O presidente Jair Bolsonaro converteu em lei a medida provisória que recriou a Autoridade Nacional de Proteção de Dados (ANPD), que tinha sido vetada na gestão de Michel Temer.
O novo órgão estatal terá o desafio de garantir a aplicação da Lei Geral de Proteção de Dados (LGPD), que entra em vigor em 2020 e estabelece uma série de regras para o tratamento das informações de particulares por entes públicos e privados no Brasil. A nova lei veio publicada no Diário Oficial da União (DOU) desta terça-feira, 9, com 14 vetos – alguns deles, segundo especialistas ouvidos pelo Estado, enfraquecem a recém-criada Autoridade.
Será da ANPD a tarefa de averiguar, por exemplo, se empresas do ramo de tecnologia, como redes sociais, informam os usuários e obtêm o consentimento destes antes de manipular informações pessoais. A agência, que inicialmente será vinculada à Presidência da República, também terá o papel de aplicar sanções a quem cometer infrações.
No entanto, um dos vetos de Bolsonaro é o de não permitir, em caso de reincidência ou infração grave que a agência suspenda ou proíba o uso de banco de dados por quem cometer abusos. Além disso, outro veto determinou que o poder público – um dos principais usuários de dados pessoais – não poderá ser punido se descumprir a lei. “É uma mudança profunda, que impacta diretamente a atuação da autoridade”, diz Pablo Cerdeira, diretor do Centro de Tecnologia para o Desenvolvimento da Fundação Getúlio Vargas do Rio de Janeiro (FGV-RJ).
Na visão de Bruno Bioni, professor do Data Privacy Brasil, a redução das sanções tem impacto negativo para o País. “Do que adianta a lei ser boa se o arranjo institucional para a fiscalização não é”, questiona o especialista. Outro veto que chamou a atenção de Bioni é o que não permite à ANPD cobrar taxas e emolumentos por consultas feitas por empresas – o que, em sua visão, permitiria à autoridade ter maior independência e poder de fiscalização, como acontece em autarquias como o Conselho Administrativo de Defesa Econômica (Cade). “É algo que reduz o poder financeiro da ANPD, algo que seria importante para sua autonomia”, diz.
Além disso, também houve veto à obrigatoriedade de que decisões tomadas por algoritmos teriam de ser revisados por pessoas naturais – o argumento é de que isso poderia prejudicar os modelos de negócios de empresas de tecnologia e startups, especialmente na área de inteligência artificial. Também ficou de fora do texto da lei um artigo que trazia requisitos específicos para o cargo de Data Protection Officer (DPO), profissional que será encarregado de cuidar da proteção de dados em empresas e enviar relatórios à ANPD sobre o tema.
Outro ponto que foi vetado foi aquele que protegia os dados pessoais de requerentes de acesso à informação, uma demanda da sociedade civil, mas que também havia sido vetada por Temer ao sancionar a LGPD. Os vetos ainda podem ser derrubados pelo Congresso. Além disso, será necessário um decreto para estruturar a ANPD, bem como a indicação dos diretores do órgão e subsequente sabatina no Senado Federal.
Lei brasileira terá funcionamento parecido com a Europa
Na Europa, onde vigora a Regulação sobre Proteção Geral de Dados (GDPR, na sigla em inglês), legislação bastante parecida com a LGPD, o Google foi multado em € 50 milhões, no começo deste ano, depois que a Justiça da França considerou que a empresa não era transparente com os usuários sobre o trato dos dados pessoais.
Elogiada por especialistas do setor, a criação da ANPD não fica imune a críticas. Um dos pontos questionados é a vinculação do órgão público à Presidência da República, que deve vigorar ao menos em um primeiro momento.
“A lei prevê que a ANPD começa como parte da administração pública direta, mas poderá ser desvinculada da Presidência em um período de dois anos. O ideal seria se a autoridade de dados já fosse criada nos moldes do Cade, da Anatel ou de alguma outra agência regulatória, com maior autonomia técnica e orçamentária”, diz Renato Leite Monteiro, professor do Data Privacy Brasil.
Ele afirma que mais de 100 países com leis de proteção de dados contam com agências reguladoras autônomas em relação ao governo. “É um ponto fundamental para que a lei funcione”.
O tamanho da estrutura prevista para a autoridade de dados também preocupa os especialistas. O texto da MP cita a criação de um Conselho Diretor para a ANPD, com cinco membros, e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, com 23 integrantes. Além disso, indica de maneira genérica que o órgão público contará com uma Corregedoria, uma Ouvidoria, uma área própria de assessoramento jurídico e unidades “necessárias à aplicação do disposto na lei”.
Para Marcelo Crespo, coordenador do curso de Direito Digital da Damásio Educacional, é importante que a ANPD tenha escritórios espalhados pelo país e uma equipe qualificada. “Orientar, fiscalizar e impor multas em todo o Brasil não é algo simples. A princípio, a medida provisória garante uma equipe enxuta para realizar essas tarefas, é necessário que o governo vá além”, afirma.
Desafio para o setor privado
Também há incerteza em relação à abordagem da autoridade de dados com as centenas de empresas que estarão submetidas às novas regras. “Há algumas dúvidas sobre qual será a forma de agir da ANPD. Imaginamos que, em um primeiro momento, a atuação seja mais baseada em denúncias do que na fiscalização, até porque a ANPD ainda estará se estruturando”, diz Adriana Rollo, associada da área de TI do Veirano Advogados.
A lista de sanções previstas na LGPD inclui a multa de até 2% do faturamento para as pessoas jurídicas que desrespeitarem às novas regras. Segundo Adriana, boa parte do setor privado ainda está se adequando às exigências da LGPD. A nova lei, diz ela, demanda mudanças no tratamento de dados de clientes e funcionários, o que afeta desde o setor de recursos humanos até a direção das empresas. “Temos um ano até a entrada em vigor da lei, ainda há tempo para resolver eventuais pendências”. / COLABOROU LUCI RIBEIRO, DE BRASÍLIA
