Relatório Final emitido pela Comissão Mista no âmbito da Medida Provisória 869/2018

Relatório Final emitido pela Comissão Mista no âmbito da Medida Provisória 869/2018

A partir das opiniões e posicionamentos proferidos nas 4 (quatro) audiências públicas referentes à Medida Provisória (MP) nº 869/18, o Relator da Comissão Mista destinada à apreciação deste diploma legal elaborou um relatório legislativo (Projeto de Lei de Conversão – PLV), apresentando suas conclusões sobre a matéria. Seus termos serão apreciados pela Câmara e Senado, em futura votação para aprovação ou recusa do relatório. O PLV, apresentado em 25 de abril de 2019, abordou os pontos mais relevantes e controversos da MP 869/18, como se verá a seguir. 

Da Autoridade Nacional de Proteção de Dados

Inicialmente, com relação ao primeiro grande tópico (Autoridade Nacional de Proteção de Dados), o relatório tratou da questão da manutenção da ANPD na Administração Direta. Ainda que fosse desejável considerar a autoridade como uma autarquia, um órgão com independência em todos os aspectos, o posicionamento do relator foi de que, sob risco de novo veto presidencial e um vácuo jurídico de uma autoridade fiscalizadora e reguladora do tratamento de dados no Brasil, a medida mais prudente para o momento seria a manutenção do órgão na estrutura administrativa, tal como estabelecido na MP 869/18. 

Ainda assim, pontuou a necessidade de tomada de providências para reforçar, ao máximo, a atuação independente, técnica e administrativa da ANPD, tais como a necessidade de um nível 5 ao cargo em comissão (DAS); a possibilidade de afastamento preventivo dos Conselheiros pelo Presidente da República se assim recomendado pela Comissão Especial instaurada para apuração de processo administrativo disciplinar e a previsão de que o regimento interno do órgão deverá ser aprovado pelo seu órgão máximo colegiado. Ademais, foram incluídas duas inovações: i) um processo de sabatina, pelo Senado Federal, dos membros do Conselho Diretor, a fim de conferir maior legitimidade aos diretores da ANPD; e ii) a indicação expressa de que a natureza jurídica da ANPD deverá ser transformada em autarquia no prazo específico de 2 (dois) anos a partir da aprovação de sua estrutura regimental, bem como a tempo de ser incluída nas Leis Orçamentárias. Tais pontos são reflexos dos temas debatidos nas discussões realizadas quando das Audiências Públicas, o que demonstra o comprometimento do processo legislativo com a contribuição dos participantes (academia, iniciativa pública e privada e sociedade civil). 

O segundo ponto discutido, ainda no tocante à ANPD, foi a questão das atribuições da autoridade. O relator se posicionou pela necessidade de restauração das atribuições da autoridade, tais como previstas na Lei originalmente aprovada pelo Congresso Nacional, em agosto de 2018. Algumas delas são a necessidade de zelar pela observância dos segredos comercial e industrial, a elaboração de diretrizes para Política Nacional de Proteção de Dados Pessoais e da Privacidade e a disposição de formas de publicidade das operações de tratamento de dados pessoais, por exemplo.

Além disso, pretende-se incorporar as atribuições adicionadas pela MP, quais sejam: a deliberação, de maneira definitiva, na esfera administrativa; a requisição de informações a qualquer momento; a comunicação às autoridades sobre infrações penais e o descumprimento da LGPD pela Administração; a promoção de estudos e a articulação da ANPD com demais reguladoras públicas. O relatório ainda incorporou a possibilidade da celebração de Termo de Ajustamento de Conduta (TAC) e de conferir publicidade aos relatórios da instituição. Por fim, quanto à configuração de crime de responsabilidade pela falta de zelo da preservação do segredo empresarial e sigilo das informações no exercício das competências da ANPD, o relator acredita que tal disposição poderia fragilizar a ação fiscalizatória e, portanto, sugere que a proteção do zelo dos segredos seja conferida ao se deixar explícito que, mesmo em processos de auditoria, a ANPD deverá observar os sigilos em questão.

