Publicada em 27 de dezembro de 2018, a Medida Provisória nº 869 (“Medida Provisória”) alterou a Lei Geral de Proteção de Dados (“LGPD” ou “Lei nº 13.709/2018”), criou a Autoridade Nacional de Proteção de Dados (“ANPD”) e aumentou o prazo para as empresas se adequarem à lei.
Empresas terão mais tempo para se adequar à lei
Antes fixada para fevereiro de 2020, a vigência com a edição da Medida Provisória passa para agosto de 2020, exceto os artigos que tratam sobre a ANPD e o Conselho Nacional, os quais entraram em vigor a partir da data de publicação da Medida Provisória. Desta forma, as empresas contam agora com um prazo adicional de 6 (seis) meses, ou seja, até agosto de 2020.
Autoridade Nacional de Proteção de Dados
A Medida Provisória criou a ANPD e o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (“Conselho Nacional”), anteriormente vetados.
Entre suas atribuições, caberá à ANPD editar normas e procedimentos, interpretar a LGPD na esfera administrativa, requisitar informações aos controladores e operadores, implementar mecanismos para registro de reclamações, fiscalizar e aplicar sanções e comunicar aos órgãos de controle interno acerca do descumprimento da LGPD. A ANPD será responsável, ainda, por determinar que o controlador apresente relatório de impacto à proteção de dados pessoais, e por autorizar a transferência internacional de dados.
Ao Conselho Nacional caberá a propositura de diretrizes estratégicas e fomento à Política Nacional de Proteção de Dados Pessoais e da Privacidade, bem como ações, estudos e relatórios (art. 58-B da LGPD).
6 alterações que você precisa saber sobre a Medida Provisória
A Medida Provisória trouxe, ainda, importantes alterações ao longo da redação da LGPD, nossos principais destaques são:
1. O encarregado indicado pelo controlador não deve, necessariamente, ser pessoa física, desta forma agora é possível que seja indicada uma pessoa jurídica como encarregada, desde que atue como canal de comunicação entre o controlador, o titular e a ANPD;
2. O tratamento de dados para fins exclusivamente acadêmicos não se submete à LGPD, e não necessita observar os requisitos para o tratamento de dados pessoais (artigo 7º da LGPD) e tratamento de dados pessoais sensíveis (artigo 11 da LGPD);
3. Os dados pessoais em bancos de dados cujo fim exclusivo seja de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais permanecem vedados ao tratamento, em sua totalidade, por pessoas jurídicas de direito privado. Contudo, a partir da nova redação, é possível que pessoas de direito privado controladas pelo Poder Público realizem tal tratamento;
4. O tratamento fundado em cumprimento de obrigação legal ou regulatória (art. 7º, II da LGPD) ou realizado pela administração pública (art. 7º, III da LGPD) não necessita, a partir da Medida Provisória, ser informado ao titular;
5. A revisão de decisões automatizadas pode, agora, ser realizada por pessoa jurídica, isto é, não se limita mais à pessoa natural;
6. O uso compartilhado de dados pessoais entre o Poder Público e entidades privadas sofreu ampliação de hipóteses, podendo os dados, por exemplo: (i) ser transferidos caso seja indicado um encarregado ou haja previsão; (ii) respaldo legal ou objetivo de prevenção a fraude e irregularidade; (iv) em situações em que for afastado o dever de informar à ANPD a comunicação ou o uso compartilhado, mas mantida informação acerca de contratos e convênios entre o Poder Público e a entidade privada (artigos 26 e 27 da LGPD).