O governo federal vai enviar ao Congresso Nacional uma proposta para criar a Autoridade Nacional de Proteção de Dados (ANPD). Prevista inicialmente no projeto de proteção de dados pessoais sancionado parcialmente nesta terça-feira, 14, a criação do órgão foi vetada por vício de iniciativa – somente o Executivo pode sugerir a constituição de um novo órgão.
Na prática, o texto cria um marco regulatório para proteger o uso de dados pessoais de cidadãos. Agora, haverá regras mais claras e transparentes para os setores público e privado, definindo normas também para a transferência e qualquer tratamento das informações. Pela lei, dados referentes a crianças e adolescentes, por exemplo, poderão constar em um banco de dados apenas se houver autorização dos pais.
Além de estabelecer as situações de proteção, a lei também define quais dados podem passar por análise sem necessidade de aprovação prévia. Proteção do crédito, como consultas a serviços como Serasa e SPC, execução de políticas públicas e cumprimento de obrigação legal são alguns exemplos. As regras também limitam o uso de dados classificados como sensíveis, que possam gerar qualquer tipo de discriminação.
Junto à rejeição da criação da ANPD, houve mais quatro vetos. O inciso dois do artigo 23 poderia inviabilizar alguns bancos de dados importantes para o reconhecimento de direitos dos cidadãos, como o da Previdência Social e o Cadastro Nacional de Informações Sociais, além de afetar investigações no Sistema Financeiro Nacional.
Outros vetos tratam da previsão de compartilhamento de dados pessoais entre o poder público e entidades privadas; a necessidade de comunicação de dados pessoais entre órgãos e entidades de direito, o que poderia tornar inviável o exercício de ações públicas de fiscalização, controle e polícia administrativa.
Por fim, incisos do artigo 52 que tratavam de possíveis sanções administrativas, punições que levassem a suspensão de alguns bancos de dados, foram vetados por possível risco de impacto negativo em instituições financeiras e na estabilidade do sistema financeiro nacional. As informações são da Agência Brasil.
Análise
Para o dr. Gustavo Artese, da Artese e Advogados, um especialista em questões de proteção de dados e privacidade, tanto no âmbito nacional como internacional (GDPR), apesar da sanção, foram vetados dispositivos do texto que tratavam de questões específicas relacionadas ao uso de dados pessoais pelo Poder Público e às sanções por descumprimento. Além disso, e de maior relevância, houve o veto à criação da Autoridade Nacional de Proteção de Dados Pessoais (ANPD).
Para ele, o veto à ANPD já era esperado, por força de avaliações que indicavam a inconstitucionalidade da criação pelo Legislativo de órgão que gere despesas ao Executivo. No entanto, o próprio Presidente da República já sinalizou que enviará um projeto de lei à Câmara dos Deputados para instituir a ANPD em termos semelhantes ao conteúdo vetado, de modo a corrigir o vício de iniciativa indicado. Dessa forma, ainda que tenha havido o veto a esta questão na LGPD, é inequívoco que o Brasil contará com uma autoridade especializada em proteção de dados pessoais.
"A ANPD seria um órgão federal exclusivamente voltado às demandas de proteção de dados pessoais, especialmente em termos de regulamentação e fiscalização. A existência de uma instituição dessa natureza traz maior segurança jurídica e facilita a aplicação das novas regras, além de levar o Brasil à adequação a requisitos para transferência internacional de dados exigidos por diversos países", ressalta Artese.
Ainda, vale ressaltar que, dentre outros pontos, a LGPD institui os direitos dos titulares dos dados, os requisitos para o tratamento de dados pessoais, as condições para a transferência internacional de dados pessoais e o rol de dados pessoais considerados sensíveis, ou seja, aqueles que merecem resguardas especiais. "Além disso, há a regulação de maneira específica para o tratamento de dados pelo Poder Público e a previsão de sanções substanciais estabelecidas para os casos de infração, como multa diária de até 2% do faturamento anual da entidade violadora até o limite de R$ 50 milhões", enfatiza.
A LGPD entrará em vigor 18 meses após sua publicação oficial, conforme previsto no art. 64. Assim, seus efeitos apenas devem ocorrer a partir de 2020.