dezembro 29, 2018

[Segurança] E faz-se a "Autoridade Nacional de Proteção de Dados"

No apagar das luzes do governo Temer, ganhamos um pequeno presente de Natal: o governo lançou uma medida provisória regulamentando a Autoridade Nacional de Proteção de Dados, a entidade responsável por regulamentar e vigias vários aspectos da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018, ou simplesmente "LGPD").

Ao sancionar a LGPD em agosto desse ano, o presidente Temer havia vetado os artigos referentes a criação da agência reguladora, criando uma legislação capenga, sem pé nem cabeça, aonde vários artigos faziam referência a uma entidade não existente. Caberia a agência, por exemplo, definir as multas para punir as empresas que permitissem o vazamento de dados.

A Medida Provisória Nº 869 vem tentar corrigir (ou atenuar) essa aberração jurídica.

Além da criação da ANPD, os principais pontos da MP 869 são os seguintes:
  • Passa a permitir a comunicação ou compartilhamento de dados pessoais sensíveis referentes à saúde nos casos de portabilidade de dados (mediante consentimento do titular) ou para a prestação de serviços de saúde suplementar (art. 11);
  • passa a permitir que o Poder Público transfira dados pessoais a entidades privadas nos casos previstos em leis, contratos ou convênios, ou na hipótese de prevenção de fraudes e irregularidades (art. 26);
  • a ANPD será composta por um Conselho Diretor (com 5 membros indicados pelo Presidente da República), um "Conselho Nacional de Proteção de Dados Pessoais e da Privacidade" (com 23 representantes não remunerados), além de Corregedoria e Ouvidoria;
    • "O projeto de lei original criava a ANPD ligada ao Ministério da Justiça, mas a MP 869 a deixou subordinada a Presidência;
    • a ANPD entra em vigor imediatamente (art. 65);
  • extende por mais 6 meses o período para a LGPD entrar em vigor, totalizando 2 anos desde a data de sua publicação. Assim, a LGPD só vai valer a partir de Agosto de 2020 (art. 65);
  • Deixa de existir a obrigação de informar o titular dos dados em casos de tratamento realizado pela administração pública (com a revogação dos parágrafos 1º e 2º do art. 7º).
A MP tem 4 artigos, aonde as principais alterações estão descritas no artigo primeiro. Como eu tenho feito aqui no blog toda vez que surge uma legislação pertinente, vou transcrever abaixo os trechos da MP que considero serem os mais relevantes para nós, profissionais de segurança da informação - até mesmo porque algumas alterações foram feitas para corrigir erros no texto original. Também coloquei algumas observações minhas, em itálico, para facilitar o entendimento.

