MP 869/2018 – O que muda na Lei Geral de Proteção de Dados (LGPD)?

No dia 28 de dezembro de 2018 foi publicada a Medida Provisória (MP) nº 869/2018, que institui a Autoridade Nacional de Proteção de Dados (ANDP) e altera alguns dispositivos da Lei Geral de Proteção de Dados (LGPD). Veja as principais mudanças:

Autoridade Nacional de Proteção de Dados (ANPD): a criação da ANPD era um assunto pendente na LGPD em razão do veto presidencial, colocando em xeque, inclusive, sua eficácia. Isto porque a ANPD é a autoridade responsável por zelar pela proteção de dados pessoais, editar normas e procedimentos sobre o tema, deliberar sobre a interpretação da lei, fiscalizar e aplicar sanções, difundir na sociedade o conhecimento sobre as normas e políticas de proteção de dados, dentre outras competências devidamente estabelecidas na MP 869/2018. A ANPD será um órgão da administração pública vinculado à Presidência da República.

Prazo de Adequação: a MP alterou o prazo de 18 meses estabelecido na LGPD para 24 meses, seguindo o mesmo padrão do Regulamento Geral da União Europeia (GDPR). Sendo assim, as instituições públicas e privadas terão até agosto de 2020 para se adequar à lei.

Encarregado: conhecido como DPO (Data Protection Officer), a definição de Encarregado sofreu alteração. Na redação anterior da LGPD, o Encarregado somente poderia ser pessoa natural, ou seja, pessoa física. A MP trouxe um conceito mais abrangente, seguindo a GDPR, de forma que o DPO poderá ser inclusive pessoa jurídica, terceirizado, comitê, departamento, dentre outras possibilidades.

Competência ANPD e Sanções: A MP incluiu um artigo estabelecendo que compete exclusivamente à ANPD a aplicação das sanções previstas na LGPD. Em caso de competência concorrente, prevalecerá a competência da ANPD sobre as demais entidades e órgãos públicos, inclusive em relação aos órgãos de defesa do consumidor, quando se tratar de proteção de dados pessoais.

Fins acadêmicos: A redação anterior da LGPD previa que o tratamento de dados pessoais para fins exclusivamente acadêmicos não estaria abrangido pela lei mas, ainda assim, deveria se atentar às hipóteses legais previstas nos artigos 7º e 11º da LGPD, como consentimento do titular, cumprimento de obrigação legal ou regulatória do regulador, dentre as demais previstas nos artigos mencionados. Diante da contradição, a MP definiu que a LGPD não será aplicável ao tratamento de dados pessoais para fins exclusivamente acadêmicos.

Segurança Nacional: Criada a possibilidade de uma pessoa jurídica de direito privado realizar o tratamento dos bancos de dados relacionados à segurança nacional, desde que sob a tutela de pessoa jurídica de direito público. Ainda, retirada a disposição que previa a possibilidade de a autoridade requerer aos responsáveis Relatórios de Impacto à Proteção de Dados Pessoais em caso de tratamento de dados para fins de segurança nacional e pública.

Dever de Informação: com a MP, foram retiradas as obrigações de informação e transparência ao titular, referentes ao tratamento de seus dados pessoais, quando realizado para o cumprimento de obrigação legal ou regulatório do controlador ou pela administração pública, para fins de execução de políticas públicas.

Dados de Saúde: na redação anterior da LGPD, era vedada a comunicação e o uso de compartilhamento de dados pessoais sensíveis referentes à saúde com o objetivo de obter vantagem econômica, exceto na hipótese de portabilidade de dados consentida pela titular. A MP acrescentou a possibilidade de compartilhamento de dados para fins de prestação de serviços de saúde suplementar, ainda que se obtenha vantagem econômica.

Direito de Revisão: o direito de revisão consistia na possibilidade de o titular dos dados requerer a revisão, por pessoa natural (indivíduo), das decisões automatizadas que afetem seus interesses como, por exemplo, na concessão de crédito. Com a MP, a revisão não precisará ser por pessoa física, podendo ser, inclusive, por métodos automatizados. Contudo, o controlador deverá fornecer, sempre que solicitadas, informações sobre os critérios e dos procedimentos adotados para a decisão automatizada, sob pena de a ANPD fiscalizar os aspectos discriminatórios no tratamento automatizado de dados pessoais.

Compartilhamento de Dados pelo Poder Público: A MP acrescentou as seguintes hipóteses em que será permitido o compartilhamento de dados pessoais pelo poder público a entidades privadas: (a) se for indicado um encarregado de proteção de dados para o tratamento; (b) quando houver previsão legal ou a transferência tiver como respaldo contratos, convênios ou instrumentos congêneres; (c) quando envolver prevenção a fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados; (d) nos casos em que os dados forem publicamente acessíveis.

Na prática…

A aprovação da Lei Geral de Proteção de Dados (LGPD), em agosto de 2018, levantou um ar de incerteza em relação à sua eficácia, tendo em vista a vedação à criação da Autoridade Nacional de Proteção de Dados (ANPD). Apesar de a Medida Provisória depender de conversão em Lei pelo Congresso Nacional em prazo máximo de 120 (cento e vinte e dias), sob pena de perder eficácia, já se encontra em vigor desde a data de sua publicação.

Portanto, a criação da ANPD é uma realidade. Embora o prazo de adaptação à lei tenha se estendido, esta segue o mesmo padrão do Regulamento Geral da União Europeia (GDPR). É, portanto, recomendável que as empresas estejam atentas e comecem o processo de adequação o quanto antes, a fim de diluir ao longo dos meses as fases de adequação que envolvem desde o levantamento de todos os fluxos de dados, revisão e/ou elaboração de documentos, contratos e políticas, implementação de sistemas de segurança da informação, inclusive, eventual alteração em código-fonte dos sistemas até a conscientização e acompanhamento/manutenção. Quer saber mais sobre a parte prática?  Entre em contato conosco pelo e-mail: [email protected]

 

Lei o conteúdo no formato PDF

Voltar


Telefones

Rio de Janeiro
(55 21) 2102 4212

São Paulo
(55 11) 2103 9107

Escreva para nós