacatio legis e as regras para compartilhamento de dados por órgãos do Poder Público. Tal medida foi acompanhada ainda da publicação da Lei nº 13.787/2018, que trata da digitalização e da utilização de sistemas informatizados para a guarda, o armazenamento e o manuseio de prontuário de pacientes.[5]

Embora a criação da ANPD deva ser motivo de comemoração, na medida em poderá reduzir inseguranças sobre os contornos e a eficácia do disposto na LGPD, o modelo instituído pela referida Medida Provisória (“MP”) levanta consideráveis preocupações. Nesse sentido, abordaremos na sequência as principais mudanças promovidas pela MP e considerações iniciais sobre a composição da instituída ANPD.

Instituição, estrutura e competências da Autoridade

Como mencionado, entre as mudanças promovidas à LGPD pela Medida Provisória nº 869/2018 está a criação da ANPD. A esse respeito, destaca-se que a Autoridade instituída será pertencente à administração pública direta e integrante da Presidência da República. Essa estrutura muito difere do modelo vetado pelo Presidente da República, que submetia a ANPD a regime autárquico especial e vinculada ao Ministério da Justiça e dotada de autonomia técnica – e, portanto, mais alinhado à experiência brasileira de agências reguladoras.

Embora seja assegurada autonomia técnica à ANPD, o vínculo à Presidência da República representa um grave prejuízo à sua independência – apesar de regras de a MP prever a existência de mandato e condições de perda de cargo análogas às aplicáveis aos órgãos reguladores. Trata-se ainda de diferença marcante em relação ao texto original da LGPD, que determinava a independência administrativa e a ausência de subordinação hierárquica como algumas das características da natureza de autarquia especial conferida à ANPD.

Ressaltamos, todavia, que entre as principais razões para a necessidade de criação da própria Autoridade está justamente sua atuação como instância regulatória capaz de apresentar opiniões técnicas específicas à proteção da privacidade nos diferentes segmentos de mercado, e de realizar controle unificado e homogêneo do cumprimento das disposições da LGPD, independentemente de quaisquer vinculações políticas ou ideológicas ou pressões de setores específicos. Além disso, a sofisticação e a rápida mudança das questões relacionadas à privacidade e proteção de dados (sobretudo em ambiente virtual) requerem a atuação de profissionais capacitados para lidar com os novos e cada vez mais complexos cenários referentes ao tema, diante da sua aplicação em diferentes setores de mercado. Preocupações essas que remetem ao modelo mais tradicional de órgão regulador em vigência no Brasil.

Em relação à estrutura regimental da Autoridade, determina a MP que essa estrutura será estabelecida pelo Presidente da República e contará com apoio técnico e administrativo da Casa Civil para o exercício das suas atividades até sua entrada em vigor.[6] Já a sua composição contará com os seguintes órgãos:

  • Conselho Diretor, formado por 5 membros ocupantes de cargos em comissão (DAS- 5) e nomeados pela Presidência da República. O mandato será de 4 anos, sendo removido apenas em virtude de renúncia, condenação judicial transitada em julgado ou pena de demissão decorrente de processo administrativo disciplinar instaurado pelo Presidente da República[7]. No entanto, não há exigência de sabatina pelo Senado, ao contrário do que ocorre com órgãos reguladores sujeitos à Lei 9.986/2000;
  • Conselho Nacional de Proteção de Dados e da Privacidade, com competências consultivas, é formado por 23 representantes do governo, sociedade civil, instituições científicas e setor empresarial (sendo que os três últimos setores terão mandato de 2 anos). Seus representantes são designados pela Presidência da República e não poderão compor o Comitê Gestor da Internet no Brasil (CGI.br)[8];
  • Unidades administrativas e Unidades especializadas necessárias à aplicação da Lei, Corregedoria, Ouvidoria e Órgão de assessoramento jurídico próprio. Salvo as Unidades especializadas, esses órgãos não eram previstos na estrutura do texto original da LGPD e vetado pela Presidência.

Nesse sentido, assim como no texto original da LGPD, a MP prevê que a Autoridade contará com Conselho Diretor, Conselho Nacional de Proteção de Dados e da Privacidade e com Unidades especializadas à aplicação da Lei. Todavia, por compor a administração direta e também porque o texto da MP expressamente restringe a possibilidade de sua criação resultar em aumento de despesas (art. 55-A), a Autoridade não contará com autonomia financeira, resultando na restrição de sua capacidade em empreender medidas destinadas à consecução de seus objetivos institucionais.

