MP que altera lei geral de proteção de dados avança no Congresso

A comissão mista que analisa a Medida Provisória (MP) 869/2018 aprovou nesta terça-feira (7) o relatório do deputado Orlando Silva.

O texto altera competências e garante autonomia técnica e decisória à Autoridade Nacional de Proteção de Dados (ANPD).

O órgão deve zelar pela proteção de dados pessoais e segredos comerciais e industriais.

A medida provisória altera a Lei 13.709, de 2018— conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD).

A norma prevê regras para proteger informações dos cidadãos gerenciadas por empresas públicas ou privadas.

Editada em dezembro do ano passado, a MP 869 previu a criação da Autoridade Nacional de Proteção de Dados como um ente ligado à Presidência e não como autarquia independente como trazia a LGPD.

A medida diminuiu o poder da autoridade, retirando sanções e medidas de fiscalização.

Além disso, a MP suprimiu outros pontos da Lei, como a possibilidade de revisão de decisões tomadas por processo automatizado (como uma “nota” de crédito definida por um algoritmo de um banco).

A redação flexibilizava a gestão de dados pessoais pelo Poder Público, retirando limites colocados pela Lei Geral de Proteção de Dados.

O relator, deputado Orlando Silva (PCdoB-SP), apresentou relatório há duas semanas com uma solução “alternativa”: a autoridade continuaria sob a Presidência da República como um ente dependente, mas em no máximo dois anos o Executivo encaminharia proposta para sua transformação em autarquia.

O parlamentar acrescentou a exigência de sabatina pelo Senado dos diretores indicados pelo governo federal.

Hoje, o relator colocou na comissão especial uma complementação de voto alterando essa formulação, deixando a mudança apenas como uma recomendação.

O recuo foi resultado de debates entre membros da comissão e do risco do trecho ser vetado pelo Executivo Federal.

Com isso, ela será uma área a ser estruturada pela Presidência, sem previsão de contratação de pessoal especializado. “Inexiste imposição, mas é uma alternativa ao Poder Executivo”, explicou Silva na sessão da comissão.

O relatório de Silva, entretanto, resgatou prerrogativas e sanções da Autoridade Nacional de Proteção de Dados, como a suspensão parcial de banco de dados que tiver desrespeitado a Lei e a proibição parcial ou total do exercício de atividades de tratamento de dados.

Revisão

A revisão de decisões automatizadas foi um tema polêmico ao longo da discussão da Lei.

O uso destes sistemas vem crescendo e envolve diversas esferas da vida, da contratação de diversos serviços ou a obtenção de empréstimos.

O relatório de Orlando Silva resgatou a possibilidade desta revisão, que havia sido vetada pela MP.

Na complementação de voto, no entanto, Silva incluiu que esta prática dependerá de regulamentação pela autoridade nacional e que “levará em consideração a natureza e o porte da entidade e o volume de operações de tratamento de dados”.

Orlando Silva apresentou nesta terça-feira uma complementação de voto com mudanças em relação ao relatório original, apresentado em abril.

Detalhes do projeto de lei de conversão (PLV) apresentado no relatório de Orlando Silva

Sabatina

Os membros do Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) devem passar por sabatina no Senado, como ocorre com os integrantes de agências reguladoras. Os conselheiros só podem ser afastados preventivamente pelo presidente da República após processo administrativo disciplinar.

Mandato

O relatório restaura mandato de dois anos para integrantes do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. A previsão havia sido abolida no texto original da MP 869/2018, mas estava prevista em trechos da Lei Geral de Proteção de Dados Pessoais que foram vetados pela Presidência da República. Na complementação de voto, o deputado Orlando Silva flexibiliza essa regra para os integrantes nomeados pelo Poder Executivo, que podem ser substituídos pelo presidente da República a qualquer tempo.

Composição

O número de membros do Conselho cai de 23 previstos na MP original para 21. São cinco representantes indicados pelo Poder Executivo, três pela sociedade civil, três por instituições científicas, três pelo setor produtivo, um pelo Senado, um pela Câmara dos Deputados, um pelo Conselho Nacional de Justiça, um pelo Conselho Nacional do Ministério Público, um pelo Comitê Gestor da Internet, um por empresários e um por trabalhadores.

Atribuições

O relatório recupera atribuições da ANPD que haviam sido suprimidas pelo texto original da MP 869/2018, como zelar pela observância de segredos comerciais e industriais e realizar auditorias sobre o tratamento de dados pessoais. Mas o relator também mantém competências previstas na medida provisória, como requisitar informações e comunicar às autoridades sobre infrações penais ou descumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD).

