As alterações na LGPD e a criação da Autoridade Nacional de Proteção de Dados

A Medida Provisória 869, de 27 de dezembro de 2018 (MP 869), não apenas criou uma Autoridade Nacional de Proteção de Dados (ANPD), mas também alterou diversos dispositivos da Lei Geral de Proteção de Dados (Lei 13.709 — LGPD). Algumas dessas modificações impactam de maneira relevante os interesses dos agentes de tratamento (empresas e poder público) e dos titulares de dados pessoais.

Uma dessas mudanças diz respeito à vigência da própria LGPD, inicialmente prevista para fevereiro de 2020. Com a MP 869, a lei está vigente desde 28/12/2018 no que se refere à criação da ANPD e estará vigente a partir de agosto de 2020 em relação aos seus demais aspectos. De um ponto de vista prático, as empresas e o poder público ganharam seis meses para se adaptar ao texto legal, e o novo governo, recém-empossado, deverá se movimentar para criar, de fato, a ANPD.

No entanto, o que realmente chama a atenção na MP 869 são as alterações que potencialmente podem expor os titulares de dados pessoais e reduzir a sua proteção.

Um exemplo disso está na modificação do artigo 11 da LGPD, que trata das hipóteses legais para tratamento de dados sensíveis. A MP 869 passou a permitir expressamente o compartilhamento de dados sensíveis quando houver “necessidade de comunicação para a adequada prestação de serviços de saúde suplementar”. Essa modificação permitirá que planos e seguros privados de assistência médica à saúde tenham acesso a informações referentes à origem racial, étnica, de convicção religiosa, de opinião política, de saúde, genéticos ou biométricos. Essa exposição, potencialmente, pode permitir a discriminação de usuários, sendo fundamental que haja, ao menos, uma regulamentação que especifique claramente quais informações (e sob quais circunstâncias) podem ser compartilhadas.

Também foi modificado o artigo 20 da LGPD, que estabelece o direito do titular dos dados de solicitar a revisão, por uma pessoa natural, de decisões tomadas exclusivamente com base em tratamento automatizado de dados (ou seja, sem interferência humana) que afetem seus interesses (como as decisões referentes a perfis pessoais, profissionais, de consumo e de crédito). A expressão “pessoa natural” foi retirada do artigo 20, de modo que a redação dada pela MP 869 pode sujeitar o titular a revisões automatizadas de decisões automatizadas, o que coloca em xeque a efetividade desse direito subjetivo.

Outra alteração que pode impactar os titulares de dados (essa um pouco mais sutil) está na modificação do artigo 4º, II, b da LGPD, cujo texto original dizia que a lei não se aplicava aos dados coletados para finalidades acadêmicas, obrigando, no entanto, que fossem observados os requisitos dos artigos 7º e 11 (que tratam das hipóteses legais de tratamento de dados pessoais e de dados sensíveis, respectivamente). A alteração exclui a obrigatoriedade de se observarem os referidos dispositivos legais, eliminando, de fato, a aplicação da LGPD para tratamento de dados com finalidades acadêmicas. Diante disso, esse tipo de tratamento deverá seguir os preceitos legais e constitucionais que conciliem os interesses acadêmicos (como a liberdade de expressão) e os direitos dos titulares dos dados (como a privacidade). Apesar da alteração introduzida pela MP 869, os princípios trazidos pela LGPD para o tratamento de dados podem ser extremamente úteis para conciliar tais interesses.

O conceito de “encarregado” também foi alterado pela MP 869, sendo que agora o encarregado é a “pessoa” (e não a “pessoa natural”, como constava antes) indicada pelo controlador para atuar como canal de comunicação com os titulares dos dados e a ANPD. Dessa forma, fica aberta a porta para que os controladores indiquem pessoas jurídicas para essa atividade. A mudança é importante e tem um duplo efeito. Por um lado, ela cria um novo nicho de negócios (de empresas que podem se especializar para auxiliar os controladores nessa atividade). Por outro lado, contudo, essa modificação afasta do controlador a obrigação de nomear uma pessoa específica para essa atividade, o que potencialmente pode gerar um desengajamento em relação ao tema dos dados pessoais. Uma alternativa mais interessante para esse assunto seria restringir a obrigação de possuir uma “pessoa natural” como encarregado para grandes controladores de dados, que tenham como atividade principal o tratamento sistemático e em grande escala de informações pessoais[1].

A MP 869 também trouxe um conjunto de modificações que proporcionam uma maior “liberdade” ao poder público para tratar dados pessoais.

