Opinião

O Congresso e as discussões para alterar a Lei Geral de Proteção de Dados Pessoais

Autores

22 de agosto de 2021, 9h15

Não é novidade que privacidade e proteção de dados se tornaram assuntos recorrentes no nosso dia a dia, seja pelos recentes vazamentos de dados noticiados, novos banners de cookies nos websites, alterações em políticas de privacidade, golpes e fraudes envolvendo aplicativos, e até mesmo campanhas publicitárias enfatizando a importância da privacidade como um valor competitivo no mercado.

O recente projeto realizado pelo Data Privacy Brasil, intitulado "Privacidade e Proteção de Dados no Congresso Nacional" [1], demonstra que, desde a aprovação da Lei Geral de Proteção de Dados Pessoais (LGPD), em agosto de 2018, o tema sobre privacidade e proteção de dados vem ganhando uma crescente relevância no debate legislativo no âmbito do Congresso Nacional. O número de propostas apresentadas envolvendo privacidade e proteção de dados após a aprovação da LGPD já supera o número de projetos apresentados sobre o tema durante o período de 1980 a 2018.

Dos projetos apresentados após a aprovação da LGPD, 36 se propõem a alterar a referida lei sobre os mais diversos temas, entre os quais se destacam os seguintes: o adiamento da vigência da lei e da aplicação das sanções administrativas; a criação de exceções para a aplicação da lei e das sanções administrativas; disposições sobre critérios e limites para aplicação das penalidades administrativas; a definição de conceitos; previsões sobre o direito à portabilidade de dados em diversos setores; e disposições sobre o compartilhamento de dados pessoais.

Alguns projetos de lei apresentados buscam a alteração da LGPD para incluir novas exceções à aplicação da lei, bem como definir limites para aplicação das multas a alguns setores. O PL 5.141/19, por exemplo, pretende alterar o artigo 4º da lei, que dispõe sobre as hipóteses de tratamento de dados pessoais em que a LGPD não se aplica, para incluir o tratamento de dados pessoais realizado para fins exclusivamente religiosos. O PL 365/2020 também propõe a alteração do artigo 4º da lei, para incluir o tratamento de dados pessoais realizado por entidades filantrópicas no rol de exceções à aplicação da LGPD, bem como limitar a multa administrativa a cinco salários mínimos para infrações cometidas por entidades filantrópicas.

Sabe-se que a LGPD é uma lei robusta que prevê diversos direitos aos titulares de dados e impõe aos agentes de tratamento de dados pessoais uma série de obrigações, como a necessidade de atender a solicitações do titular sem custos para este, a manutenção do registro das operações de tratamento de dados pessoais, a indicação do encarregado, bem como a garantia de segurança, boas práticas e governança de dados pessoais. Contudo, a depender do porte econômico de algumas organizações, do volume e tipo de dados pessoais processados, e do número de funcionários, esta carga regulatória pode ser demasiadamente onerosa às organizações e prejudicar suas atividades.

De toda forma, esses critérios não podem ser motivo para excluir organizações e instituições de alguns setores da sujeição à legislação, na medida em que não alteram o direito fundamental dos titulares de dados à proteção de seus dados pessoais, nem desobrigam que as atividades de tratamentos de dados observem a boa-fé e princípios elencados no artigo 6º da lei. O artigo 55-J, inciso XVIII, por exemplo, determina à ANPD que edite normas, orientações e procedimentos simplificados e diferenciados às microempresas e empresas de pequeno porte. Nesse sentido, é importante acompanhar se a autoridade futuramente também regulamentará a aplicação da LGPD para outros setores, como fundações, institutos, organizações não governamentais e da sociedade civil etc.

Outro tema recorrente nos projetos de lei apresentados é a definição de critérios e limites de aplicabilidade das penalidades administrativas previstas nos artigos 52 a 54. Esse é um tema que gera grande preocupação aos agentes de tratamento, considerando que a LGPD prevê diversas sanções administrativas a serem aplicadas pela ANPD, em caso de violações à lei. O Projeto de Lei nº 3420/19, por exemplo, busca alterar o inciso II do artigo 52, para limitar a multa em caso de vazamento de dados pessoais. Por sua vez, o PL 6149/19 propõe que a dosimetria do cálculo do valor-base das multas considere a progressividade temporal, alçando seu pleno valor após dois anos da entrada em vigor da lei.