Quanto às receitas da ANPD, o relator opinou pela rejeição da MP 869/18 e pela restauração da lei original, considerando, portanto, que a autoridade deve possuir receitas advindas do produto da execução da sua dívida ativa, de dotações consignadas no orçamento geral da União, dos créditos especiais, dos créditos adicionais, das transferências e dos repasses que lhe forem conferidos; das doações, dos legados, das subvenções e de outros recursos que lhe forem destinados; dos valores apurados na venda ou aluguel de bens móveis e imóveis de sua propriedade; dentre outras hipóteses legais. Ademais, nos moldes da Lei do Conselho Administrativo de Defesa Econômica (CADE), o produto da arrecadação das multas aplicadas pela ANPD, inscritas ou não em dívida ativa, deverá ser destinado ao Fundo de Defesa de Direitos Difusos, para evitar a possibilidade de perda de eficiência da autoridade e conflitos de interesses em sua atuação (relacionados à “indústria da multa”).

Com relação à aplicação de sanções, o entendimento do relator é pela restauração das sanções previstas na lei original, oriunda do Congresso Nacional, de maneira a estabelecer uma gradação plena das penalidades, similar à gradação de aplicações de internet, tais como previstas no Marco Civil da Internet e no Código de Defesa do Consumidor. Entretanto, levando em consideração que a suspensão total de bancos de dados e do exercício da atividade poderia acarretar prejuízos consideráveis para os usuários dos serviços prestados, a fim de se garantir a estabilidade da legislação consumerista, o relator sugeriu a substituição das suspensões pela sanção de “intervenção administrativa”, de maneira a trazer o controlador de volta ao cumprimento legal, sem prejudicar os titulares com a interrupção do serviço. Ademais, as competências da ANPD na aplicação de sanções, no que se refere à proteção de dados pessoais, deverão prevalecer sobre as das correlatas de outras entidades.

Por fim, o último ponto relacionado à ANPD tratado pelo relatório foi sobre o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, em que o relator afirmou que a alteração proposta pela MP 869/18 – qual seja, de retirada de mandato fixo, definido em 2 (dois) anos para os membros indicados pela Administração – geraria instabilidade no exercício das atribuições, enfraquecendo os mandatos e a importância da instância de aconselhamento. Portanto, propôs-se um redimensionamento do Conselho, para que pudesse ter representação proporcional dos três setores da sociedade: empresarial, produtivo e laboral. Neste sentido, recomendou-se: i) o equilíbrio da participação do setor empresarial com o laboral; ii) o alargamento dos representantes da sociedade civil, de maneira a incluir aqueles que se relacionem com a proteção de dados; e iii) a retirada de um dos membros da União, para manter a proporcionalidade com relação aos demais setores envolvidos. 

Do Tratamento de Dados pela Administração Pública

No que diz respeito ao segundo grande tópico, qual seja, o tratamento de dados pela Administração, os subtópicos escolhidos para discussão foram: i) o compartilhamento de dados pela Administração; ii) a proteção dos requerentes de pedidos de informação relativos à Lei de Acesso à Informação (LAI); e iii) dados educacionais (INEP). 

Quanto ao compartilhamento de dados pela Administração, o relator foi contrário à flexibilização relacionada à existência de um Encarregado, pois isso garantiria apenas a abertura de um canal de comunicação entre as partes, não sendo suficiente para a proteção ao tratamento de dados pela Administração. Entretanto, acreditou ser positiva a permissão de transferência de informações exclusivamente para o combate à fraude e a irregularidades, sugerindo alterações neste ponto. Com relação à supressão da necessidade de comunicação à Autoridade Nacional em caso de transferências de dados a entes privados, o relator sugeriu a alteração da redação do dispositivo para fazer constar tal comunicação, a fim de evitar o enfraquecimento do poder fiscalizatório. Finalmente, o relatório se manifestou pela necessidade de flexibilização da possibilidade de transferência de dados desde que haja previsão legal ou a transferência seja respaldada em contratos, convênios ou instrumentos congêneres, a partir de casos concretos da Administração (como a possibilidade de arrecadação de tributos, por exemplo). 

