O que você deve saber sobre a lei de proteção de dados pessoais do BrasilQual é a polêmica em torno da lei de proteção de dados pessoais no Brasil
A gente já sabe que o principal ponto removido pelo presidente Michel Temer foi a criação Autoridade Nacional de Proteção de Dados (ANPD). Veja quais outros artigos foram vetados, e o que a falta deles no texto final significa.
Veto à Autoridade Nacional de Proteção de Dados (ANPD)
O principal veto, que abrange os artigos 55 a 59 do projeto de lei, diz respeito à Autoridade Nacional de Proteção de Dados (ANPD), que seria a agência responsável por garantir que a lei seja cumprida, ou seja, quem fiscalizaria e aplicaria sanções se o tratamento de dados pessoais por alguma entidade não estivesse de acordo com a legislação. A ANPD seria uma agência vinculada ao Ministério da Justiça, mas sem subordinação hierárquica. Ela seria composta por um Conselho Diretor, com três membros, além de um Conselho Nacional de Proteção de Dados Pessoais, com 23 representantes do poder público e da sociedade civil.
No entanto, os artigos que dispõem sobre a ANPD foram vetados por Temer porque a agência seria inconstitucional. A justificativa do governo é que houve “vício de iniciativa”, ou seja, quando um poder propõe algo que não é de sua competência. Como a ANPD gera despesas para o Poder Executivo, ela deveria ter sido criada pelo próprio governo, e não pelo Congresso. Segundo o G1, Temer disse que vai enviar um projeto de lei ao Congresso para criar a ANPD, com um texto bem parecido ao que foi aprovado pelo Senado. “A questão teve vício de iniciativa. Portanto, vou consertar este vício de iniciativa, nada mais do que isso. No mais, continua igual”, segundo o presidente. Sem a ANPD, é pouco provável que haja uma fiscalização eficaz da lei de proteção de dados pessoais. No mês passado, detalhamos a possibilidade do veto à agência e falamos sobre uma carta em defesa da ANPD assinada por mais de 70 organizações. Um posicionamento do Instituto Brasileiro de Defesa do Consumidor (Idec), que também assinou a carta, defende que “sem a Autoridade, a legislação fica ‘manca’, pois não há reguladores com expertise e tampouco estrutura administrativa para monitoramento das práticas de mercado e de práticas ilegais de uso de dados pessoais pelo Poder Público”.
Quais outros pontos foram vetados
Ainda que o o veto à Autoridade Nacional de Proteção de Dados (ANPD) seja significativo, outros pontos do projeto final que foram excluídos da lei também são importantes. Olha só: Sanções administrativas mais brandas O governo também vetou os incisos VII, VIII e IX do art. 52, que falam sobre as sanções administrativas que seriam aplicadas às empresas ou organizações que descumprissem a lei. Em resumo, os três itens diziam que um banco de dados que armazena informações pessoais poderia ser suspenso de forma parcial ou total, ou até mesmo proibido de fazer o tratamento de dados de cidadãos. Segundo o governo, os incisos foram vetados porque as sanções “podem gerar insegurança aos responsáveis por essas informações, bem como impossibilitar a utilização e tratamento de bancos de dados essenciais a diversas atividades”. Ou seja, se um banco não pudesse mais armazenar os dados de seus clientes, precisaria fechar pois essa ação é essencial à sua atividade. Na avaliação do Idec divulgada no posicionamento, o veto “eliminou as chances de suspensão de atividade ilícita (uso indevido de dados pessoais por um controlador ou responsável). Em uma analogia com outra área regulada, é como se a vigilância sanitária não pudesse fechar um restaurante com coliformes fecais na cozinha”. Vale apontar que outras sanções previstas no art. 52 continuam valendo. Uma empresa ou organização ainda poderia ser multada em 2% do seu faturamento (limitada a R$ 50 milhões), além de ser obrigada a tornar pública a infração e, dependendo do caso, precisar bloquear os dados ou apagá-los de seu sistema. Compartilhamento de dados pelo poder público Outro veto foi relacionado ao inciso II do art. 23, que estabelece regras para o tratamento de dados pessoais. O inciso dizia que deveriam ser “protegidos e preservados dados pessoais de requerentes de acesso à informação” e que o poder público estava proibido de compartilhar quem fazia uma requisição pela Lei de Acesso à Informação.
Temer justificou o veto dizendo que “o compartilhamento de informações relacionadas à pessoa natural identificada ou identificável é medida recorrente e essencial para o regular exercício de diversas atividades e políticas públicas”, citando o caso de banco de dados da Previdência Social e de investigações sobre o sistema financeiro, que precisam de tal compartilhamento entre diversos órgãos públicos. O posicionamento do Idec explica que “na prática, o poder público não estará mais obrigado a proteger dados pessoais de requerentes de informações. Também poderá compartilhar essas informações no âmbito do Poder Público e, até mesmo, com empresas”. Comunicação menos transparente Mais um veto em relação ao poder público, o Art. 28 falava que “a comunicação ou o uso compartilhado de dados pessoais entre órgãos e entidades de direito público será objeto de publicidade”. Ou seja, o compartilhamento de informações pessoais entre órgãos públicos deveria ser informada aos cidadãos. O governo justificou o veto dizendo que esse artigo “pode tornar inviável o exercício regular de algumas ações públicas como as de fiscalização, controle e polícia administrativa”. Exceção removida Por fim, Temer também vetou o inciso II do parágrafo 1º do art. 26. Tal parágrafo diz que o poder público está proibido de transferir a entidades privadas os dados pessoais de cidadãos, mas listava algumas exceções. Entre elas, no inciso II, estava “quando houver previsão legal e a transferência for respaldada em contratos”. Na prática, essa exceção já existe em resoluções ou portarias, e não necessariamente com previsão legal e respaldo em contratos. O processamento da folha de pagamento dos servidores públicos, que pode acontecer em instituições financeiras privadas, foi um exemplo dado pelo governo sobre o tema. Ou seja, o veto se deu porque “a exigência estabelecida no dispositivo inviabiliza o funcionamento da Administração Pública, já que diversos procedimentos relativos à transferência de dados pessoais encontram-se detalhados em atos normativos infralegais”.