Art. 1º A Lei nº 13.709, de 14 de agosto de 2018, passa a vigorar com as seguintes alterações:
(...)
"Art. 5º
(...)
XIX - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei."
(...)
"Art. 11. (nota: sobre o Do Tratamento de Dados Pessoais Sensíveis)
§ 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses de:
I - portabilidade de dados quando consentido pelo titular; ou
II - necessidade de comunicação para a adequada prestação de serviços de saúde suplementar."
(...)
"Art. 26. (nota: sobre o "O uso compartilhado de dados pessoais pelo Poder Público")
§ 1º (nota: este parágrafo veda ao Poder Público transferir dados pessoais a entidades privadas, exceto nos casos abaixo)
III - se for indicado um encarregado para as operações de tratamento de dados pessoais, nos termos do art. 39;
IV - quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres;
V - na hipótese de a transferência dos dados objetivar a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados; ou
(...)
"Art. 55-A. Fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados - ANPD, órgão da administração pública federal, integrante da Presidência da República." (Nota: aqui começa o capítulo sobre a ANPD, que havia sido vetado integralmente)
"Art. 55-B. É assegurada autonomia técnica à ANPD."
"Art. 55-C. ANPD é composta por:
I - Conselho Diretor, órgão máximo de direção;
II - Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;
III - Corregedoria;
IV - Ouvidoria;
V - órgão de assessoramento jurídico próprio; e
VI - unidades administrativas e unidades especializadas necessárias à aplicação do disposto nesta Lei."
"Art. 55-D. O Conselho Diretor da ANPD será composto por cinco diretores, incluído o Diretor-Presidente.
§ 1º Os membros do Conselho Diretor da ANPD serão nomeados pelo Presidente da República e ocuparão cargo em comissão do Grupo-Direção e Assessoramento Superior - DAS de nível 5."
(...)
§ 3º O mandato dos membros do Conselho Diretor será de quatro anos.
(...)
"Art.55-G. Ato do Presidente da República disporá sobre a estrutura regimental da ANPD.
Parágrafo único. Até a data de entrada em vigor de sua estrutura regimental, a ANPD receberá o apoio técnico e administrativo da Casa Civil da Presidência da República para o exercício de suas atividades."
(...)
"Art. 55-J. Compete à ANPD:
I - zelar pela proteção dos dados pessoais;
II - editar normas e procedimentos sobre a proteção de dados pessoais;
III - deliberar, na esfera administrativa, sobre a interpretação desta Lei, suas competências e os casos omissos;
IV - requisitar informações, a qualquer momento, aos controladores e operadores de dados pessoais que realizem operações de tratamento de dados pessoais;
V - implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei;
VI - fiscalizar e aplicar sanções na hipótese de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
VII - comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
VIII - comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei praticado por órgãos e entidades da administração pública federal;
IX - difundir na sociedade o conhecimento sobre as normas e as políticas públicas de proteção de dados pessoais e sobre as medidas de segurança;
X - estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle e proteção dos titulares sobre seus dados pessoais, consideradas as especificidades das atividades e o porte dos controladores;
XI - elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
XII - promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
XIII - realizar consultas públicas para colher sugestões sobre temas de relevante interesse público na área de atuação da ANPD;
XIV - realizar, previamente à edição de resoluções, a oitiva de entidades ou órgãos da administração pública que sejam responsáveis pela regulação de setores específicos da atividade econômica;
XV - articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e
XVI - elaborar relatórios de gestão anuais acerca de suas atividades.
§ 1º A ANPD, na edição de suas normas, deverá observar a exigência de mínima intervenção, assegurados os fundamentos e os princípios previstos nesta Lei e o disposto no art. 170 da Constituição.
§ 2º A ANPD e os órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental devem coordenar suas atividades, nas correspondentes esferas de atuação, com vistas a assegurar o cumprimento de suas atribuições com a maior eficiência e promover o adequado funcionamento dos setores regulados, conforme legislação específica, e o tratamento de dados pessoais, na forma desta Lei.
§ 3º A ANPD manterá fórum permanente de comunicação, inclusive por meio de cooperação técnica, com órgãos e entidades da administração pública que sejam responsáveis pela regulação de setores específicos da atividade econômica e governamental, a fim de facilitar as competências regulatória, fiscalizatória e punitiva da ANPD.
§ 4º No exercício das competências de que trata o caput, a autoridade competente deverá zelar pela preservação do segredo empresarial e do sigilo das informações, nos termos da lei, sob pena de responsabilidade.
§ 5º As reclamações colhidas conforme o disposto no inciso V do caput poderão ser analisadas de forma agregada e as eventuais providências delas decorrentes poderão ser adotadas de forma padronizada."
"Art. 55-K. A aplicação das sanções previstas nesta Lei compete exclusivamente à ANPD, cujas demais competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública.
Parágrafo único. A ANPD articulará sua atuação com o Sistema Nacional de Defesa do Consumidor do Ministério da Justiça e com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais, e será o órgão central de interpretação desta Lei e do estabelecimento de normas e diretrizes para a sua implementação."
"Art. 58-A. O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será composto por vinte e três representantes, titulares suplentes, dos seguintes órgãos:
I - seis do Poder Executivo federal;
II - um do Senado Federal;
III - um da Câmara dos Deputados;
IV - um do Conselho Nacional de Justiça;
V - um do Conselho Nacional do Ministério Público;
VI - um do Comitê Gestor da Internet no Brasil;
VII - quatro de entidades da sociedade civil com atuação comprovada em proteção de dados pessoais;
VIII - quatro de instituições científicas, tecnológicas e de inovação; e
IX - quatro de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais.
§ 1º Os representantes serão designados pelo Presidente da República.
§ 2º Os representantes de que tratam os incisos I a VI do caput e seus suplentes serão indicados pelos titulares dos respectivos órgãos e entidades da administração pública.
§ 3º Os representantes de que tratam os incisos VII, VIII e IX do caput e seus suplentes:
I - serão indicados na forma de regulamento;
II - terão mandato de dois anos, permitida uma recondução; e
III - não poderão ser membros do Comitê Gestor da Internet no Brasil.
§ 4º A participação no Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será considerada prestação de serviço público relevante, não remunerada."
"Art. 58-B. Compete ao Conselho Nacional de Proteção de Dados Pessoais e da Privacidade:
I - propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD;
II - elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade;
III - sugerir ações a serem realizadas pela ANPD;
IV - elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; e
V - disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população em geral."
"Art. 65. Esta Lei entra em vigor:
I - quanto aos art. 55-A, art. 55-B, art. 55-C, art. 55-D, art. 55-E, art. 55-F, art. 55-G, art. 55-H, art. 55-I, art. 55-J, art. 55-K, art. 58-A e art. 58-B, no dia 28 de dezembro de 2018; e
II - vinte e quatro meses após a data de sua publicação quanto aos demais artigos."

Art. 2º A Lei nº 13.502, de 1º de novembro de 2017, passa a vigorar com as seguintes alterações:
"Art. 2º
(...)
"SEÇÃO VI - A
DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS
Art. 12-A. À Autoridade Nacional de Proteção de Dados Pessoais compete exercer as competências estabelecidas na Lei nº 13.709, de 14 de agosto de 2018."

Art. 3º Ficam revogados os seguintes dispositivos da Lei nº 13.709, de 2018:
I - o § 4º do art. 4º;
II - os § 1º e § 2º do art. 7º; e
III - o art. 62.

Art. 4º Esta Medida Provisória entra em vigor na data de sua publicação.

Brasília, 27 de dezembro de 2018; 197º da Independência e 130º da República.

Atualização (03/01/19): O governo Bolsonaro manteve a ANPD. Na Medida Provisória Nº 870, que define a organização básica dos Ministérios e dos órgãos subordinados a nova Presidência da República, ele cita, rapidamente, a existência da ANPD:
Autoridade Nacional de Proteção de Dados Pessoais
Art. 12. À Autoridade Nacional de Proteção de Dados Pessoais compete exercer as competências estabelecidas na Lei nº 13.709, de 14 de agosto de 2018.

Para saber mais:



Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.