As alterações na Lei Geral de Proteção de Dados (LGPD): principais questões

Foi publicada no último mês de julho a Lei nº 13.853/2019, que, por sua vez, alterou a Lei Geral de Proteção de Dados (LGPD) .
Resultado da conversão da Medida Provisória nº 869/2018 (publicada ainda no Governo Temer) em lei federal pelo Congresso Nacional, a Lei nº 13.853/2019 modificou diversos pontos da LGPD que eram objetos de debates e contrapontos de especialistas.

As principais alterações aprovadas pelo Congresso Nacional quanto ao texto da LGPD foram as seguintes:

  1. Quanto ao Encarregado de Proteção de Dados (Data Protection OfficerDPO): o Encarregado de Proteção de Dados (DPO) das organizações agora poderá ser uma pessoa física ou jurídica, ao contrário do que estabelecia o texto original da LGPD, que determinava que a função seria de competência exclusiva de pessoas físicas. Bem como, os operadores de dados pessoais também deverão indicar um DPO próprio, conforme previsto no novo texto (art. 5º, inc. VIII).

Uma outra questão relevante foi o veto presidencial quanto à proposta legislativa de indicação de requisitos específicos para o exercício da atividade do DPO. Segundo o texto aprovado originalmente pelo Congresso, todo DPO deveria ser detentor de conhecimento jurídico- regulatório específico para atividades de proteção de dados.

Contudo, tal previsão foi vetada, com a alegação de que criaria uma eventual “reserva de mercado injustificada” e que poderia ser de difícil implementação em pequenas e médias organizações.

  1. Quanto a Autoridade Nacional de Proteção de Dados (ANPD): A ANPD foi mantida nos moldes gerais propostos pela MP nº 869/18, sendo inicialmente um órgão vinculado diretamente à Presidência da República e cuja natureza jurídica poderá ser revista em até 2 (dois) anos após a implementação efetiva da sua estrutura regimental (art. 55-A, § 2º). Foi garantida e reforçada a função regulatória e fiscalizatória/sancionatória da ANPD no tocante ao tema da guarda de dados pessoais no Brasil.
  2. Questões de Saúde: com relação aos dispositivos da LGPD sobre o tratamento de dados pessoais de saúde, foi incluída redação prevendo que serviços de saúde ou autoridades sanitárias, além dos profissionais da área de saúde, podem tratar dados pessoais para a tutela da saúde do paciente, ainda que não contem com o seu consentimento prévio (art. 11, inc. II, alínea f).

Também foi incluída redação relevante aos planos de saúde, proibindo que as operadoras de planos de saúde procedam com o tratamento e/ou qualquer tipo de compartilhamento de dados de saúde de seus clientes com terceiros que possam servir para eventual seleção de riscos na contratação e/ou exclusão de beneficiários (art. 11, § 5º).

  1. Direitos dos titulares: a redação original da LGPD previa que o responsável pelo tratamento de dados deveria informar eventual correção, eliminação, anonimização ou o bloqueio dos dados aos seus agentes de tratamento, para que estes realizassem o mesmo procedimento.

De acordo com o acréscimo incluído pela Lei nº 13.853/2019 na LGPD, o responsável não precisará fazer tal comunicação, nos casos em que isso seja “comprovadamente impossível ou implique esforço desproporcional” (art. 18, § 6º).

Tal redação, inicialmente benéfica às empresas que se utilizam de terceiros para fins de tratamento de dados, pode eventualmente prejudicar os titulares dos dados, sendo a questão um possível ponto de conflitos interpretativos quanto à aplicação da norma no futuro.

  1. Penalidades: Por fim, foi acrescentada previsão específica na LGPD prevendo que vazamentos individuais de dados poderão ser objetos de conciliação direta (judicial ou extrajudicial) entre controlador e titular. Apenas no caso de não haver acordo entre as partes, o controlador estará sujeito às penalidades previstas na LGPD – sendo essa, portanto, uma importante previsão para a resolução não litigiosa de casos de vazamentos individuais de dados (art. 52, §7º).

Assim, finalmente o Brasil possui o texto definitivo da sua principal norma no tocante ao tema da proteção de dados pessoais. Com isso, todas as organizações, não somente podem – mas devem – iniciar o longo trabalho de adequação de suas políticas e procedimentos internos para essa nova realidade legal.

Bem como, a partir da efetiva implementação da ANPD (que por sua vez ainda terá a sua composição inicial confirmada pelo Governo Federal), serão publicados os primeiros regulamentos, normatizações e guias específicos, que trarão diretrizes específicas sobre as práticas de proteção de dados que deverão ser adotadas pelas empresas, entes públicos e terceiro setor.

Todavia, tendo em vista a proximidade da efetiva vigência da LGPD – que entrará em vigor precisamente em 24 de agosto de 2020 – todas as organizações devem correr contra o tempo para a implementação de práticas condizentes com os requisitos da lei, sob pena de serem as primeiras a sofrer as pesadas sanções impostas pela norma. E nunca custa rememorar, apenas as multas administrativas da LGPD podem chegar em até 2% (dois por cento) do faturamento bruto do grupo econômico envolvido ou até R$ 50 milhões por infração, fora outras penalidades previstas na lei.

Autor: Luiz Phillip Nagy Guarani Moreira