No dia 27 de dezembro de 2018, foi publicada a Medida Provisória nº 869, que altera a Lei nº 13.709/2018, também conhecida como Lei Geral de Proteção de Dados. A medida realiza alterações anteriormente discutidas quando da sanção da LGPD.
Dentre as modificações introduzidas, o destaque foi para a criação da Autoridade Nacional de Proteção de Dados – ANPD, cuja previsão havia sido vetada quando da sanção da LGPD. O órgão, que é parte da administração pública federal e integra a Presidência da República, deverá zelar pela proteção dos dados pessoais, editar normas e procedimentos sobre a proteção de dados pessoais, bem como deliberar na esfera administrativa sobre a interpretação da LGPD e fiscalizar o cumprimento das obrigações legais nas operações de tratamento de dados, entre outras atribuições estabelecidas na MP.
No que tange à estrutura da autoridade, a ANPD contará com um Conselho Diretor, um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, bem como uma Corregedoria, Ouvidoria, órgão de assessoramento jurídico, unidades administrativas e unidades especializadas necessárias à aplicação do disposto na LGPD. O Conselho Diretor será composto por cinco diretores nomeados pelo Presidente da República e terá mandato de quatro anos.
O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, por sua vez, será constituído por vinte e três representantes, sendo seis do Poder Executivo Federal; um do Senado Federal; um da Câmara dos Deputados; um do Conselho Nacional de Justiça; um do Conselho Nacional do Ministério Público; um do Comitê Gestor da Internet no Brasil; quatro advindos de entidades da sociedade civil com atuação em proteção de dados pessoais; quatro de instituições científicas, tecnológicas e de inovação e quatro de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais. O Conselho deverá propor diretrizes e fornecer subsídios para a elaboração de Política Nacional de Proteção de Dados Pessoais, disseminando o conhecimento sobre a proteção de dados e elaborando estudos sobre o tema, dentre outras competências.
Outras alterações ao texto da LGPD também foram realizadas, como a retirada do termo “natural” para descrever a pessoa do encarregado de tratamento de dados, possibilitando a interpretação de admissão de pessoa jurídica para esta finalidade; a desnecessidade de pessoa natural para a revisão de decisão tomada unicamente com base em tratamento automatizado de dados pessoais; a inclusão de hipótese de prestação de serviços de saúde suplementar como exceção da proibição de uso compartilhado entre controladores de dados pessoais sensíveis relacionados à saúde com objetivo de obter vantagem econômica. O tratamento de dados para fins exclusivos de segurança pública realizado por pessoa jurídica de direito privado também teve alteração, não sendo mais necessária a notificação à ANPD nem a elaboração de opiniões e relatórios pela Autoridade sobre o tratamento.
Por fim, a data de entrada em vigor da LGPD foi prorrogada para agosto de 2020, proporcionando maior tempo para a adequação dos procedimentos de tratamento de dados. As mudanças trazidas pela LGPD são significativas e o advento da ANPD inaugura a estrutura de fiscalização das operações, demandando estudo minucioso dos procedimentos internos da empresa para elaborar o plano de tratamento mais adequado a cada operação.
Relembramos que o descumprimento da lei poderá sujeitar os agentes às seguintes penalidades: advertência, multas de até R$ 50.000.000,00 (cinquenta milhões de reais), publicização da infração, bloqueio de dados e eliminação de dados. Cumpre esclarecer que as referidas sanções serão aplicadas após a instauração de processo administrativo, no qual seja oportunizada a defesa dos envolvidos.
O Saeki Advogados permanece à disposição para assessorá-lo nas medidas de adequação para cumprimento dos termos da LGPD e fica à disposição para eventuais esclarecimentos.
*****
On December 27th, 2018, the Provisory Measure no. 869 was published. The Measure amends Law no. 13.709/2018, also known as the Brazilian General Data Protection Law, and implements modifications previously discussed when the GDPL was sanctioned.
Among the alterations that were introduced, the highlight was the creation of the National Authority for the Protection of Data – NAPD, which was excluded in the presidential veto of the GDPL. The entity, which is part of the federal public administration and integrates the Presidency of the Republic, shall ensure the protection of personal data, as well as create norms and procedures for the protection of personal data, emit decisions in the administrative sphere regarding the interpretation of the GDPL and supervise the compliance with legal obligations in data treatment operations, alongside other attributions mentioned in the Measure.
With regard to the structure of the Authority, the NAPD shall have a Board of Directors, a National Board for the Protection of Personal Data and Privacy, as well as an Office of Internal Affairs, Ombudsman, entity for legal assistance, administrative units and specialized units necessary for the application of the GDPL. The Board of Directors shall be composed of five directors nominated by the President of the Republic, with a four-year term of office.
The National Board for the Protection of Personal Data and Privacy shall be constituted by twenty-three representatives: six from the Federal Executive Power; one from the Federal Senate; one from the Lower House; one from the National Counsel of Justice; one from the National Counsel of the Federal Prosecution Office; one from the Brazilian Internet Steering Committee; four from entities of the civil society with a role in personal data protection; four from scientific, technological and innovation institutes and four from entities that represent the industry sector related to the treatment of personal data. The Counsel shall propose directives and provide subsidies for the elaboration of the National Policy for the Protection of Personal Data, spreading knowledge about data protection and elaborating studies on the subject, amongst other attributions.
Other modifications to the text of the GDPL were also made, such as the removal of the word “natural” describing the person of the handler of the data treatment, thus allowing for the interpretation of the admission of companies for this purpose; the exclusion of the requirement for a natural person to review decisions taken exclusively based on an automated data treatment, the inclusion of a hypothesis of rendering supplementary health services as an exception for the prohibition of shared usage between controllers of health-related sensitive personal data with the purpose of obtaining economic benefits. The treatment of data for the sole purpose of public security made by a private company was also altered, excluding the need to notify the NAPD of such procedures and the elaboration of studies by the Authority regarding the treatment.
Lastly, the date of the GDPL’s entering into force was postponed to August 2020, granting more time for the adaptation of data treatment procedures. The changes brought by the GDPL are significant, and the creation of the NAPD introduces the structure for the supervision of data-related operations, demanding a thorough study of companies’ internal procedures in order to develop the most appropriate plan for each operation.
We would also like to call attention to the penalties incurred due to noncompliance with the GDPL: written warnings, fines of up to R$50.000.000,00 (fifty million reais), publication of the infraction, blocking and elimination of data. Such penalties will be applied after the discussion of the case in an administrative process, which will allow the defense of the parties involved.
SAEKI ADVOGADOS remains available to provide guidance in the necessary measures for complying with the dispositions of the GDPL and to clarify any questions that may arise.