Principais destaques:
– Novo texto da Lei Geral de Proteção de Dados Pessoais (LGPD) foi sancionado nesta semana;
– Legislação inclui a Autoridade Nacional de Proteção de Dados (ANPD) e 14 vetos;
– Advogada especializada em inovação opina sobre principais alterações na lei;
– Novo texto não abre brecha para que empresas evitem se adequar à legislação.
A Lei 13.853/2019, que altera a Lei n° 13.709 de 14 de agosto de 2018, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), e confirma a criação da Autoridade Nacional de Proteção de Dados (ANPD), foi sancionada na última segunda-feira (8). O texto foi publicado no Diário Oficial da União na terça-feira (9).
A ANPD será responsável por fiscalizar e aplicar as sanções da LGPD, elaborar diretrizes para uma Política Nacional de Proteção de Dados Pessoais e Privacidade, promover o conhecimento das políticas públicas e medidas de segurança sobre a pauta e cooperar com autoridades de outros países.
Sobre os vetos, foram nove ao todo com destaque para a revisão de decisões automatizadas por pessoa natural, os requisitos para o cargo de DPO (Encarregado de Proteção de Dados Pessoais), sanções previstas contra empresas que infringissem a lei e o tratamento de dados pelo poder público.
Algumas mudanças da nova redação da LGPD:
- A ANPD não irá determinar a interrupção ou suspensão de um banco de dados em casos de infração grave ou reincidência. Multas de até 2% do faturamento da empresa ainda podem ser aplicadas;
- Quando um cidadão solicitar a revisão de uma decisão tomada por um algoritmo, a empresa não será obrigada a revisar por intermédio de uma pessoa humana;
- Pessoas que solicitam informações pela Lei de Acesso à Informação podem ter seus dados pessoais divulgados para empresas privadas;
- A ANPD não poderá cobrar taxas por serviços prestados.
Quais foram os principais vetos da LGPD?
O Mundo + Tech ouviu as considerações de Marcella Costa, sócia do LLCO Advocacia, escritório especializado em inovação, sobre alguns vetos de destaques na nova redação. Confira:
– Revisão por pessoa natural
O novo texto vetou a obrigatoriedade de um humano (pessoa natural, nos termos da lei) para revisar as decisões tomadas por um algoritmo, quando solicitada pelo titular dos dados. “Na redação original, as revisões de tratamento automatizado [dos dados] poderiam ser feitas por uma pessoa natural. Com a nova redação, isso foi excluído. Não sabemos como ficarão os direitos do titular dos dados quando ele pedir a revisão de uma decisão automatizada e isso for realizado por outra Inteligência Artificial”, comenta Costa.
– Encarregado de Proteção dos Dados Pessoais (DPO)
Outro veto foi sobre o Encarregado de Proteção dos Dados Pessoais (Data Protection Officer, DPO em inglês) – o responsável por fazer a ponte entre titular dos dados, a ANPD e as empresas — não precisar de conhecimento jurídico-regulatório para o cargo. “Para ocupar um cargo como esse, o profissional precisa ser responsável pela comunicação entre os agentes de tratamento, o titular dos dados e a própria autoridade nacional. Ele tem que entender da legislação, dos direitos dos titulares, quais as consequências [de infringir a lei], prazos, requisitos e entender a parte de cibersegurança. Então excluir essa recomendação talvez não seja o mais adequado.”
– Penalidades para as empresas
Três sanções que penalizavam empresas que infringissem a lei foram vetadas: suspensão parcial do banco de dados, suspensão parcial do exercício de tratamento de dados e proibição parcial ou total de atividades relacionadas ao tratamento de dados. “O que temos escutado no mercado é que esse veto pode enfraquecer a lei, mas a legislação ainda tem penalidades que são consideradas fortes e relevantes porque são multas pesadas e que podem enfraquecer a marca”, ressalta a advogada.
Mas o novo texto abre brecha para empresas não se adequarem?
Marcella Costa é enfática ao dizer “não”. “A questão da publicização [de vazamentos de dados de uma empresa ou dela não estar dentro da lei] pode ter um impacto reputacional tão relevante quanto a suspensão dos bancos de dados”, acredita a advogada.
Ela explica que, hoje, o consumidor está mais atento quanto ao consumo dos dados pessoais por parte das empresas e que grandes companhias estão à frente de um movimento de incentivar médias e pequenas empresas a se adaptarem à legislação. “As grandes já estão no processo de adaptação e a maioria vai cumprir a LGPD. Elas têm uma responsabilidade solidária entre controlador e operador dos dados. Então, se uma PME quer ser fornecedora ou prestadora de serviço para essas empresas, o próprio mercado vai exigir que ela esteja dentro da lei. Será uma consequência natural”, pontua.
Marcella ainda tem uma visão otimista da LGPD. “Ela não vai impedir que inovações continuem acontecendo. A LGPD traz uma forma de como as empresas devem utilizar os dados e parâmetros para que o próprio titular dos dados consiga entender como eles são utilizados no mercado. Isso cria uma relação transparente e uma nova dinâmica em que as empresas que estão no processo de adaptação já mostram isso no portfólio para atingir esse público e se diferenciar no mercado.”