Atenção: tabela comparativa na versão em pdf!
O Senado Federal aprovou ontem, 29 de maio de 2019, a Medida Provisória (MP) nº 869/2018 que traz diversas alterações à Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018). Além das alterações já promovidas pelo então presidente Michel Temer em dezembro de 2018, destacam-se no novo texto (i) a possibilidade de proibição definitiva das atividades de tratamento de dados para entidades infratoras; (ii) a necessidade de o encarregado (DPO) ter conhecimento jurídico regulatório na matéria; (iii) a flexibilização no tratamento de dados de saúde e dados pessoais publicamente acessíveis; e (iv) a efetiva criação da Autoridade Nacional de Proteção de Dados, como órgão de natureza jurídica transitória ligado à Presidência da República.
Importante lembrar que a LGPD, no momento de sua promulgação, em agosto de 2018, sofreu vetos presidenciais de Michel Temer, principalmente no que se refere aos artigos que criavam e organizavam a ANPD e o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. Como as Medidas Provisórias têm sua conversão em lei condicionada à apreciação do Congresso Nacional, era essencial que o texto da MP nº 869/2018 fosse votado até 03 de junho de 2019 para que a ANPD não deixasse de existir.
Apresentadas 176 propostas de Emendas à MP n° 869/18, foi criada uma Comissão Mista destinada à apreciação de tais propostas, que concluiu pela aprovação, total ou parcial, de algumas delas, ensejando no Projeto de Lei de Conversão nº 7/2019.
Este projeto de lei foi aprovado pelas duas casas do Congresso Nacional, estruturando a redação final da MP n° 869/18, apta a ser convertida em Lei. Dentre as principais alterações trazidas nessa redação final da MP n° 869/18, destacam-se:
- A Autoridade Nacional de Proteção de Dados será vinculada à Presidência da República, podendo ser, após dois anos, a sua natureza jurídica alterada e até, eventualmente, transformada em entidade da administração pública federal indireta, submetida a regime autárquico especial.
- O encarregado, também conhecido como Data Protection Officer(DPO), deverá demonstrar ter conhecimento jurídico regulatório na matéria e, conforme regulação da ANPD, deverá ser indicado pelo controlador e, também, pelo operador.
- A lista de penalidades aumentou, havendo a possibilidade de proibição das atividades de tratamento de dados por entidades infratoras, incluindo poder público.
- Os dados de acesso público ou tornados públicos pelo titular poderão ser utilizados pelos controladores para finalidades distintas daquelas para as quais o dado foi publicado, respeitos os princípios da lei.
- A obrigação de o controlador informar os agentes de tratamento sobre a necessidade de eliminação, anonimização ou o bloqueio dos dados, poderá ser dispensada caso seja comprovadamente impossível ou implique esforço desproporcional.
- A possibilidade de transferência de dados pessoais de responsabilidade do poder público para entidades privadas quando: (i) houver previsão legal ou em instrumentos jurídicos administrativos; (ii) a transferência for para fins de prevenção à fraude, segurança e integridade do titular dos dados; e (iii) os dados forem publicamente acessíveis.
- Os dados de saúde poderão ser compartilhados para fins de obtenção de vantagem econômica quando a finalidade for a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, desde que seja em benefício dos interesses dos titulares de dados.
- Ainda, houve um alargamento do escopo de quem poderá se valer da base legal da tutela da saúde, para incluir não somente profissionais da saúde, mas também serviços de saúde;
- Vedação expressa foi incluída, proibindo planos de saúde e empresas de assistência à saúde utilizarem dados de saúde para fins de análise de riscos para fins de contratação ou para exclusão de beneficiários.
- As decisões automatizadas poderão ser questionadas pelo titular, e a revisão poderá ser feita por pessoa natural, observadas as orientações da pela Autoridade Nacional;
- Será necessário comprovar a apresentação de requisições não solucionadas pelo controlador no prazo estabelecido por regulamentação para que estas possam ser analisadas pela ANPD, criando, assim, um novo requisito de admissão para os processos administrativos perante a autoridade;
- A Autoridade Nacional editará normas, orientações e procedimentos simplificados e diferenciados para microempresas e empresas de pequeno porte, bem como para startups ou empresas de inovação.
Para facilitar a verificação das alterações, apresentamos também uma tabela sumária indicando o texto original sancionado em agosto de 2018 e como ficou após as alterações aprovadas pelo Senado nesta semana.
Qualquer dúvida, estamos à disposição.