Natureza Jurídica

A primeira versão do relatório obrigava a transformação da ANPD em autarquia após dois anos de funcionamento. Na complementação de voto, o deputado Orlando Silva tira esse caráter mandatório, já que poderia ser vetado por invadir competência do Poder Executivo. O projeto de lei de conversão indica apenas que a vinculação à Presidência da República é “transitória” e deve ser reavaliada pelo Poder Executivo.

Punições

A ANPD recupera a competência para aplicar punições, como a suspensão do funcionamento de banco de dados e a proibição do exercício de atividades relacionadas a tratamento de informações. A primeira versão do relatório previa a substituição das penalidades de suspensão total e proibição total por intervenções administrativas. Mas, segundo o deputado Orlando Silva, a medida “imporia um ônus desproporcional sobre o setor produtivo de tratamento de dados”. Na complementação de voto, ele prevê a pena de suspensão das atividades por seis meses, prorrogável por igual período em caso de reincidência.

Multas

São restauradas fontes de receita para a ANPD, como dotações previstas no Orçamento Geral da União, doações e valores apurados com a venda de bens ou com aplicações no mercado financeiro. Mas a autoridade não pode mais ficar com o dinheiro arrecadado com multas. Esses recursos serão repassados ao Fundo de Defesa de Direitos Difusos.

Revisão de Dados

O cidadão que se sentir prejudicado pela análise de dados realizada exclusivamente por computadores pode solicitar a revisão dos resultados por pessoas. A regra vale para os casos em que o tratamento automatizado for usado para fundamentar decisões que afetem os interesses do usuário, como a definição de perfis pessoal, profissional, de consumo ou de crédito. Na complementação de voto, o deputado Orlando Silva prevê que o regulamento da ANPD, ao disciplinar a revisão, deve levar em conta a natureza e o porte da entidade, assim como o volume de operações de tratamento de dados.

Indenizações

Na complementação de voto, o deputado Orlando Silva acatou uma sugestão para permitir a negociação e o eventual pagamento de indenização nos casos em que o usuário seja prejudicado por falhas no tratamento de informações. Por exemplo: se os dados financeiros de uma pessoa são digitados com erro e isso provoca uma restrição de crédito no mercado, o usuário pode negociar o pagamento de uma reparação diretamente com a empresa responsável pela falha. Se houver acordo, o caso não precisa ser comunicado à ANPD.

Reclamações

O usuário pode formalizar reclamações junto à ANPD por eventuais irregularidades no tratamento de dados. Mas a medida vale apenas como um recurso: primeiro, o cidadão deve comprovar que tentou e não conseguiu resolver o problema junto ao responsável direto pela análise dos dados no prazo legal. Na complementação de voto, o deputado Orlando Silva prevê a implantação de mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais.

Comunicação e Compartilhamento

A comunicação ou o uso compartilhado de dados mantidos pelo Poder Público com empresas privadas depende de consentimento do titular. Mas há algumas exceções: quando os dados sejam “manifestamente públicos”; quando a coleta de dados pessoais de crianças for necessária para contatar os pais ou responsáveis legais; para cumprir atribuições legais do serviço público; para a execução de políticas públicas; e para a prevenção de fraudes e irregularidades. Na complementação de voto, o deputado Orlando Silva prevê que a informação à ANPD depende de regulamentação.

Lei de Acesso à Informação

O texto protege o sigilo dos dados pessoais de cidadãos que requerem informações públicas por meio da Lei de Acesso à Informação (Lei 12.527, de 2011). Fica proibido o compartilhamento desses dados com órgãos públicos ou empresas privadas.

Dados de Saúde

É vedada a comunicação ou o uso compartilhado de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica. A intenção é evitar a negação de acesso ou a seleção de risco para seguros médicos e planos de saúde. A primeira versão do relatório só permitia a transferência de informações na hipótese de prestação de serviços de saúde, incluídos os serviços auxiliares de diagnose e terapia. Na complementação de voto, o deputado Orlando Silva incluiu a possibilidade de compartilhamento para garantir a assistência farmacêutica do usuário. O projeto de lei de conversão estabelece critérios para o compartilhamento. A comunicação só pode ocorrer se for “exclusivamente para a tutela da saúde, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária”.

