O governo publicou hoje (28) no Diário Oficial da União (DOU) a Medida Provisória 869/18 que cria a Autoridade Nacional de Proteção de Dados (ANPD). A medida era prevista na Lei de Proteção de Dados(Lei 13.709/2018) que estabelece regras para coleta e tratamento de informações de indivíduos por empresas e por instituições públicas.
A norma foi aprovada em julho pelo Senado e sancionada em agosto pelo presidente Michel Temer que, na ocasião, vetou o trecho do texto que previa o órgão regulador para a proteção dos dados. Ao vetar a criação da ANPD, o Planalto alegou o risco de que o órgão fosse contestado por vício de origem, uma vez que o Legislativo não poderia dispor sobre a organização do Estado, uma prerrogativa do Executivo.
Diferentemente do que propunha o texto aprovado pelo Congresso, que previa a criação de uma entidade autônoma ligada ao Ministério da Justiça, a nova autoridade será um órgão da Presidência da República, que tem apenas "autonomia técnica". Os integrantes da ANDP virão de cargos remanejados de outros órgãos da administração.
Formação
A ANDP será composta por um conselho-diretor formado por cinco diretores que serão nomeados pelo Presidente da República. Os membros do conselho, cujo mandato será e quatro anos, deverão ter “elevado conceito no campo de especialidade dos cargos para os quais serão nomeados”.
Os primeiros mandatos, entretanto, terão duração diferente, indo de dois a seis anos, conforme estabelecido no ato de nomeação. Os membros do conselho só perderão os cargos em virtude de renúncia, condenação judicial transitada em julgado ou pena de demissão decorrente de processo administrativo disciplinar.
O novo órgão será o reponsável pela aplicação das sanções previstas na Lei de Proteção de Dados. O texto diz que as competências da ANDP no que se refere à proteção de dados pessoais prevalecerão, “sobre as competências correlatas de outras entidades ou órgãos da administração pública".
Caberá ainda à ANPD articular sua atuação com o “Sistema Nacional de Defesa do Consumidor do Ministério da Justiça e com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais, e será o órgão central de interpretação desta Lei e do estabelecimento de normas e diretrizes para a sua implementação."
A ANDP contará ainda com um Conselho Nacional de Proteção de Dados Pessoais e Privacidade composto por 23 membros, do Poder Executivo, do Senado, da Câmara dos Deputados, do Conselho Nacional de Justiça, um do Conselho Nacional do Ministério Público, do Comitê Gestor da Internet no Brasil, instituições científicas, tecnológicas e de inovação, de entidades da sociedade civil com atuação comprovada em proteção de dados pessoais e de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais.
Não será permitida a indicação de integrantes do Comitê Gestor da Internet. Entre as atribuições do conselho estão propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD; elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade; sugerir ações a serem realizadas pela ANPD; elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; e disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população em geral.
Mudanças na Lei
O texto da MP foi assinado ontem pelo presidente Michel Temer e, além da criação da ANPD, trouxe algumas modificações em parte da Lei de Proteção de Dados. Entre os pontos que foram alterados está o prazo de aplicação da lei que passou de 18 para 24 meses da data da sanção da Lei 13.709. Com isso, a lei passará a ser aplicada a partir de 14 de agosto de 2020.
Temer também revogou o trecho que impedia que entidades privadas tratassem dados referentes a segurança pública, defesa, segurança ou atividades de investigação e repressão de infrações penais.
Algumas mudanças recaem sobre os chamados “dados sensíveis”: informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde ou vida sexual.
A MP revoga a necessidade de o titular dos dados ser informado sobre o uso da informação “para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres” e “para o cumprimento de obrigação legal ou regulatória pelo controlador”.
O texto também altera o trecho que trata do uso de dados sensíveis de saúde autorizando a troca de informações dos pacientes também entre as prestadoras de plano de saúde. Antes a lei vedava a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica. A autorização recaía apenas para fins de portabilidade de dados quando consentido pelo titular.