Já no que concerne à proteção dos requerentes de pedidos de informação relativos à LAI, em face do veto de dispositivo que previa a proteção de dados pessoais dos autores de pedidos de acesso à informação pela MP 869/18, o relator se posicionou pela necessidade de restauração da antiga previsão, pois a identificação dos requerentes de pedidos de informação poderia trazer insegurança aos cidadãos, uma vez que estes estariam sujeitos a intimidações, retaliações ou constrangimentos. A ausência de identificação protegeria a transparência e o pleno exercício da cidadania. Por fim, quanto aos dados educacionais, o relatório concordou com a supressão de dispositivo que inclui o Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (Inep) na regulamentação conjunta de acesso a dados pessoais relativos à educação sob sua guarda, já que, tendo em vista o caráter geral e “não-sensível” dos dados educacionais, não se vislumbrou a necessidade de uma proteção especial para essa base de dados. 

Da Segurança, Defesa e Investigação

O terceiro grande tópico em discussão foi a segurança, defesa e investigação. A principal discussão referente à essa questão foi o tratamento de dados por entidades privadas. Neste sentido, o relator entendeu que o tratamento da totalidade de bancos de dados de segurança e defesa por empresa privada ou por entidade delegada por esta empresa poderia enfraquecer as medidas protetivas contra eventuais arbitrariedades ou incidentes de segurança. Ademais, em se tratando de defesa nacional, é necessário atentar para a utilização de tecnologias estrangeiras por fabricantes e provedores de aplicações e de bancos de dados, o que poderia gerar a possibilidade de acesso a nível internacional das informações tratadas. Portanto, o relator se posicionou pela necessidade de tratamento dessas informações por parte de empresas públicas (como a Serpro, por exemplo), concordando, ainda, com a possibilidade aberta pela MP 869/18 de transferência de dados para empresas públicas. Para minimizar possíveis acessos e utilizações indevidas, foi oferecida uma emenda, prevendo a garantia de que a empresa privada deverá ter capital integralmente constituído pelo Poder Público para receber dados. 

Sobre a possibilidade de a ANPD opinar quanto ao tratamento realizado pelas entidades de segurança pública e afins, o relator acredita que a previsão é positiva, já que a autoridade poderia contribuir com esses órgãos, principalmente a nível municipal e estadual, para difundir melhores práticas. Ademais, em razão da sugestão de elevar a proteção de dados a “matéria de interesse nacional”, propõe-se a alteração à Ementa da LGPD, para determinar de maneira expressa que se trata de uma “Lei Geral de Proteção de Dados”; a inclusão de previsão de que todos os entes federados devem observar as normas gerais contidas na LGPD e de que a competência da ANPD abrange todo o território nacional. 

Das questões afetas às esferas pública e privada

O quarto grande tópico tratou das questões comuns às esferas público e privada, conforme abaixo delineado. 

I. Tratamento automatizado

Nesta perspectiva, o primeiro subtópico debatido foi o tratamento automatizado. O relator decidiu por manter a disposição da MP 869/18 que permite a solicitação de revisão, por parte do titular, de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses. Entretanto, adicionou dispositivo, a fim de fazer constar que a revisão deverá ser realizada, obrigatoriamente, por pessoa natural apenas nos casos e conforme previsto em regulamentação futura da ANPD. Com essa conclusão, se pretendeu evitar os efeitos negativos que a prática de atitudes abusivas ou incorretas por parte de tecnologias poderia gerar, garantindo tanto o exercício dos direitos humanos e cidadania do consumidor quanto o fomento à inovação, de maneira a facilitar a integração comercial e a geração de oportunidades e investimentos a nível nacional e global. 

II. Do Encarregado

O segundo subtópico tratou sobre o encarregado, em que o relator concluiu pela permissão de que este possa ser pessoa jurídica. Tal decisão foi tomada levando em consideração, por exemplo, organizações de grande porte, em que uma única pessoa física/natural não seria capaz de atender a grandes volumes de demandas, assim como pequenas empresas poderiam terceirizar seu atendimento, em caso de falta de conhecimento técnico. Ainda, o relator opinou pela desnecessidade de o controlador constituir um encarregado (já que o atendimento a titulares seria dispensável) e de dispor, em lei, sobre a organização interna das entidades e posição hierárquica do encarregado em sua estrutura interna. 