Dentre as competências da ANPD, destacamos o dever de zelar pela proteção de dados pessoais, por meio da edição de normas, fiscalização e aplicação de sanções. A autoridade também deverá promover medidas para difundir conhecimento sobre as normas e as políticas públicas de proteção de dados pessoais e sobre medidas de segurança, bem como realizar consultas públicas sobre temas de sua área de atuação.

A MP estabelece, adicionalmente, que caberá exclusivamente à ANPD a aplicação das sanções previstas na LGPD e determina que coordene sua atuação com os órgãos públicos com competências sancionatórias e normativas sobre o tema. Com efeito, a possibilidade de a ANPD fiscalizar também o Poder Público remete à possibilidade de supervisionar as atividades de tratamento de dados pessoais realizadas por Estados, Municípios e órgãos públicos de diferentes classes. Por essa razão, é possível que se crie um problema que pode ser inclusive inconstitucional à luz do princípio federativo.[9]

Diante disso, consideramos que o desenho institucional previsto na MP para a Autoridade pode prejudicar atividades envolvendo também a transferência internacional de dados. Isso porque tal modelo reduz sua autonomia e independência, afastando a autoridade das exigências de legislações estrangeiras para a transferência de dados pessoais para outros países. Assim, países alinhados com os princípios de proteção de dados pessoais (a exemplo dos Estados-Membros da União Europeia, que convivem com a GDPR) provavelmente terão dificuldades em reconhecer o modelo brasileiro como compatível com as sua legislação, podendo prejudicar a transferência de dados pessoais entre os países e, com isso, impactar atividades econômicas nacionais que dependam do tratamento de dados pessoais (e.g.:  contratação de serviços em nuvem).

Outras mudanças propostas

A edição da Medida Provisória nº 869/2018 não se limitou à instituição da Autoridade de Proteção de Dados Pessoais, tendo também modificado outras disposições da LGPD, que apresentaremos ilustrativamente a seguir.

  • Dados sensíveis de saúde (art. 11, §4º): ampliação das hipóteses em que é autorizada a comunicação ou o uso compartilhado de tais dados entre controladores, incluindo os casos em que a adequada prestação de serviços de saúde suplementar depende de comunicação de tais dados. De fato, o texto original da LGPD se mostrava restritivo e poderia resultar na precarização da prestação de certos serviços relacionados à saúde, como aqueles oferecidos por planos de saúde, hospitais e clínicas médicas.
  • Revisão de decisões tomadas unicamente com tratamento automatizado de dados pessoais (art. 20): não depende mais de análise por pessoa natural. Embora esse dispositivo da LGPD já apresentasse diferenças em relação à legislação europeia de proteção de dados pessoais (GDPR), acaba por afastar ainda mais desse modelo.[10]
  • Encarregado pelo tratamento de dados pessoais: removida a exigência de função ser exercida por pessoa natural. Dessa forma, permite-se a nomeação também de pessoas jurídicas (e.g.: comitês internos ou mesmo escritórios de advocacia e outras empresas terceirizadas) para atuarem na comunicação entre o controlador, os titulares de dados pessoais e a própria ANPD.
  • Vacatio Legis: a MP modifica a cláusula de vigência da LGPD, de modo que passará a viger apenas 24 meses após a sua publicação (em agosto de 2020), salvo os dispositivos da ANPD, que terão vigência imediata. O estabelecimento desse prazo possibilitará que a ANPD funcione de maneira consultiva e, dessa forma, seja útil no processo de adaptação das empresas que atuem no tratamento de dados pessoais aos dispositivos da nova lei.

Finalmente, a MP também promoveu mudanças às regras sobre tratamento de dados pelo Poder Público, instituindo novas e amplas exceções à vedação ao Poder Público da transferência de dados pessoais constantes de bases de dados a que tenha acesso a entidades privadas. São elas:

(i) indicação de encarregado para as operações de tratamento de dados pessoais;

(ii) previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres;

(iii) casos em que a transferência dos dados objetivar a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados – criando respaldo legal às questionadas práticas comerciais desempenhadas pelo Serpro (Serviço Federal de Processamento de Dados) com dados pessoais; ou

(iv) casos em que os dados forem acessíveis publicamente.

