Criação da Autoridade Nacional de Proteção de Dados Pessoais (ANPD) e modificação da Lei brasileira de proteção de dados pessoais (LGPD)

As empresas europeias que possuem operações de tratamento de dados pessoais no território brasileiro deverão se atentar às disposições da recém-publicada Lei nº 13.853/19, que alterou a Lei Geral de Proteção de Dados – LGPD – e que criou a Autoridade Nacional de Proteção de Dados Pessoais (ANPD).

A autoridade já havia sido prevista pela LGPD, mas foi objeto de veto presidencial na ocasião. Na época, o então Presidente Michel Temer vetou a criação da autoridade sob as justificativas de ausência de verbas para tanto e a ausência de competência do Legislativo para criar uma autarquia com independência orçamentária, gerando críticas no sentido de que a ausência da autoridade enfraqueceria a aplicação da nova lei de proteção de dados pessoais.

Agora, com a publicação da nova lei, a ANPD poderá editar normas e procedimentos sobre a política de proteção de dados pessoais, nos termos da LGPD, bem como tomar decisões na esfera administrativa acerca de eventuais interpretações sobre a matéria, podendo firmar compromisso com agentes de tratamento para eliminar irregularidades ou incertezas jurídicas. Funcionando com independência técnica, mas vinculado ao Executivo, o órgão criado terá poder de requisitar informações, fiscalizar o cumprimento da legislação de dados pessoais e, ainda, aplicar sanções. 

A legislação europeia serviu de espelho à elaboração do texto da LGPD, que deverá ser observada quando a operação de tratamento de dados for realizada no território brasileiro, quando a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional ou, por fim, quando os dados objeto do tratamento tenham sido coletados no território nacional. Contudo, em seu atual texto, a legislação brasileira diverge da europeia, a qual, por sua vez, obriga todas as empresas localizadas fora da União Europeia que desejam tratar os dados de cidadãos europeus a se submeterem à legislação.

A regulamentação qualifica os “dados pessoais” como qualquer informação que possa ser utilizada para identificar uma pessoa, incluindo o nome, sobrenome, endereço, endereço de e-mail e os dados referentes à sua localização.

Entre as principais mudanças trazidas pela Lei nº 13.853/19 à LGPD, além da criação da ANPD, podemos mencionar:

– Alteração da definição de “encarregado” de dados – o chamado Data Protection Officer, ou DPO – que pode ser tanto pessoa física quanto pessoa jurídica e que figura como a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD; 

– Possibilidade de tratamentos de dados públicos para outra finalidade que não aquela para a qual os dados foram inicialmente coletados, se observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do seu titular;

– Impossibilidade de tratamento de dados, pelas operadoras de planos privados de assistência à saúde, destinado à seleção de riscos na contratação de modalidades e na contratação/exclusão de beneficiários;

– Inclusão da disposição que prevê a destinação dos valores arrecadados com o recolhimento das multas ao Fundo de Defesa de Direitos Difusos;

– Atribuição de autonomia técnica e decisória à ANPD;

– Previsão de disposições específicas às microempresas, empresas de pequeno porte e startups, indicando a competência da ANPD para prever procedimentos diferenciados a esses tipos de empresas para facilitar sua adequação às disposições da LGPD;

– Remoção da previsão de penalidade de suspensão parcial, por até 6 meses, do funcionamento do banco de dados ou suspensão absoluta do tratamento de dados pessoais por até 6 meses.

No que diz respeito às outras previsões relevantes trazidas pela LGPD, a regulamentação dispõe que a transferência de dados pessoais localizados no Brasil a outros países é possível sob duas condições concomitantes:

– Se o país destinatário possui um nível de proteção de dados pessoais similar ao do Brasil; e

– Se a empresa que recebe os dados fornece uma garantia de conformidade aos princípios estabelecidos pela lei brasileira. 

Para as empresas que não respeitarem as novas obrigações, a regulamentação prevê, além da aplicação de advertências com prazo para a adoção de medidas corretivas, o pagamento de uma multa de 2% sobre o faturamento anual referente ao último exercício da empresa, ao limite de R$ 50 milhões. Por este motivo, é importante que as empresas que desejam coletar ou tratar dados pessoais dentro do território brasileiro tenham conhecimento da nova regulamentação e das alterações trazidas pela Lei 13.853/19.

Nesse sentido, o Manucci Advogados se encontra à disposição para aconselhar as empresas a adotarem as medidas necessárias para adaptar suas atividades às disposições dos novos diplomas legais.

Dra. Gabriela Leite – Advogada do Manucci Advogados

Por