Um exemplo disso foi a supressão dos parágrafos 1º e 2º do artigo 7º da LGPD, que determinavam a necessidade de que o titular dos dados fosse informado das situações de tratamento de suas informações pessoais para os casos de cumprimento de obrigação legal ou regulatória do controlador ou de tratamento e uso compartilhado de dados pela administração pública para a execução de políticas públicas ou com respaldo em contratos, convênios ou instrumentos congêneres celebrados pela administração pública. A supressão dessa obrigação de informação representa um retrocesso na proteção dos direitos do titular. Com efeito, embora as hipóteses de tratamento retro mencionadas não dependam do consentimento do titular, é fundamental que o mesmo, ao menos, saiba que suas informações estão transitando entre bancos de dados diversos, até para que os titulares possam fiscalizar a ocorrência de eventuais irregularidades.

Ainda no contexto do tratamento de dados pelo poder público, a MP 869 proporcionou uma maior liberdade para que as pessoas jurídicas de direito público permitam que o tratamento de dados pessoais realizado sob a sua tutela seja efetuado por pessoas jurídicas de direito privado nas hipóteses relacionadas à segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais. Com as alterações da MP 869 nos parágrafos 2º, 3º e 4º do artigo 4º da LGPD, esse tipo de delegação não exige mais um informe específico à ANPD nem a elaboração de relatórios de impacto à proteção de dados pessoais.

A MP 869 ainda aumentou o rol de situações que permitem a transferência de dados pessoais aos quais o poder público tenha acesso para entidades de caráter privado, previsto no artigo 26 da LGPD. Dentre as possibilidades incluídas pela MP 869 figuram as situações em que seja nomeado um encarregado; a transferência de dados com base em contratos, convênios e instrumentos congêneres firmados pela administração pública (cuja existência deverá ser comunicada à autoridade nacional); a prevenção de fraudes e irregularidades; o resguardo da segurança e integridade do titular dos dados; ou a situação de dados acessíveis publicamente.

Esse conjunto de modificações da LGPD cria mais possibilidades de tratamento e compartilhamento de dados pessoais por parte do poder público e, ao mesmo tempo, suprime direitos de informação dos titulares de dados. Essa situação não é confortável, já que uma Lei de Proteção de Dados também deve proteger os titulares em relação ao uso das suas informações pessoais pelo Estado.

Especificamente em relação à ANPD, a MP 869 determinou a criação, “sem aumento de despesa”, de um órgão integrante da Presidência da República (artigo 55-A), a quem se assegura “autonomia técnica” (artigo 55-B). O órgão máximo da ANPD é o Conselho Diretor (artigo 55-C, I), com um mandato de quatro anos, e composto de membros que ocuparão cargos em comissão e que serão nomeados pelo presidente da República (artigo 55-D). Para garantir uma certa estabilidade aos membros do Conselho Diretor, o artigo 55-E estabelece que os mesmos só poderão ser afastados em virtude de renúncia, condenação judicial transitada em julgado ou pena de demissão decorrente de processo administrativo disciplinar, sendo que o afastamento preventivo e o julgamento competem ao presidente da República.

Além do Conselho Diretor, de acordo com o artigo 55-C da LGPD, a ANPD também possuirá unidades administrativas e unidades especializadas, um órgão de assessoramento jurídico próprio, uma ouvidoria, uma corregedoria e um “Conselho Nacional de Proteção de Dados Pessoais e da Privacidade”, o qual será composto de membros dos Três Poderes, do Ministério Público e da sociedade civil (artigo 58-A da LGPD).

Embora a ANPD tenha sido formalmente criada pela MP 869, fica uma dúvida a respeito de sua efetiva independência e autonomia para conduzir as questões relativas à proteção de dados pessoais no Brasil. De fato, um dos grandes desafios desse tipo de entidade é o de manter uma neutralidade tanto em relação ao setor privado como em relação ao governo, já que ambos são controladores e operadores de dados pessoais.

A ANPD, tal como proposta, pode seguir a tradição de estar vinculada a decisões políticas. O mandato de quatro anos dos membros do Conselho Diretor, coincidente com o mandato do presidente da República, pode favorecer alterações constantes na estrutura e nos rumos da ANPD, dificultando a institucionalização deste órgão e de suas políticas públicas. Também se coloca em dúvida o poder que a ANPD terá para fiscalizar de maneira efetiva as ações do poder público em relação aos dados pessoais.

A MP 869 ainda deverá ser discutida pelo Congresso Nacional, havendo, portanto, uma oportunidade no horizonte para que os temas ali regulados sejam melhor encaminhados, de modo a preservar os principais objetivos da LGPD, especialmente no que diz respeito ao equilíbrio entre os interesses de empresas, poder público e titulares de dados pessoais e à criação de uma “Agência” Nacional de Proteção de Dados (mais do que de uma “Autoridade”) com garantias efetivas de independência e autonomia que lhe permitam, inclusive, fiscalizar a atuação do próprio poder público.