Idosos e Microempresários

O relatório prevê atendimento diferenciado para idosos. A ANPD deve garantir que o tratamento de dados dos maiores de 60 anos seja efetuado “de maneira simples, clara e acessível e adequada ao seu entendimento”. A ANPD também deve editar normas, orientações e procedimentos simplificados e diferenciados para atender as empresas de pequeno porte. Na complementação de voto, o deputado Orlando Silva estendeu o benefício às start ups — empresas emergentes que têm como objetivo inovar, desenvolver ou aprimorar um modelo de negócio.

Conte com a Future

Sua empresa está preparada para a LGPD? Conte com a Future! Preencha o formulário abaixo e saiba como podemos ajudar a sua empresa a se adequar a nova lei!

Fontes: Relatório e complementação de voto do deputado Orlando Silva à MP 869/2019 e com informações da Agência Senado e Agência Brasil; e CryptoID.

Read More

Do CPF na farmácia às redes: como nova lei protegerá seus dados pessoais

O desconto que você ganha na farmácia ou no supermercado apenas ao inscrever o CPF no sistema tem um preço: a sua privacidade. O mesmo preço invisível é cobrado toda vez que você autoriza o acesso a sua localização ou a seus dados em redes sociais e aplicativos de entrega. Todas essas informações, na verdade, têm um valor real. E se por um lado facilitam sua vida, com comodidades oferecidas com base em seu perfil, por outro podem acabar sendo entregues para planos de saúde ou instituições financeiras sem que você saiba. Nesta semana, o Senado aprovou a Lei de Proteção de Dados Pessoais, que ainda precisa ser sancionada pelo presidente Michel Temer, cujo objetivo é aumentar o seu controle sobre o que está ocorrendo com suas próprias informações.

A nova legislação prevê que qualquer tratamento de dados —seja coleta, produção, acesso ou reprodução de informações pessoais— só poderá ser feito com o consentimento expresso do titular ou de seu responsável, no caso de menores de idade. Será preciso, ainda, informar a finalidade específica dessa coleta e, uma vez usadas, as informações devem ser disponibilizadas com facilidade para que o dono delas saiba. Após o uso, precisam ser descartadas. As regras ainda criam um grupo especial, o de dados sensíveis, que inclui informações como origem racial, convicções religiosas, opiniões políticas, filiação a sindicatos e dados referentes à saúde, biometria ou à vida sexual. Esses dados precisam de um consentimento específico, a não ser que sejam para cumprir obrigação legal, planejar políticas públicas ou para que órgãos de pesquisa façam estudos.

“Em aplicativos de supermercado, é melhor receber promoção de produtos que a gente compra do que um monte de promoções aleatórias que não interessam. Desde que a gente saiba que nossos dados de conta vão ser coletados e para que vão ser coletados, não tem problema”, exemplifica Rafael Batista, sócio da IT Secure, uma consultoria de segurança da informação. Segundo Batista, o impacto da nova legislação brasileira, que terá um período de implantação de 18 meses após a sanção presidencial, já pode ser sentido por conta da nova lei europeia, que entrou em vigor no dia 25 de maio na esteira dos escândalos de mal uso de dados por meio do Facebook. Ela também restringe o tipo de dado que pode ser tratado pelas empresas e determina as regras para isso.

Se você usa serviços como Spotify e Cabify recebeu recentemente uma mensagem sobre atualizações na política de privacidade. “Estamos entrando em contato com você hoje para informar que faremos algumas alterações em nossa Política de Privacidade, que entrará em vigor a partir do dia 25 de maio. Essas alterações refletirão requisitos de transparência mais estritos do Regulamento Geral de Proteção de Dados da UE (conhecido como GDPR)”, diz parte da mensagem distribuída pelo Spotify no mês passado. No informativo, a empresa deixa claro, por exemplo, o direito à portabilidade dos dados, traduzido pelo próprio Spotify como “o direito de solicitar uma cópia dos seus dados pessoais em formato eletrônico e o direito de transmitir esses dados pessoais para utilização em serviços de terceiros”.

Agora, o usuário do aplicativo também pode solicitar que seus dados sejam apagados e se opor a que suas informações sejam processadas para fins de marketing direto —aquele que é feito sob medida para o usuário, com base nos interesses dele.

O que estará protegido

A lei brasileira foi inspirada na regulamentação europeia, explica Daniel Rodrigues Pinto, consultor jurídico da Atos, uma empresa de transformação digital. “O Brasil tinha uma legislação esparsa, setorizada, não era tão abrangente: dependia da área do serviço prestado, se tinha relação de consumo ou não”, compara. Após a sanção da nova lei no Brasil, todas as informações sobre os cidadãos brasileiros passarão a estar protegidas. “Um arquivo no RH [recursos humanos] de uma empresa com diversos dados do funcionário, o exame admissional ou demissional. Atestados médicos. O imposto de renda, dados do INSS”, exemplifica Rodrigues. O endereço de e-mail também passa a ser protegido. O login de acesso a sites, o endereço de IP (protocolo de internet) do computador, tudo o que possa identificar direta ou indiretamente o dono daquele dado.

