Nos últimos dias de 2018, foi publicado o texto da Medida Provisória n° 869 (MP 869/2018). Além de alterar importantes aspectos da Lei n° 13.709/2018, também chamada de Lei Geral de Proteção de Dados (LGPD), a MP criou a Autoridade Nacional de Proteção de Dados (ANPD).

Importante ressaltar que as Medidas Provisórias possuem aplicação imediata, mas a conversão em lei está condicionada à apreciação do Congresso Nacional no prazo de 60 dias (prorrogável por igual período). Assim, nos próximos meses, o novo Congresso eleito definirá a situação.

Acompanhar de perto essas alterações legislativas é fundamental para empresas que façam uso, coleta, armazenamento e tratamento de dados pessoais de indivíduos em geral, sejam eles consumidores finais, funcionários ou acionistas.

Por essa razão, trazemos as principais alterações que a MP gerou na Lei Geral de Proteção de Dados:

Criação da Autoridade Nacional de Proteção de Dados (ANPD)

Composta por 5 diretores e vinculada diretamente à Presidência da República, a ANPD contará com um Conselho Nacional de Proteção de Dados, composto por 23 representantes dos mais diversos setores.

Alteração de competências 

  • A ANPD deverá se articular com as autoridades reguladoras públicas (como, BACEN e agências reguladoras) para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação;
  • Não estará mais dentre as suas obrigações elaborar a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
  • Um fórum permanente de comunicação com órgãos e entidades da administração pública que se sejam responsáveis pela regulação de setores específicos da atividade econômica e governamental, com foco em facilitar as competências regulatória, fiscalizatória e punitiva da ANPD.

Data Protection Officer (DPO) não precisa mais ser uma Pessoa Natural

A partir da alteração, pessoas jurídicas, comitês e outros grupos de trabalho poderão exercer as funções de DPO. Mais do que isso, a MP legitima a contratação de prestadores de serviço externos (terceirização) para a execução dos trabalhos.

Dados de saúde podem ser compartilhados

Apenas quando houver finalidade de prestação de serviços de saúde suplementar, mesmo que haja objetivo de vantagem econômico. Manteve-se, no entanto, a proibição de comercializar de forma simples e pura os dados de saúde (raw data).

Obrigação de transparência e informações para titular dos dados foram diminuídas

Isso quando o tratamento estiver plenamente fundamentado em bases legais de cumprimento de obrigação legal e de política pública.

Revogada a revisão de decisões totalmente automatizadas por pessoa natural

Até antes da MP, quando ocorresse afetação de interesses dos titulares dos dados em razão de decisões 100% automatizadas, era necessária a revisão por pessoa natural. A partir de agora, os interessados permanecem com o direito, mas foi atribuída à ANPD a competência de requisitar informações aos controladores e operadores que realizem as operações de tratamento desses dados.

Ampliou-se o compartilhamento de dados pessoais em posse do Poder Público com entes privados

Isso poderá acontecer nas seguintes circunstâncias:

  • quando houver previsão legal ou através de instrumentos jurídicos administrativos
  • quando o fim for a prevenção a fraudes, segurança e integridade do titular de dados
  • quando os dados forem publicamente acessíveis
  • quando o ente privado indicar um encarregado

Você vai se interessar também:

Do piloto à escala: pesquisa aponta principais desafios para expandir soluções de IoT

Gartner divulga estudo com tendências de IoT até 2023

A partir dessas e outras mudanças legislativas, que vêm ocorrendo nos últimos meses, as empresas terão a necessidade de elevar o padrão de governança sobre as bases de dados pessoais, com a implementação de medidas de controles técnicos e administrativos que possam garantir a proteção e segurança das informações.

A adoção de tecnologias digitais e de soluções de IoT, claro, elevou os padrões de autonomia e a eficiência das empresas, mas também trouxe a necessidade de mudanças em todos os aspectos da cibersegurança no mundo digital. As alterações na Lei Geral de Proteção de Dados são apenas um dos passos que prometem reestruturar as rotinas de trabalho de organizações dos mais diversos setores que desejam consolidar sua versão 4.0.

*alguns dados do presente artigo foram extraídos de publicações dos escritórios Peck Advogados e Baptista Luz Advogados