III. Dever de informação ao titular 

O terceiro subtópico se debruçou sobre a informação ao titular, que resultou na decisão pela desobrigação de notificação ao titular dos dados sobre a utilização de suas informações em caso de incidência da base legal de cumprimento legal ou execução de políticas públicas, de maneira a desburocratizar esse processo. 

IV. Aplicação da lei em casos de tratamento ilegal

Ainda, o quarto subtópico, relativo à aplicação da lei, concluiu pela necessidade de sua aplicação mesmo em casos de tratamento ilegal de dados e a garantia de direito à oposição pelo titular nestes casos. 

V. Consentimento 

O quinto subtópico, referente às esferas público e privada, foi o consentimento. Neste sentido, o relator frisou a necessidade de sopesamento de alterações neste assunto com seus impactos e real necessidade para esclarecimento dos dispositivos, de maneira a não impactar negativamente a sociedade. Desta maneira, afirmou que a dispensa de novo consentimento em casos de mudança de controle acionário de controladores deverá ser objeto de regulação infralegal pela ANPD; que não seria prudente a extensão de tratamento com relação ao tratamento de dados sensíveis quando tornados manifestamente públicos pelo titular; e que não seria necessária a alteração para incluir o responsável legal como fonte de consentimento em casos de cumprimento de obrigação legal, tendo em vista que, a partir do momento em que assim é reconhecido por documento jurídico válido, está naturalmente apto a substituir o titular. Quanto à utilização de dados de uso público e daqueles tornados manifestamente públicos para novos fins diversos, sem consentimento, desde que observados os direitos do titular, o relator opinou pela inclusão de dispositivo que permita o tratamento posterior sem novo consentimento, desde que observados propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e princípios da LGPD. 

VI. Dados sensíveis

O sexto subtópico trouxe à tona a questão da definição de “dados sensíveis” a partir de uma análise expansiva, considerando que tais dados seriam aqueles vinculados à pessoa “identificada ou identificável”. Entretanto, o relator opinou pela rejeição dessa proposta, tendo em vista a insegurança e incerteza que tal medida ocasionaria, já que, a partir de cruzamentos de bases de dados, a correlação entre um dado e seu titular resta basicamente evidente. 

VII. Legítimo interesse

O sétimo subtópico tratado foi o legítimo interesse, em que o relator rejeitou as sugestões de permissão do tratamento justificado a partir dessa base legal, de dados não estritamente necessários para essa finalidade; e de revogação da possibilidade de tratamento realizado mediante legítimo interesse, de maneira a equilibrar a proteção ao titular e a liberdade para a livre iniciativa. 

Outros subtópicos tratados foram a portabilidade e as boas práticas. Quanto ao primeiro, além de frisar que a portabilidade de dados é um exercício de direito do titular (não diz respeito aos dados gerados ou complementados através de tratamentos pelo controlador) e que cabe ao controlador apenas atender à Lei e comprovar o seu atendimento – sendo protegido, neste caso, de eventuais irregularidades praticadas por terceiros –,  o relator entende pela necessidade de informação imediata aos agentes de tratamento quando de alterações nos dados pessoais de titulares, salvo em casos de impossibilidade comprovada ou esforço desproporcional, quando o controlador não poderá ser responsabilizado. No que se refere às boas práticas, estas deverão ser objeto de fomento por parte da autoridade nacional, e não uma imposição ao setor, sendo os dispositivos de aplicação de sanções suficientes para garantir sua promoção. 

Tratamento de dados de saúde e acadêmicos 

O quinto grande tópico discutido foi referente ao tratamento de dados de saúde e acadêmicos. Quanto aos dados de saúde, o relator concluiu que, nas hipóteses relativas à prestação de serviços de saúde, incluídos os serviços auxiliares de diagnose e terapia, será possível a comunicação de dados sensíveis referentes à saúde desde que em benefício dos titulares, assim como para transações financeiras e administrativas resultantes do uso e prestação dos serviços contratados. Desta maneira, cadastros em farmácias ou laboratórios para a obtenção de dados que resultem em descontos ou outros fins não contratados serão proibidos. 

