Em 28 de dezembro de 2018, duas novas regulamentações mudaram o cenário de proteção de dados pessoais no Brasil.
O então Presidente Michel Temer editou o decreto nº 9.637/2018, que determina a nova Política Nacional de Segurança da Informação (PNSI). Além disso, a Medida Provisória nº 869/2018 alterou a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD).
Entenda como essas alterações, que são de suma importância para o ecossistema de tecnologia e inovação brasileiro, impactam o mercado.
Autoridade Nacional de Proteção de Dados (ANPD)
A Lei Geral de Proteção de Dados Pessoais, promulgada em agosto de 2018, gerou preocupações no mercado. Isso porque ela não determinava a entidade estatal responsável por orientar e deliberar sobre os casos omissos, bem como garantir a aplicação correta da LGPD.
Apesar do projeto de lei prever a criação da Autoridade Nacional de Proteção de Dados (ANPD), vinculada ao ministério da Justiça, a autarquia foi vetada pela Presidência da República mediante a verificação de vício de iniciativa, já que a prerrogativa de criar esse tipo de órgão governamental é do Poder Executivo.
A MP nº 869/2018 altera a LGPD e cria a Autoridade Nacional de Proteção de Dados, com algumas diferenças estruturais em relação ao que estava proposto no texto vetado. Uma dessas diferenças é que a ANPD será um órgão da Administração Federal, ligado à Presidência da República.
A instituição será composta pelo:
(i) Conselho Diretor, cujos 5 membros serão indicados pelo Presidente da República;
(ii) Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, composto por 23 membros, dentre pessoas de diversas áreas;
iii) Corregedoria;
(iv) Ouvidoria;
(v) órgão de assessoramento jurídico próprio;
(vi) unidades administrativas necessárias para a aplicação do disposto em lei.
Algumas das funções da ANPD são zelar pela proteção dos dados pessoais, fiscalizar e penalizar possíveis tratamentos de dados realizados em desconformidade com a lei e deliberar sobre a interpretação da LGPD na esfera administrativa .
Além disso, a autarquia deve editar normas sobre proteção de dados, realizar estudos e difundir conhecimento sobre a proteção de dados, entre outras prerrogativas e deveres.
Alterações à Lei Geral de Proteção de Dados
Além de criar a Autoridade Nacional de Proteção de Dados Pessoais, a medida provisória 869/2018 alterou dispositivos da LGPD. As principais alterações feitas à Lei foram:
- Entrada em vigor: A MP alterou o período de vacatio legis para 24 meses a partir da sua publicação. Sendo assim, a LGPD entrará em vigor apenas em Agosto de 2020.
- Revisão de decisões: De acordo com a nova redação do Art. 20, decisões tomadas de forma totalmente automatizada e que afetem interesses dos titulares não precisam ser revisadas necessariamente por pessoas físicas.
- Figura do Encarregado: O Encarregado não precisa mais ser uma pessoa física, de forma que a função poderá ser assumida por terceiros, comitês ou até equipes de trabalho.
- Bancos de dados de Segurança Nacional e Pública: Antes, apenas entes da Administração Federal direta poderiam controlar esses bancos de dados. Com a MP, a autorização foi estendida às entidades controladas, como empresas públicas e sociedades de economia mista. Além disso, não são exigíveis relatórios de impacto à proteção de dados em tratamentos com essa finalidade.
- Compartilhamento de dados pessoais pelo Poder Público: O Poder Público poderá compartilhar dados pessoais com entes privados, desde que esteja entre os casos previstos na lei, como para a prevenção de fraudes.
Ressaltamos que a MP trouxe outras mudanças. Porém, entendemos não ser interessante levantá-las aqui, sugerindo que os interessados leiam a MP na íntegra.
Lembramos que medidas provisórias são aplicáveis a partir do momento da sua publicação, podendo ser convertidas em leis mediante apreciação pelo Congresso Nacional em até 60 dias.
Política Nacional de Segurança da Informação (PNSI)
O Decreto nº 9.367/2018, promulgado no mesmo dia 28 de dezembro de 2018, criou a nova Política Nacional de Segurança da Informação (PNSI).
Aplicável apenas às entidades da administração pública, a função da PNSI é garantir a segurança cibernética e a proteção dos dados organizacionais da administração pública federal.
Essa norma substitui a antiga política nacional de segurança da informação, o decreto 3.505 de 13 de junho de 2000, que foi expressamente revogado. Também foi revogado o decreto nº 8.135/2013, que tratava sobre a contratação de empresas de prestação de serviços de tratamento e comunicação de dados da administração pública federal.
A mudança mais relevante trazida pela PNSI em relação à legislação anterior foi o fim da proibição de contratação de entes privados para prestar serviços de tecnologia da informação para entidades da Administração Federal.
Dessa forma, a Administração Federal poderá alocar a responsabilidade e a competência de diversas atividades relacionadas com serviços de tecnologia às empresas privadas, desde companhias consolidadas até startups de tecnologia.
É possível que essa nova dinâmica ajude a sofisticar e melhorar o acesso, disponibilização e utilização de serviços públicos por meio de aplicativos móveis ou web.
Além disso, o Decreto nº 9.367/2018 instituiu o Comitê Gestor de Segurança da Informação, que dará suporte ao Gabinete de Segurança Institucional da Presidência da República.
Como a ANPD e a PNSI influenciam as empresas de tecnologia que tratam dados pessoais?
A regulação de proteção de dados pessoais apresenta alguns desafios a serem enfrentados pelas empresas de tecnologia que tratam dados pessoais, principalmente quando estamos diante de um cenário em que regulações não são editadas concomitantemente, por exemplo, e tampouco estão reunidas em um único código.
Isso dificulta o mapeamento, especialmente por startups, que não costumam destinar recursos para questões regulatórias e de compliance. Porém, é possível que, por meio de uma maior comunicação entre os agentes de mercado, possamos refinar o entendimento das regulamentações aplicáveis.
Dessa forma, será possível desenvolver um ambiente de inovação, ao mesmo tempo que protegemos a privacidade e a utilização de dados pessoais de maneira efetiva.
A idwall se preocupa em manter seus processos internos e produtos em conformidade com as normas de proteção de dados e segurança da informação tão logo elas surjam, para que possamos oferecer aos nossos clientes soluções que garantam o compliance com as obrigações regulatórias, em especial no que diz respeito ao tratamento de dados pessoais e à segurança da informação.
Quer saber mais sobre as nossas soluções e como elas podem fortalecer as estratégias de compliance e de onboarding da sua empresa? Entre em contato com um de nossos especialistas pelo formulário abaixo: