Vetada na gestão de Michel Temer, o presidente Jair Bolsonaro converteu em lei a medida provisória que recriou a Autoridade Nacional de Proteção de Dados (ANPD).
Para vigor em 2020, competirá ao novo órgão estatal o desafio de garantir a aplicação da Lei Geral de Proteção de Dados (LGPD). Uma série de regras para o tratamento das informações de particulares por entes públicos e privados no Brasil. A nova lei veio publicada no Diário Oficial da União (DOU) terça-feira, 9/07/2019, com 14 vetos, alguns deles, segundo especialistas ouvidos pelo Estado, enfraquecem a recém-criada Autoridade.
À ANPD caberá a tarefa de averiguar se empresas do ramo de tecnologia, como redes sociais, informam os usuários e obtêm o consentimento destes antes de manipular informações pessoais entre outras obrigações. A agência inicialmente será vinculada à Presidência da República e também terá o papel de aplicar sanções a quem cometer infrações.
No entanto, um dos vetos de Bolsonaro é o de não permitir, em caso de reincidência ou infração grave que a agência suspenda ou proíba o uso de banco de dados por quem cometer abusos. Outro veto determinou que o poder público – um dos principais usuários de dados pessoais – não poderá ser punido se descumprir a lei. “É uma mudança profunda, que impacta diretamente a atuação da autoridade”, diz Pablo Cerdeira, diretor do Centro de Tecnologia para o Desenvolvimento da Fundação Getúlio Vargas do Rio de Janeiro (FGV-RJ).
A redução das sanções tem impacto negativo para o País, afirma Bruno Bioni, professor do Data Privacy Brasil. “Do que adianta a lei ser boa se o arranjo institucional para a fiscalização não é”. Outro veto que chamou a atenção de Bioni é o que não permite à ANPD cobrar taxas e emolumentos por consultas feitas por empresas. Em sua visão, permitiria à autoridade ter maior independência e poder de fiscalização, como acontece em autarquias como o Conselho Administrativo de Defesa Econômica (Cade). “É algo que reduz o poder financeiro da ANPD, algo que seria importante para sua autonomia”, diz.
Outro veto se refere à obrigatoriedade de que decisões tomadas por algoritmos teriam de ser revisados por pessoas naturais – o argumento é de que isso poderia prejudicar os modelos de negócios de empresas de tecnologia e startups, especialmente na área de inteligência artificial. Também ficou de fora do texto da lei um artigo que trazia requisitos específicos para o cargo de Data Protection Officer (DPO), profissional que será encarregado de cuidar da proteção de dados em empresas e enviar relatórios à ANPD sobre o tema.
Outra observação cita o veto do ponto que protegia os dados pessoais de requerentes de acesso à informação, uma demanda da sociedade civil, outrora vetado por Temer ao sancionar a LGPD.
Os vetos ainda podem ser derrubados pelo Congresso e, além disso, será necessário um decreto para estruturar a ANPD e a indicação dos diretores.
Na Europa, a lei de Regulação sobre Proteção Geral de Dados (GDPR, na sigla em inglês), tem uma legislação bastante parecida com a lei brasileira LGPD.
A ANPD apesar de elogiada por especialistas, do setor, sofre críticas e uma delas é por sua vinculação à Presidência da República, que deve vigorar em um primeiro momento, prevê-se que poderá ser desvinculada num período de dois anos.
Renato Leite Monteiro, professor do Data Privacy Brasil, considera que “O ideal seria se a autoridade de dados já fosse criada nos moldes do Cade, da Anatel ou de alguma outra agência regulatória, com maior autonomia técnica e orçamentária” e afirma que mais de 100 países com leis de proteção de dados contam com agências reguladoras autônomas em relação ao governo. “É um ponto fundamental para que a lei funcione”.
Já no setor privado, existe uma incerteza de, como a ANPD abordará o grande número de empresas submetidas às novas regras. Acredita-se que, em um primeiro momento, a atuação seja mais baseada em denúncias do que na fiscalização, até porque a “ANPD ainda estará se estruturando”, diz Adriana Rollo, associada da área de TI do Veirano Advogados.
A lista de sanções previstas na LGPD inclui a multa de até 2% do faturamento para as pessoas jurídicas que desrespeitarem as novas regras.
Vi lá no Estadão.