Aprovada Medida Provisória que cria a Autoridade Nacional de Proteção de Dados

No dia 27 de dezembro de 2018 foi publicada no Diário Oficial a Medida Provisória nº 869, alterando a Lei nº 13.709/2018 (a “Lei Geral de Proteção de Dados” ou “LGPD”) criando a Autoridade Nacional de Proteção de Dados. Essa é uma notícia muito importante, pois a autoridade tem papel fundamental na fiscalização da lei, além de conferir segurança jurídica para apoiar os controladores e processadores de dados nas suas dúvidas com relação ao cumprimento da legislação.

Além da criação da Autoridade, foram promovidas algumas outras alterações na lei, dentre as quais destacamos:

  • O início da vigência da LGPD foi postergado para 18 de agosto de 2020, mas os dispositivos referentes à criação e organização da Autoridade Nacional e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade da lei já entraram em vigor na data de hoje. 
  • O artigo 3º da lei foi alterado para deixar claro que qualquer das atividades descritas nos seus incisos estão sujeitas às normas legais, a saber: (i) a operação de tratamento seja realizada no território brasileiro; (ii) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou (iii) os dados pessoais objeto do tratamento tenham sido coletados no território nacional. 
  • A definição de encarregado foi alterada para “pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados”, aparentemente dispensando a necessidade de que o encarregado seja uma pessoa física, embora a interpretação ainda necessite de debates no decorrer da aplicação da lei. 
  • Foi alterada a definição de “autoridade nacional”, de modo que poderá ser um órgão da administração pública federal, integrante da Presidência da República, responsável por zelar, implementar e fiscalizar o cumprimento da LGPD (a redação anterior estabelecia que seria um órgão necessariamente da administração pública indireta). Isso implica um maior controle do Estado sobre as atividades realizadas pela autoridade, lembrando que também fiscaliza o tratamento de dados pelo poder público. 
  • A MP expressamente assegurou autonomia técnica à autoridade nacional e estabeleceu a composição do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, incluindo membros dos Poderes Executivo, Legislativo e Judiciário, além do Comitê Gestor da Internet no Brasil, representantes de entidades da sociedade civil e do setor empresarial. 
  • A Medida Provisória estabeleceu a competência da Autoridade Nacional, como (i) zelar pela proteção dos dados pessoais; (ii) editar normas e procedimentos sobre a proteção de dados pessoais; (iii) deliberar, na esfera administrativa, sobre a interpretação da LGPD; (iv) requisitar informações aos controladores e operadores; e (v) fiscalizar e aplicar sanções, dentre outras. 
  • A Medida Provisória nº 869 passou a permitir a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica em caso de necessidade de comunicação para a adequada prestação de serviços de saúde suplementar, além da hipótese de portabilidade de dados quando consentido pelo titular (art. 11, par. 4º). 
  • A revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem os interesses dos titulares dos dados (como a definição de perfil profissional, de consumo, de crédito, etc.) não precisará ser feita, necessariamente, por uma pessoa física, como era exigido na redação anterior da LGPD (artigo 20). Portanto, aparentemente será possível a revisão por uma inteligência artificial.

Conforme mencionado, a Medida Provisória nº 869 entrou em vigor na data de hoje, dia 28/12/2018, e o Time de Cibersegurança do Demarest está ao seu inteiro dispor para esclarecer eventuais dúvidas.