Em relação à aplicabilidade das sanções administrativas, o artigo 53 da lei é claro ao definir que a ANPD deverá editar regulamento próprio sobre sanções administrativas, que deverá ser objeto de consulta pública, contendo os critérios e metodologias que orientarão o cálculo do valor-base das sanções de multa. Conforme recente comunicado da ANPD [2], o Regulamento de Fiscalização e Aplicação de Sanções Administrativas encontra-se em fase final de análise e, em paralelo, há em andamento estudo sobre as metodologias que orientarão o cálculo do valor-base das sanções de multa.

Como se observa, a LGPD já prevê que a ANPD é o órgão competente para dispor sobre as circunstâncias para a aplicação das sanções administrativas, as formas e dosimetrias para o cálculo do valor-base, e já existe um planejamento dentro da agenda regulatória da autoridade [3] para a aprovação do regulamento e a efetiva aplicação de penalidades, de forma que não se verifica a necessidade de qualquer alteração na LGPD em relação à aplicabilidade das sanções administrativas.

Em relação à portabilidade de dados, o PL 1704/21 pretende alterar o artigo 11, para tornar mandatória e imediata a portabilidade dos dados de saúde sempre que o titular solicitar. Já o PL 2060/21 pretende alterar o capítulo dos direitos dos titulares para dispor sobre direito de defesa e de portabilidade dos titulares em caso de bloqueio de conta em rede social.

Sobre esse ponto, cabe ressaltar que a LGPD já traz aos titulares de dados o direito à portabilidade. O artigo 18, inciso V, garante aos titulares de dados, mediante requisição expressa, a portabilidade dos dados a outro fornecedor de serviço ou produto, observados os segredos comercial e industrial, de acordo com a regulamentação da Autoridade Nacional, que, conforme agenda regulatória da ANPD, deve ter seu processo de elaboração iniciado até o primeiro semestre de 2022.

Por fim, os temas que mais circundam os projetos de lei são a criação de novas definições sobre conceitos e o compartilhamento de dados pessoais por provedores de aplicação de internet. O artigo 5º da LGPD estabelece as definições de alguns conceitos sobre os quais a lei se sustentará e é um dos artigos que mais recebem propostas de alteração para a inclusão de novos conceitos, como "decisão automatizada" (PL 4496/19) "serviço de mensageria privada" (PL 294/21), "informações de usuários de redes sociais" e "rede social" (PL 870/21), "dado neural", "interface cérebro-computador" e "neurotecnologia" (PL 1229/21).

Em relação ao compartilhamento de dados, diante de recentes acontecimentos envolvendo mudanças em políticas de privacidade, os PL 870/21 e 294/21 pretendem acrescentar ao artigo 55 competências à ANPD para a regulamentação e fiscalização das atividades de comercialização, fornecimento e compartilhamento de dados pessoais por provedores de redes sociais e serviços de mensageria privada. No mesmo sentido, o PL 1589/21 inclui no artigo 18 a vedação ao compartilhamento abusivo de dados pessoais por redes sociais, buscadores e serviços de mensageria privada.

A partir dos principais temas discutidos nos projetos de lei apresentados na Câmara e no Senado para alterar a LGPD, percebe-se que a maioria não traz quaisquer elucidações para o vácuo regulatório e possíveis interpretações da lei. Os projetos de lei trazem matérias que são de competência regulatória da ANPD, definições, obrigações e direitos já previstos e abarcados na legislação, discussões casuísticas, de casos particulares e específicos que não cabem em uma lei geral e principiológica de proteção de dados, como a LGPD. Isso demonstra a importância da ANPD, como órgão técnico e competente, para cessar a insegurança jurídica e incertezas regulatórias em relação a diversos pontos relevantes da lei ainda pendentes de regulamentação.

Se antes havia dúvidas sobre se a LGPD iria "pegar" ou não, hoje, considerando o avanço e aprofundamento das discussões sobre privacidade e proteção de dados tanto no Congresso Nacional quanto na sociedade civil, a única dúvida que paira no ar é sobre como e por meio de quais órgãos a lei será regulamentada, interpretada, fiscalizada e aplicada, uma vez que não há mais como discutir que a LGPD já pegou.

Autores

Tags:

Encontrou um erro? Avise nossa equipe!