São Paulo

Em um dos últimos atos de seu mandato, o presidente Michel Temer assinou uma medida provisória que cria a ANPD (Autoridade Nacional de Proteção de Dados Pessoais). A decisão saiu em edição extraordinária do Diário Oficial da União nesta sexta-feira (28) e era aguardada desde quinta, quando um rascunho da MP circulou nos bastidores.

A agência havia sido vetada por ele na Lei Geral de Proteção de Dados Pessoais (13.709), sancionada em agosto. O argumento era de que o Legislativo não tinha poder para propor uma autarquia, portanto com independência orçamentária.

Na época, o governo afirmou que solucionaria a pendência. A Medida Provisória 869 funda um órgão ligado à Presidência da República, e não uma autoridade independente, como previa o projeto original.

Na prática, o governo criou uma agência que flexibiliza o poder fiscalizatório sobre o tratamento de dados do Estado e mantém as regras para o setor privado.

Quando o tema era debatido no Congresso em formato de projeto de lei, a Casa Civil já havia sinalizado a preferência por normas mais brandas para a administração pública, que gerencia grande bases, como Denatran, Enem e Fies.

O projeto de lei original criava uma autarquia ligada ao Ministério da Justiça. A MP 869, que passa a valer já nesta sexta-feira, institui um órgão sem aumento de despesas à União, vinculada à Presidência e com autonomia técnica.

A autoridade poderia se equiparar a uma agência como o Cade, mas perde força com a nova decisão.

O órgão será formado por um conselho diretor de cinco pessoas, a ser indicado pelo presidente, e por um conselho consultivo de 23 integrantes. Eles representarão setores privado e público, Comitê Gestor da Internet e Terceiro Setor.

Caberá à autoridade orientar sobre a adequação à lei e determinar diretrizes específicas para o tratamento de dados no Brasil. Além de outras atribuições, a ANPD fica responsável pela fiscalização e imposição de multas, que podem chegar a 2% do faturamento no último exercício, limitada a R$ 50 milhões por infração.

A autoridade é um elemento central para a implementação da lei, que é inspirada no GDPR (Regulamento Geral de Proteção de Dados da União Europeia), em vigor desde maio. Apesar de aprovada este ano, o debate legislativo sobre a norma brasileira existe desde 2010.

Com uma conjuntura internacional agitada em relação a regulações de privacidade e um ano pautado por episódios de grande repercussão sobre o uso irregular de dados, em especial o que envolveu o Facebook e a Cambridge Analytica, e março, a pauta ganhou força no Brasil no primeiro semestre.

A lei de proteção de dados é um marco para questões relativas à privacidade e à transparência, e vale para a coleta de dados online e offline.

De modo geral, determina que empresas comuniquem de forma clara sobre o tratamento de dados de clientes (da coleta ao armazenamento), que estabeleçam medidas adequadas de segurança em seus bancos de dados, para evitar vazamentos na internet ou uso irregular por terceiros, e que tenham um compliance sobre os processos relativos a dados pessoais em seu controle.

Fica excluído o uso de dados realizados para fins jornalísticos, artísticos, acadêmicos, de segurança pública e defesa nacional.

Com a MP, a lei passa a entrar em vigor em agosto de 2020 (não mais em fevereiro).

REAÇÃO

O setor privado, como empresas de tecnologia, birôs de crédito e a Brasscom (Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação), que representa 68 grupos empresariais, pedia que a criação da agência fosse feita o mais rápido possível, com receio de que a pauta perdesse fôlego no Congresso em 2019.

Por esse motivo, a medida é bem-vinda, embora alterações no texto sejam criticadas.

Representantes da Abradi, uma associação que reúne 600 empresas, em especial agências de publicidade, veem risco em uma autoridade vinculada ao Executivo.

"A preocupação principal é de as decisões não serem apenas técnicas, mas políticas. O texto também muda a forma que o governo deve informar sobre o uso de dados dos cidadãos", diz Marcelo Sousa, presidente da associação.

A Abradi divulgou uma nota intitulada "é bom, mas é ruim" sobre a MP. Entre os pontos sensíveis, cita uma alteração no artigo 20, que dispensa o agente de tratamento de dados de realizar revisão por pessoa natural nas decisões automatizadas.

Na prática, isso significa que se um cidadão pedir que uma empresa revise alguma decisão feita a partir dos seus dados, isso será feito por um algoritmo, não por uma pessoa natural.

Entre os pontos elogiados estão a manutenção das cadeiras do conselho consultivo e a definição mais clara do "encarregado", pessoa que atuará para a conformidade da lei dentro das empresas (o chamado DPO, sigla de data protection officer, profissional de proteção de dados, na tradução).

Existiam dúvidas se o profissional deveria ser um empregado CLT. Com a nova redação, juristas entendem que pode ser um escritório ou um prestador de serviço.

"Não é uma agência perfeita, mas é melhor do que não ter uma agência reguladora. Com o desenho desse órgão, é mais fácil para o mercado se organizar o quanto antes", diz Adriano Mendes, advogado de direito digital e ligado a Assespro (Federação das Associações das Empresas Brasileiras de Tecnologia da Informação).

Representantes da academia e da sociedade civil envolvidos no debate também criticam a vinculação da ANPD ao Executivo.

"É um órgão feito para supervisionar os setores público e privado, mas ele vai controlar a ​administração dentro da própria administração. Isso trará dificuldades no âmbito internacional, para que as empresas brasileiras tenham livre fluxo com a União Europeia", diz Laura Schertel Mendes, doutora em direito e professora da UnB e do IDP.

Na sua avaliação, a MP foi positiva ao manter a coordenação com outras agências, a manutenção do conselho e a centralidade do órgão para a fiscalização.

A MP segue para votação no Congresso nos próximos 60 dias, que podem ser prorrogados.