Ainda, foram restringidas e esclarecidas as hipóteses de serviços e profissionais a que se pretende atingir no tratamento dos dados de saúde. Neste sentido, o tratamento de dados pessoais e dados pessoais sensíveis poderá ser realizado, exclusivamente, para a tutela da saúde – garantindo que seja em benefício do titular –, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária. Quanto às preocupações relativas à possibilidade de negativa de acesso ou encarecimento injustos dos serviços de saúde suplementar pelo cruzamento de informações, o relatório entendeu que tal hipótese, por já ser vedada pela Súmula Normativa nº 27, de 10 de junho de 2015, da Agência Nacional de Saúde Suplementar, impediria o tratamento injusto dos usuários no tocante ao acesso à saúde.

Outrossim, no que concerne aos dados acadêmicos, o relator defendeu o retorno do texto legal original, de maneira a excetuar o tratamento destes dados do alcance da LGPD desde que fossem seguidas as regras de consentimento de dados pessoais gerais e dados pessoais sensíveis. Desta forma, seria garantida a anonimização, sigilo e oposição de tratamento aos participantes de pesquisas diversas, sem sujeitar os pesquisadores às outras disposições legais. Ademais, dados jornalísticos, acadêmicos e artísticos devem ser mantidos como dados pessoais gerais (não-sensíveis) e entidades de pesquisa privadas que não exercem mandatos legais e objetivam lucros devem obter consentimento para realizar o tratamento de dados, não sendo consideradas “órgãos de pesquisa” para a flexibilização de obtenção de consentimento.  

Assuntos correlatos às emendas propostas 

Finalmente, foram apresentados alguns outros assuntos, relativos às emendas apresentadas à Comissão Mista da MP 869/18 para análise. Quanto à vigência da lei, apesar das considerações trazidas pelo relatório, o cálculo ainda parece incerto. 

Sobre o tratamento diferenciado para idosos, o relator propôs uma nova atribuição à ANPD, de maneira a instituir, em sua regulamentação, a forma de implantação deste tratamento pelos controladores. 

Com relação às pequenas e microempresas, estas merecerão tratamento diferenciado e simplificação de obrigações, não excetuando, entretanto, a aplicação de sanções como medida punitiva de condutas inadequadas cometidas por agentes de tratamento. 

Quanto ao direito de peticionar, optou-se por garantir o “duplo caminho de questionamento”, ou seja, a possibilidade conferida ao titular de peticionar, diretamente, junto aos controladores, à ANPD e perante os organismos de defesa do consumidor. Neste ponto, o relator rejeitou a possibilidade de insegurança jurídica devido à multiplicidade de ações e interpretações pelos diversos entes, justificando que caberá à ANPD dirimir questões e publicar regulamentos padronizados. Ainda, salientou-se a importância de que o titular possa peticionar junto à ANPD apenas após a reclamação junto ao controlador de dados, de maneira a “desafogar” a instituição e evitar excessos no direito de peticionar, ao mesmo tempo em que garantindo o direito constitucional de acesso à justiça para garantia de direitos. 

O relatório ainda comentou sobre o possível conflito legal existente entre a MP 869/18 e a MP 870/19, editada pelo governo Bolsonaro, que estabelece a organização básica dos órgãos da Presidência da República e dos Ministérios e revoga a Lei nº 13.502/17 que, por sua vez, é alterada pela MP 869/18 ao considerar a ANPD como um órgão da Administração Pública Federal. Na concepção do relator, tendo em vista que a Lei nº 13.502/17 ainda se encontra em vigor, julgou-se conveniente manter a ANPD como integrante da Presidência da República, como forma de conferir sustentação legal à sua criação, mesmo em caso de não-conversão da MP 870/19. Ainda, no caso de conversão de ambas as medidas provisórias, haverá a revogação expressa da Lei nº 13.502/17 e a criação da ANPD como integrante da Presidência da República. 

Do relatório complementar

Cabe salientar que, no dia 07 de maio de 2019, o relator apresentou uma complementação do relatório apresentado, modificando alguns itens tratados na primeira versão do PLV apresentado e trazendo novas e relevantes inclusões. Tais conclusões ainda serão discutidas e poderão ser revistas pela Comissão Mista e nas votações posteriores.