Para Flávia Lefevrè, conselheira da ONG Proteste, a legislação aprovada pelo Senado “traz bastante garantias, assim como o Marco Civil da Internet”, mas não é fácil de implementar. Garantias asseguradas pelo Marco Civil, como a neutralidade da rede e a obrigatoriedade de ordem judicial para retirar conteúdo da internet, não têm sido de fácil aplicação, ela alerta. “No caso dos dados pessoais, tem de haver uma autoridade reguladora e fiscalizadora que vai ficar em cima das empresas, para que elas cumpram os direitos que vierem a ser estabelecidos quando virarem lei”, defende. Este papel, segundo a nova lei, deve ser desempenhado pela Autoridade Nacional de Proteção de Dados (ANDP), cuja criação está contemplada no projeto aprovado pelo Senado.

É essa autarquia, submetida ao Ministério da Justiça, que ficará responsável por cobrar as multas de até 50 milhões de reais das empresas que violarem as novas regras — ou mesmo proibi-las de tratar dados, nos casos mais extremos. Fundador do Data Privacy Brasil, Renato Leite Monteiro torce para que a ANDP seja criada, mas diz que ainda se discute sobre a possibilidade de veto presidencial do trecho que a cria, com base em argumentos jurídicos, políticos e orçamentários. “A entrada em vigor de uma lei geral de proteção de dados sem uma autoridade autônoma e independente pode ter um impacto indesejado na sua eficácia, e até mesmo tornar a lei incompleta”, ele argumenta. A lei também prevê a criação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, formado por 23 representantes de órgãos do Governo e da sociedade civil.

Governo

Para além das relações de consumo, a legislação aprovada pelo Senado também contempla a relação dos cidadãos brasileiros com o poder público. Flávia Lefevrè destaca a batalha dos especialistas envolvidos na elaboração da proposta para a inclusão de um capítulo que obrigasse os poderes públicos a cumprirem obrigações de proteção de dados virtuais. “Muito mais do que as empresas privadas, quem mais coleta dados nossos — e dados sensíveis — são os órgãos públicos, que processam programas sociais, declarações de imposto de renda, programas de saúde, tudo”, diz.

Lefevrè menciona o recente caso do Serpro (Serviço Federal de Processamento de Dados) para provar seu ponto. A “maior empresa pública de tecnologia da informação do mundo”, como o próprio Serpro se apresenta, é investigada pelo Ministério Público Federal (MPF) por venda de dados para outros órgãos públicos, como o Conselho Nacional de Justiça (CNJ). O caso começou a ser apurado pela Comissão de Proteção de Dados do Ministério Público do Distrito Federal e Territórios (MPDFT), mas foi repassado ao MPF por questões de competência, pois o Serpro é um órgão federal. Nesse contexto, a conselheira da Proteste destaca ainda que a legislação aprovada pelo Senado garante direito mesmo sobre dados que já foram tornados públicos — uma das garantias que foi posta em questão ao longo dos debates sobre a lei.

QUAIS SÃO OS OBJETIVOS DE UMA LEI GERAL DE PROTEÇÃO DE DADOS?

Renato Leite Monteiro, fundador do Data Privacy Brasil, resume os principais pontos da lei aprovada pelo Senado, e que ainda precisa ser sancionada pelo presidente da República.
Direito à privacidade: garantir o direito à privacidade e à proteção de dados pessoais dos cidadãos ao permitir um maior controle sobre seus dados, por meio de práticas transparentes e seguras, visando garantir direitos e liberdades fundamentais.

Regras claras para empresas: estabelecer regras claras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais para empresas.

Promover desenvolvimento: fomentar o desenvolvimento econômico e tecnológico numa sociedade movida a dados.

Direito do consumidor: garantir a livre iniciativa, a livre concorrência e a defesa do consumidor.

Fortalecer confiança: aumentar a confiança da sociedade na coleta e uso dos seus dados pessoais.

Segurança jurídica: aumentar a segurança jurídica como um todo no uso e tratamento de dados pessoais.

Fonte: El País – Brasil.

Read More

Receba conteúdos exclusivos