Embora o texto original da LGPD apresentasse problemas de técnica legislativa que tornavam de difícil compreensão o capítulo sobre tratamento de dados pessoais pelo Poder Público, de modo a permitir o surgimento de interpretações contrárias ao interesse público e aos princípios constantes da referida lei, a alternativa instituída pela Medida Provisória apresenta hipóteses demasiadamente amplas e desacompanhadas de obrigações de transparência sobre o uso de dados de cidadãos pelo governo. Mais que isso, a dispensa de obrigação de comunicação da ANPD sobre referidas práticas, reduz drasticamente a capacidade de fiscalização dessas práticas pela autoridade ou outros interessados.

Similar flexibilização das regras de tratamento de dados pelo Poder Público  é bastante prejudicial porque gerar riscos à preservação de direitos e garantias individuais, em virtude da ausência de protocolos rígidos, procedimentos claros e limites legais. Entendemos que o envio e recebimento de dados pessoais por órgãos públicos em razão de parceria com entidades públicas ou privadas poderá gerar benefícios sociais (cf. artigos sobre smart cities publicados pela nossa equipe no Jota[11]), mas deverá ser cuidadosamente balizado. Esse movimento se torna ainda mais grave diante da possibilidade da criação de uma identidade digital única[12], vez que gera um cenário de desconfiança devido à ausência de uma proteção robusta de um grande volume de dados.

Balanço das mudanças promovidas pela Medida Provisória

Quando da aprovação da LGPD, uma das maiores preocupações estava na eficácia da nova legislação em razão do veto aos dispositivos atinentes à ANPD. A edição da Medida Provisória nº 869/2018, com instituição da Autoridade, certamente buscou enfrentar essa preocupação e encontrar meios de assegurar a efetividade dos dispositivos e mecanismos de enforcementprevistos na nova lei, mesmo que em cenário de enxugamento da estrutura do governo federal.

No entanto, consideramos que determinadas mudanças promovidas e o desenho institucional atribuído à autoridade de proteção de dados pessoais não atendem adequadamente as preocupações que deram origem à necessidade de editar essa Medida Provisória.

Em especial, consideramos que vinculação da ANPD à Presidência da República é insuficiente para criar um ambiente de maior segurança jurídica, com capacidade de efetivamente fomentar atividades econômicas baseadas em dados ao mesmo tempo em que assegura proteção aos titulares desses dados. Além disso, as alterações propostas ao capítulo de tratamento de dados pelo Poder Público cria carve out demasiadamente largo, impondo risco aos direitos de cidadãos, especialmente em momento de modernização dos serviços públicos e criação de identidades digitais que reúnem quantidade sem-fim de dados sobre cada um dos cidadãos.[13]

De todo modo, a MP tramitará perante o Congresso Nacional antes de ser convertida em lei, de modo a haver espaço para a promoção de mudanças em seu texto.[14] Não se sabe ainda como a nova legislatura enfrentará o tema, mas é certo que diversos atores de mercado, da academia e da sociedade civil já estão se mobilizando para contribuir com o resultado final da legislação brasileira destinada à proteção de dados pessoais.

Continuaremos acompanhando os debates sobre as mudanças implementadas à LGPD e, em novos artigos que serão publicados, buscaremos aprofundar alguns dos pontos relevantes modificados pela MP e destacados acima.

 

*Temos uma tradução da Medida Provisória em inglês em nosso site.

—————————————-

[1] Além dos artigos mencionados acima, foram vetados também os arts. 23, II; art. 26, §1º, II; art. 28; e art. 52, VII a IX.

[2] Disponível em <//www.congressonacional.leg.br/materias/vetos/-/veto/detalhe/12024>. Acesso em 28/12/2018.

[3] Inevitável a comparação com o decreto regulamentador do Marco Civil da Internet (Decreto nº 8.771/2016), um dos últimos atos do governo Dilma Rousseff antes do seu afastamento em decorrência do processo de impeachment.