Inicialmente, a complementação reconsiderou a imposição sobre a natureza jurídica da ANPD, conferindo uma redação legal mais “branda” ao dispor que haverá uma possibilidade de reavaliação da natureza jurídica temporária da autoridade pelo Poder Executivo, inclusive quanto à sua eventual transformação em autarquia independente. Entretanto, manteve o dispositivo de que a reavaliação deverá ocorrer em até 2 (dois) anos da data da entrada em vigor da estrutura regimental da ANPD, conferindo certa segurança jurídica à expectativa de reconsideração da estrutura da autoridade. 

Ainda, com relação às sanções, a penalidade de intervenção administrativa foi substituída pela sanção de suspensão do exercício de atividade de tratamento de dados pessoais, pelo período máximo de 6 (seis) meses e prorrogável por igual período; e houve o condicionamento da aplicação das sanções de suspensão parcial, total e de proibição de tratamento de dados (sanções graves), que só poderá ocorrer após a imposição prévia das sanções de multa simples, multa diária, publicização da infração, bloqueio e eliminação de dados pessoais, de maneira a conferir maior proporcionalidade entre a infração e respectiva sanção.

 A complementação do voto do relator ainda modificou algumas disposições, como a previsão de que a revisão de tratamento automatizado por pessoa natural, nos casos previstos pela ANPD, deverá levar em consideração a natureza, o porte da entidade e o volume de operações em tratamento. Outras alterações relevantes foram a exclusão de menção expressa à articulação da ANPD com a Secretaria Nacional do Consumidor (Senacon), órgão do Ministério da Justiça, a fim de igualar a referência a órgãos públicos que possuam poder sancionatório relativo à proteção de dados; e a permissão de mandato flexível e delegação dos membros do Poder Executivo no Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.

Ademais, foram inseridos novos dispositivos, como: i) a especificação de Confederações Sindicais representativas das categorias econômicas do setor produtivo como representantes do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade; ii) a disposição expressa de assistência farmacêutica nas exceções que permitem o compartilhamento de dados sensíveis de saúde com o objetivo de obtenção de vantagem econômica, a fim de permitir a consecução de políticas públicas; iii) a necessidade de criação de regulamentação específica para casos de informação à ANPD quando de compartilhamentos de dados a entidades privadas, para evitar notificações excessivas; iv) a possibilidade de que mais de um órgão exerça regulação sobre determinado agente em caso de controladores submetidos a outras entidades com competências sancionatórias, a fim de mitigar a possibilidade de aplicação de sanções graves aos controladores e, consequentemente, a dificuldade de execução de políticas públicas ; v) a inclusão de competência à ANPD para a implementação de mecanismos simplificados, inclusive por meio eletrônico, de registro de reclamações sobre o tratamento de dados pessoais em desconformidade com a LGPD; e vi) a extensão das simplificações constitucionais de procedimentos, orientações e prazos previstas para micro e pequenas empresas às iniciativas empresarias de caráter incremental ou disruptivo que se autodeclarem como startups ou empresas de inovação.

Finalmente, é necessário salientar que o relator decidiu incorporar, durante a apresentação do relatório complementar, uma previsão adicional, sugerida pelo deputado federal Celso Russomano e que ensejou muita discussão. Tal disposição pretende que vazamentos individuais ou acessos não autorizados poderão, apenas em casos individuais, ser objeto de conciliação entre o controlador e o titular dos dados pessoais e, em não havendo acordo, que o controlador esteja sujeito às penalidades legais previstas. A alteração objetiva evitar a dura responsabilização dos controladores por incidentes de segurança provocados através de ataques externos de hackers, possibilitando que o titular dos dados vazados possa negociar uma indenização diretamente com o birô de dados. 

A equipe de Telecomunicações, Mídia e Tecnologia (TMT) do Azevedo Sette Advogados continuará acompanhando os desdobramentos sobre o assunto.

*Colaboração de Isabella de Castro Satiro Aragão e Vitor Rodolfo Koketu da Cunha