O Diário Oficial da União publicou na terça-feira, 9 de julho, a Lei 13.853, que cria a Autoridade Nacional de Proteção de Dados (ANPD). O recém-criado órgão federal vai editar e fiscalizar normas e procedimentos relacionados à proteção de dados pessoais, inclusive os estabelecidos pela Lei Geral de Proteção de Dados (LGPD), que entra em vigor em agosto de 2020.
A Lei que estabelece a ANPD foi aprovada pelo presidente Jair Bolsonaro com nove vetos e tem origem na Medida Provisória 869, sancionada pelo ex-presidente Michel Temer em dezembro de 2018. A MP 869 trouxe diversas alterações à LGPD e regulamentou a criação da Autoridade Nacional para, entre outros fins, regular as diretrizes dessa lei.
Continue a leitura e saiba mais sobre a Autoridade Nacional de Proteção de Dados e os vetos sancionados por Bolsonaro.
O que é a Autoridade Nacional de Proteção de Dados
Conforme estabelecido pela Lei 13.853, a Autoridade Nacional de Proteção de Dados, ou ANPD, é o órgão da Administração Federal “responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional”. Sua natureza é transitória — inicialmente vinculada à Presidência da República, ela pode passar à categoria de autarquia depois de dois anos, a critério do governo.
A criação da Autoridade Nacional estava prevista no texto original da Lei Geral de Proteção de Dados, mas havia sido inicialmente vetada. Depois, seu estabelecimento voltou à pauta com a emissão da MP 869 e, após de ter sido aprovada pela Câmara e pelo Senado, foi agora transformada em lei com a sanção presidencial.
Além de fiscalizar e editar diretrizes relacionadas à proteção, coleta, uso, armazenamento e distribuição de dados pessoais dos cidadãos brasileiros, a ANPD “poderá solicitar, a qualquer momento, aos órgãos e às entidades do poder público, a realização de operações de tratamento de dados pessoais, informações específicas sobre o âmbito e a natureza dos dados e outros detalhes do tratamento realizado e poderá emitir parecer técnico complementar” a fim de garantir que suas normativas sejam cumpridas.
Fica assegurada a “autonomia técnica e decisória” da Autoridade Nacional. Os procedimentos para fornecer informação a ela serão “objeto de regulamentação”, conforme disposto pelo Art. 27 da Lei.
Seguindo o que já havia sido disposto pela MP 869, a ANPD será composta por:
- Conselho Diretor, formado por 5 integrantes indicados pelo presidente e com mandatos de 4 anos;
- Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, formado por 23 membros, de diversas áreas;
- Corregedoria;
- Ouvidoria;
- assessoramento jurídico próprio;
- quaisquer outras unidades administrativas necessárias para a devida implementação de seus deveres e responsabilidades, conforme disposto pela lei.
A atuação da ANPD para a proteção de dados
A Lei 13.853 estabelece o que compete à Autoridade Nacional de Proteção de Dados. Alguns dos principais deveres e responsabilidades da ANPD são:
- zelar pela proteção dos dados pessoais;
- zelar pela observância de segredos comerciais e industriais, considerando a necessidade de proteção de dados pessoais e do sigilo das informações;
- elaborar diretrizes para a criação da Política Nacional de Proteção de Dados Pessoais e da Privacidade;
- fiscalizar e aplicar sanções mediante descumprimento das diretrizes de tratamento de dados;
- promover o conhecimento das normas e das políticas públicas de proteção de dados e suas medidas de segurança;
- promover e elaborar estudos sobre o cenário nacional e internacional de proteção e privacidade de dados;
- editar regulamentos e procedimentos sobre proteção e privacidade de dados, assim como produzir relatórios de impacto à proteção de dados pessoais em casos em que o tratamento representar alto risco à garantia dos princípios de proteção de dados;
- editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas, pequenas empresas, startups e empresas de inovação possam devidamente adequar-se à Lei;
- implementar meios simplificados, inclusive por meio eletrônico, para o registro de reclamações e denúncias relacionadas a tratamentos de dados pessoais feitos sem conformidade com a Lei.