[4]Disponível em <//www.in.gov.br/web/guest/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/57220361/do1-2018-12-28-medida-provisoria-n-869-de-27-de-dezembro-de-2018-57219992>. Acesso em 28/12/2018.

[5]Disponível em <//www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/57221806/do1-2018-12-28-lei-n-13-787-de-27-de-dezembro-de-2018-57221499>. Acesso em 28/12/2018.

[6] No texto original da LGPD a criação da estrutura regimental também era atribuída à Presidência da República. A inovação nesse aspecto consiste na autorização para que a Casa Civil oferte apoio técnico e administrativo enquanto não instituída a Autoridade.

[7] Essa estrutura difere do modelo estabelecido no projeto de lei que originou a LGPD, que determinava 3 conselheiros na composição do Conselho Diretor.

[8] Composição bastante similar à prevista no texto original da LGPD e vetado pela Presidência.

[9] Constituição Federal, art. 18.

[10] O art. 22, I da GDPR estabelece uma proibição geral da tomada de decisões com base fleexclusivamente no tratamento automatizado nos casos em que essas decisões produzem efeitos jurídicos ou afetam determinado indivíduo significativamente de forma similar. Exceções a essa vedação seriam os casos em que a decisão: a) for necessária para a celebração ou a execução de um contrato entre o titular e um controlador; b) for  autorizada pelo direito da União ou do Estado-Membro a que o controlador estiver sujeito, e na qual estejam igualmente previstas medidas adequadas para salvaguardar os direitos e liberdades e os legítimos interesses do titular; ou c) for baseada no consentimento explícito do titular (art. 22, II) – o que corrobora com a redação reiterada pela MP. Por outro lado, o inciso III do mesmo artigo estabelece como algumas das garantias do titular dos dados nos casos “a” e “c” listados acima o direito de contestar a decisão e de obter intervenção humana (art. 22, III) – cuja exclusividade de intervenção foi afastada pela MP.

[11] Dentre os artigos mencionados acima, destacam-se os seguintes:

NETO, Caio Mário S. Pereira; DOUEK, Daniel; ADAMI, Mateus Piva; LANGENEGGER, Natalia. Internet das coisas e infraestrutura. Jota, 03/05/2018. Disponível em <//www.jota.info/opiniao-e-analise/artigos/internet-das-coisas-e-infraestrutura-03052018>. Acesso em 28/12/2018.

LEMOS, Ronaldo; ADAMI, Mateus Piva; SANTOS, Ramon Alberto dos; COSTA, Olívia Bonan. Internet das coisas e segurança pública. Jota, 17/04/2018. Disponível em <//www.jota.info/opiniao-e-analise/artigos/internet-das-coisas-e-seguranca-publica-17042018>. Acesso em 28/12/2018.

DOUEK, Daniel; ADAMI, Mateus Piva; LANGENEGGER, Natalia; COSTA, Olívia Bonan. Internet das coisas e mobilidade urbana. Jota, 03/04/2018. Disponível em <//www.jota.info/opiniao-e-analise/artigos/internet-das-coisas-e-mobilidade-urbana-03042018>. Acesso em 28/12/2018.

[12] Nesse sentido: LEMOS, Ronaldo. Identidade digital é o novo graal. Folha de São Paulo, 23/07/2018. Disponível em <//www1.folha.uol.com.br/colunas/ronaldolemos/2018/07/identidade-digital-e-o-novo-graal.shtml>. Acesso em 28/12/2018.

[13] LEMOS, Ronaldo; DOUEK, Daniel; LANGENEGGER, Natalia; COSTA, Olívia Bonan. O Brasil precisa de uma autoridade de proteção de dados? Jota, 20/03/2018. Disponível em <//www.jota.info/opiniao-e-analise/artigos/o-brasil-precisa-de-uma-autoridade-de-protecao-de-dados-20032018>. Acesso em 28/12/2018.

[14] Constituição Federal, art. 62, §§ 2º e 7º.

 

Por Ronaldo Lemos, Daniel Douek, Mateus Piva Adami, Natalia Langenegger, Sofia Lima Franco

Fonte: //www.jota.info/opiniao-e-analise/artigos/a-criacao-da-autoridade-nacional-de-protecao-de-dados-pela-mp-no-869-2018-29122018

 

 

 

Comentários

Comentários