No último dia 08 de julho, foi sancionada pelo Presidente da República a Lei nº 13.853/2019, decorrente da MP 869/2018, que alterou a Lei nº 13.709/2018 – a Lei Geral de Proteção de Dados, ou “LGPD”. Após extenso debate, a MP passou por modificações na Câmara dos Deputados e no Senado Federal, cujo Relatório Final foi aprovado pelo Congresso Nacional em 07 de maio de 2019, seguindo-se, então, o encaminhamento para a sansão Presidencial. Abaixo, comentaremos os principais pontos de alteração da referida Lei, após a sansão:
1) Criação da Autoridade Nacional de Proteção de Dados (ANPD)
Foi confirmada a criação da Autoridade Nacional de Proteção de Dados (ANPD), cuja natureza jurídica será, num primeiro momento, de órgão da administração pública federal, integrante da Presidência da República, podendo ser transformada em autarquia especial e vinculada à Presidência da República no prazo de 2 anos. A ANPD será o órgão do governo responsável pela edição de normas e procedimentos complementares à LGPD, além de ter poderes de fiscalização e aplicação de penalidades a seus infratores.
2) Encarregado (“DPO”)
Com a edição da nova Lei, estabeleceu-se que o Encarregado pelo tratamento de Dados Pessoais (comumente denominado “DPO” – “Data Protection Officer”) poderá ser uma Pessoa Jurídica, e assim, terceirizado.
Foi vetado o dispositivo da MP 869/2018 que determinava que o Encarregado deveria ter conhecimento jurídico-regulatório. Contudo, a ANPD ainda poderá estabelecer normas complementares sobre suas atribuições, inclusive hipóteses de dispensa da necessidade de indicação do Encarregado, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados, conforme disposto originalmente na LGPD.
3) Decisões automatizadas
Foi vetado o dispositivo da MP que determinava que a revisão das decisões tomadas exclusivamente com base em tratamento automatizado de dados pessoais, quando requisitada pelo titular dos dados, deveria ser realizada por uma pessoa física. Assim, o cidadão continua tendo a prerrogativa de solicitar a revisão de tais decisões, porém tão somente dos dados utilizados para a formação do algoritmo utilizado para a tomada de decisão, mantendo-se a via automatizada, não se adentrando, portanto, em uma revisão subjetiva.
Esta disposição, dentre outras hipóteses, aplica-se às decisões destinadas a definir o perfil pessoal, profissional, de consumo e de crédito do titular dos dados.
4) Dados referentes à saúde
Restou estabelecido que o tratamento de dados sensíveis realizado com base na tutela da saúde poderá ser realizado exclusivamente em procedimento executado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
Ainda, foi aprovada a alteração proposta pela MP que estabeleceu a vedação da comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir a portabilidade de dados quando solicitada pelo titular; ou as transações financeiras e administrativas resultantes do uso e da prestação dos serviços supra mencionados.
5) Sanções administrativas
O último ponto relevante das propostas da MP refere-se à ampliação do rol das sanções administrativas que poderiam ser aplicadas pela ANPD aos agentes de tratamento de dados, em razão das infrações cometidas à Lei.
O texto enviado à sanção presidencial previa as seguintes hipóteses adicionais de sanções que poderiam ser aplicadas pela ANPD: (i) suspensão parcial do funcionamento do banco de dados a que se refere a infração por até seis meses, prorrogável por igual período, até que a operação de tratamento fosse regularizada pelo controlador; (ii) suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração por no máximo seis meses, prorrogável por igual período; (iii) proibição total ou parcial do exercício de atividades relacionadas ao tratamento de dados pessoais.
As novas sanções apenas poderiam ser aplicadas após a aplicação de pelo menos uma das sanções mais brandas ao mesmo caso concreto.
Todos os dispositivos foram vetados, permanecendo, pois, a possibilidade de aplicação das seguintes sanções:
• advertência, com indicação de prazo para adoção de medidas corretivas;
• multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
• multa diária, observado o mesmo limite mencionado acima;
• publicização da infração após devidamente apurada e confirmada a sua ocorrência;
• bloqueio dos dados pessoais a que se refere a infração até a sua regularização; e
• eliminação dos dados pessoais a que se refere a infração.
O MGA está à disposição para auxiliá-los na adequação de sua empresa às diretrizes da LGPD, lembrando que a vigência da Lei tem início em 16 de agosto de 2020.