Os vetos instituídos por Bolsonaro à ANPD
Para aprovar a criação da Autoridade Nacional de Proteção de Dados, Bolsonaro vetou um total de nove itens da Lei 13.853. Todos os pontos vetados haviam sido incluídos no texto por parlamentares. As principais mudanças são:
Item vetado: Parágrafo 3º do Art. 20
Estabelecia que os cidadãos teriam o direito de solicitar que uma pessoa física revisasse decisões tomadas exclusivamente por algoritmos de computador, seja na exclusão de um conteúdo das redes sociais, por exemplo, seja em uma análise de concessão de crédito.
Bolsonaro vetou essa diretriz, declarando que ela “inviabilizará os modelos atuais de planos de negócios de muitas empresas, notadamente das startups”, além de impactar na “análise de risco de crédito e de novos modelos de negócios de instituições financeiras” e, em última instância, trazendo impactos negativos na oferta de crédito aos usuários.
Item vetado: Inciso IV do Art. 23
Dizia respeito à relação da LGPD com a Lei de Acesso à Informação (LAI). Com o veto, os requerentes da LAI, inclusive as esferas do poder público e pessoas jurídicas de direito privado, deixam de ter seus dados protegidos.
O presidente acredita que tal incisivo gera “insegurança jurídica” por defender que o compartilhamento de informações pessoais é “medida recorrente e essencial para o regular exercício de diversas atividades e políticas públicas”.
Item vetado: Parágrafo 4º do Art. 41
Estabelecia que o controlador (empresa ou órgão público que lida com dados pessoais) poderia indicar um profissional encarregado para essa função dentro da organização. De acordo com a MP 869, esse encarregado deveria ser um detentor do conhecimento jurídico regulatório.
Ao vetar o parágrafo, Bolsonaro argumentou que a exigência representava “um rigor excessivo que se reflete na interferência desnecessária por parte do Estado”. Portanto, o encarregado não precisará mais ser alguém com especialidade no cenário regulatório.
Itens vetados: Incisos X, XI e XII e Parágrafos 3º e 6º do Art. 52
Dispunham que, mediante infração grave ou reincidente de suas diretrizes, uma instituição poderia ter seus bancos de dados interrompidos por até 6 meses ou suspensos.
Bolsonaro manteve a possibilidade de multas de até 2% do faturamento da empresa, mas vetou a interrupção ou suspensão dos bancos de dados por acreditar que isso traria “insegurança aos responsáveis por essas informações” e, ainda, impossibilitaria as atividades realizadas pelas instituições financeiras, podendo inclusive trazer “prejuízo à estabilidade do sistema financeiro nacional” e “afetar a continuidade de serviços públicos”.
Item vetado: Inciso V do Art. 55
Tratava do financiamento da Autoridade Nacional de Proteção de Dados, estabelecendo que o órgão poderia cobrar taxas por serviços prestados.
Com o veto, a principal fonte de financiamento da ANPD passa a ser o Orçamento Geral da União, que deverá arcar com os custos de suas atividades até que decida-se que a ANPD passará a ser uma autarquia.
Os nove pontos vetados por Bolsonaro serão analisados pelo Congresso — para derrubar um veto presidencial, é preciso somar pelo menos 257 votos de deputados e 41 votos de senadores. Além disso, ainda será necessário redigir o decreto para efetivamente estruturar a Autoridade Nacional de Proteção de Dados.
No caminho rumo à total adequação à Lei Geral de Proteção de Dados, além de reavaliar os processos da empresa, é fundamental garantir também que todos os seus fornecedores e parceiros de negócios seguem a lei.
As soluções de Background Check, Face Match e OCR de documentos da idwall asseguram o correto cumprimento de suas normas de compliance, inclusive com a LGPD. Entre em contato pelo formulário abaixo e saiba como podemos automatizar seu processo de onboarding: