Sancionado pelo Presidente da República, Jair Bolsonaro, no dia 09 de julho, o projeto de lei de conversão 7/2019 (MP nº 869/2018) – que altera a Lei Geral de Proteção de Dados Pessoais (LGPD) e cria o órgão regulatório Autoridade Nacional de Proteção de Dados Pessoais (ANPD) – tem um impacto positivo para o mercado.
Em entrevista exclusiva à Security Report, Patricia Peck, advogada e uma das maiores especialistas brasileiras em Direito Digital, sócia da PG Advogados, explica ponto a ponto dos 14 vetos e qual o impacto de cada um no mercado.
Security Report: Quais foram os dispositivos vetados no PL 7/2019 (MP 869/2018)?
Patrícia Peck: Dos 14 dispositivos vetados, a maioria refere-se à governança e estrutura com a fiscalização e também ao DPO. Dentre eles estão os que tratam sobre a revisão de decisões automatizadas (Art. 20, § 3º); proteção de dados pessoais de requerentes de acesso à informação (Art. 23, IV); exigências referentes ao encarregado (Art. 41,§4º, I, II, III); sanções (Art. 52, X, XI, XII e § 6º, I e II); receitas da ANPD (Art. 55-L, V); disposição sobre revisão de decisões automatizadas (Art. 20, § 3º); exigências referentes ao encarregado (Art. 41,§4º, I, II, III); e as sanções (Art. 52, X, XI, XII e § 6º, I e II).
Security Report: Em relação à revisão de decisões automatizadas (Art. 20, § 3º) podemos dizer que houve uma flexibilização?
Patrícia Peck: O presidente Bolsonaro acatou a solicitação da Brasscom sob o argumento de que “a obrigatoriedade da revisão de decisões automatizadas terá impacto perverso no desenvolvimento de startups e novos empreendedores no país, impactando também a adoção de ferramentas de inteligência artificial e big data essenciais para o sucesso da transformação digital da economia brasileira.” Isso significa que não haverá mais a possibilidade da revisão por pessoa humana de uma decisão automatizada.
Security Report: O que significa o veto que dispõe sobre a Proteção de dados pessoais de requerentes de acesso à informação (Art. 23, IV)?
Patrícia Peck: Os dados pessoais do requerente de acesso à informação não serão protegidos e preservados no âmbito da Lei no 12.527, de 18 de novembro de 2011, seu compartilhamento, na esfera do poder público e com pessoas jurídicas de direito privado, não será vedado.
Security Report: Também foi vetado o Art. 41,§4º, I, II, III, referente às exigências antes determinadas ao DPO. O que isso significa para o mercado?
Patrícia Peck: O veto retirou a obrigatoriedade do encarregado, que é o DPO, ter conhecimento jurídico regulatório. Muitos enxergam isso como positivo de modo geral. Também houve o veto dentro do inciso I, que falava que a autoridade regulamentará casos, onde o operador deveria ter a obrigação legal de indicar o DPO, ficando agora a cargo do controlador indicar o DPO para dadas pessoais.
Security Report: Das sanções retiradas, quais são as mais relevantes?
Patrícia Peck: As sanções que estão no Art. 52 (X, XI, XII e § 6º, I e II), do qual o argumento do veto foi no sentido de que o tratamento de dados pessoais é definido na Lei como uma atividade que engloba desde a coleta, até a utilização, processamento e armazenamento de dados pessoais. Assim, não há como desmembrar as distintas operações abarcadas pelo “tratamento” e dar continuidade, ainda que parcialmente, a uma prestação de serviços segregando-se a parte afetada pela infração. Em igual sentido, a previsão de proibição total do exercício dessa atividade poderá culminar com a inviabilidade de atividades econômicas legítimas de tratamento de dados pessoais, tais como, o processamento de folha de pagamento, inviabilizando não só a operação da empresa sancionada como afetando também as empresas para as quais essa presta serviços. Provavelmente tenha uma relação direta com empresas que vivem de bases de dados pessoais, como acontece com bureau de dados. Até porque há outras sanções previstas e isso teria um grande impacto no desenvolvimento nas atividades econômicas.
Security Report: Qual o impacto da LGPD ter sido sancionada neste momento para o mercado?
Patrícia Peck: Em linhas gerais, a sanção presidencial chega num bom momento. O mercado estava preocupado que se o presidente não sancionasse a LGPD poderia haver um atraso no cumprimento dos prazos. Portanto, a lei começa a vigorar a partir de agosto de 2020.
Security Report: Como o mercado enxerga o impacto desses vetos?
Patrícia Pack: Muitos deles são positivos porque eram itens que ainda geravam alguma polêmica e estão sendo vistos como meio de reduzir uma intervenção do Estado na atividade econômica das empresas. Inclusive, o papel da ANPD sofreu um ajuste no que se refere ao Art. 55-L, V. Assim, a Autoridade Nacional de Proteção de Dados não cobrará taxas para execução de suas atividades fins.
